Спам в жовтні 2010 року, Безпека ПЗ, Security & Hack, статті

Жовтень в цифрах


Огляд головних подій місяця


Законодавство в дії


Кілька слів про справу Зевса


Як ми вже повідомляли, в самому кінці вересня були проведені масові арешти учасників угруповання, що розповсюджує шкідливу програму ZeuS. Це призвело до того, що рівень детектування цієї шкідливої програми в США та Великобританії 30-го вересня, тобто в день, коли було оголошено про арешти, впав до мінімальних значень. У жовтні спостерігалася наступна картина: за даними Kaspersky Security Network в США затишшя в поширенні цього зловмисних програм тривало всього 2 тижні, а от у Великобританії поштовий антивірус протягом усього місяця детектувала цей зловредів не частіше 10 разів на день протягом всього місяці. Дані представлені на діаграмі нижче:


Рівень спрацьовувань поштового антивірусу на шкідливих
програмах Trojan-Spy.Win32.Zbot і Trojan-Dropper.Win32.Zbot у вересні
та жовтні 2010 в Великобританії та США


На графіку видно, з якою частотою "Зевс" вкидається в поштові скриньки користувачів США і Великобританії до 30 вересня, – проміжки між розсилками не перевищували чотири дні. Після арештів учасників злочинного інтернет-бізнесу рівень детектування ZeuS у Великобританії так і не відновився, а в США проміжок між вкидання тривав майже два тижні.


Все це говорить про те, що зусилля правоохоронних органів не пройшли дарма, і для того щоб захистити користувачів від спаму та шкідливих програм, дійсно потрібні зусилля не тільки з боку компаній, займаються IT безпекою, але і з боку урядів і різних силових структур різних країн.


Про Bredolab


Удар по зомбі-мережі


У жовтні, як і у вересні, найгучніша подія в світі спаму довелося на кінець місяця. Правоохоронні органи Голландії завдали ряд потужних ударів по ботсетям, побудованим з комп'ютерів, заражених шкідливою програмою Bredolab. У загальній складності, в кінці жовтня було знешкоджено 143 командних центру, і арештована одна людина, підозрюваний в управлінні ботнетами. 27-річний Георгій Аванесов був оголошений в розшук по лінії Інтерполу владою Нідерландів і заарештований 26 жовтня в Єреванському аеропорту. Зауважимо, що заарештований є громадянином Росії.


Що за звір такий сам Bredolab?


Історія Backdoor.Win32.Bredolab почалася влітку минулого року, коли програма з'явилася на світ. Вона відразу зацікавила як вірусних, так і спам-аналітиків. З початку літа в антиспам-лабораторію стали надходити листи, що містили посилання на зламані легітимні сайти. Аналіз одного з таких повідомлень вилився в статтю Сергія Голованова та Ігоря Суменкова "Фабрика наживи", опубліковану у вересні 2009 року. У статті докладно розглянута схема, яка використовувалася зловмисниками для поширення Bredolab і для подальшого отримання грошей. У той момент основним шляхом поширення шкідливої програми були drive-by завантаження, вироблялися з заражених сайтів. Проте вже в серпні 2009 зловмисники використовували й іншу можливість розповсюдження зловреда, а саме – за допомогою вкладень в електронні листи. Тоді частка різних модифікацій Backdoor.Win32.Bredolab склала більше 30% від усіх шкідливих вкладень.


Ботнет Bredolab найчастіше використовується для розсилки спаму, організації DDoS-атак, крадіжки даних і розповсюдження інших шкідливих програм. Цікаво, що ще влітку 2009 року Bredolab отримав команду на завантаження спам-ботів: Rustock (Backdoor.Win32.HareBot) і Pushdo (Backdoor.Win32.NewRest.aq). Надалі саме спам-ботнет Pushdo виявився головним розповсюджувачем Backdoor.Win32.Bredolab.


Bredolab і спам-трафік


Звичайно, закриття командних центрів великої зомбі-мережі повинно позначатися як на кількості спаму, так і на його тематичному складі. Проте наслідки таких атак на кіберкрімінал, на жаль, не носять довгострокового характеру. Тут можна згадати безславний кінець McColo, в результаті якого кількість спаму в мережі значно знизилося … але лише на короткий час. Ось і у випадку з Bredolab ми не очікували значного, а тим більше тривалого, зменшення частки спама в поштовому трафіку. В цілому, так і сталося:


Частка спаму в жовтні 2010


На графіку видно, що найнижчий рівень засміченості поштових потоків спостерігався з 26 по 29 жовтня. У ці дні частка спаму ледь перевищувала 70%, що на 8-9% нижче звичайного показника. Проте вже 31 жовтня рівень спаму наблизився до своїх звичайних вісімдесяти відсотків.


Зазначимо, що протягом останніх місяців рівень спаму має тенденцію до зниження. Так, у жовтні середня кількість спаму до 26-го числа становило 78,7%, що нижче середньомісячного показника вересня на 2,4%.


Тепер поговоримо про зміну в тематичному складі спаму. Важливою зміною, пов'язаних із закриттям командних центрів зомбі-мережі, стало короткочасне зменшення кількості спаму, що містить шкідливі вкладення.


Частка розсилок з шкідливими вкладеннями в пошті в жовтні 2010 року


Як видно на графіку, найбільш активно шкідливий код у вкладеннях розсилався на початку місяця. У цілому більше 30% всіх спрацьовувань поштового антивірусу в жовтні припало на період з 1 по 6 жовтня. Цей період відзначений на графіку червоною лінією. Тут же тонкою червоною лінією відзначена аномалія цього періоду: зазвичай розсилка шкідливого коду на вихідні знижує обороти, проте другого жовтня, в суботу, відзначена найвища активність розсилки шкідливого коду за весь місяць.


Стрілками фіолетового кольору на графіку позначені вихідні дні.


Блакитний стрілкою відзначений спад активності розсилки шкідливих вкладень 28 жовтня, що припав на наступний день після закриття командних центрів Bredolab.


Оскільки потужності ботнету часто прямували на розсилку медичного спаму, після закриття командних центрів зомбі-мережі цього спаму стало менше. Однак у жовтні відбулися й інші події, що відбилися на кількості фармацевтичного спаму в Мережі.


SpamIt, Glavmed … хто наступний?


Як ми писали в нашому попередньому звіті, на рівні фармацевтичного спаму позначилося оголошене у вересні і скоєно 1 жовтня закриття партнерської програми SpamIt. В кінці місяця відбулося ще одне, мабуть, не менш значне, подія – 26-го числа слідче управління при УВС по Центральному адміністративному округу Москви завдало удару по партнерській програмі GlavMed. В цей день було порушено кримінальну справу проти гендиректора ТОВ "Деспмедія" Ігоря Гусєва, по всій видимості, що стоїть за цією партнеркою. Більше подробиць про юридичну сторону питання можна дізнатися з блогпоста Дар'ї Гудкова "УВС проти фарми", ми ж детальніше розглянемо зміни, що торкнулися спам.


Крім кількісних змін в спам-трафіку, що збіглися за часом з арештом Гусєва, але пов'язаних, скоріше, з закриттям Bredolab, відбулися і якісні зміни, вже згадані вище.


Зміни в розподілі спамерських листів різної тематики, поширених
в рамках партнерських програм в жовтні 2010


На графіку показано, як змінювалася частка спамерських листів різної тематичної спрямованості, які розповсюджуються у співпраці з партнерськими програмами. Перше, що звертає на себе увагу – це те, що кількість фармацевтичного спаму в цілому зменшилася в порівнянні з минулим місяцем. У той же час, локальне збільшення кількості такого спаму в середині місяця – цікава особливість жовтня. Складається відчуття, що спамери прийшли до тями після закриття SpamIt і знову вирішили повернутися до розсилки віагри, проте вже через кілька днів почався шум навколо Ігоря Гусєва, і частка фармацевтичних розсилок знову знизилася.


Зниження кількості шкідливого спаму, як видно на графіку, почалося ще на початку жовтня. В кінці місяця воно досягло мінімального рівня за останній квартал.


Проте святе місце порожнім не буває. Втративши частину доходу від медичного і шкідливого спаму, спамери постаралися знайти інші можливості отримання прибутку від експлуатації своїх потужностей. Так, під другій половині жовтня стала наростати частка розсилок, що рекламують онлайн-казино. На початку місяця збільшилася і частка листів з рекламою реплік елітних товарів. Спам для дорослих ще з вересня утвердився на позначці 4-5%, – мабуть "пікантні" розсилки знайшли не тільки свого розповсюджувача, а й свого покупця.


Справа Метью Андерсона


У Великобританії, тим часом, спільними силами лондонській і фінської поліції просувається розслідування у справі шотландця Метью Андерсона. Вирок обвинуваченому буде винесено лише наприкінці листопада, але вже зараз ясно, що він буде обвинувальним. Пан Андерсон вже визнав вину за частиною пред'явлених йому звинувачень.


На питання "хто такий містер Андерсон", правоохоронними органами Великобританії був отриманий нетривіальний відповідь. Заарештований, по всій видимості, є ключовим гравцем злочинної кібергруппіровкі m00p.


За допомогою спаму обвинувачений поширював шкідливі програми, які використовував для крадіжки різних реєстраційних і особистих даних. Окрім іншого, Андерсон стежив за своїми жертвами через їх web-камери.


Основними цілями злочинця були користувачі й організації на території Великобританії.


Компенсація Facebook "у


У Канаді, тим часом, правоохоронні органи звернули увагу на спам в соціальних мережах. А точніше в одній соціальній мережі – Facebook. Саме через це популярне інтернет-співтовариство розсилав свій спам Адам Гербец (Adam Guerbuez) – громадянин Монреаля, засуджений до виплати великої компенсації.


Розмір компенсації склав більше 1 мільярда канадських доларів. Ці гроші злочинець повинен виплатити соціальної мережі в якості компенсації збитку. У загальній складності пан Гербец розіслав у соціальній мережі майже 4,5 мільйона повідомлень всього за два місяці.


Не дивно, що власники Facebook були не дуже задоволені, – замість того щоб відправляти легітимні повідомлення, їх сервери працювали на спамера, набридає їх користувачам.


Боротьба зі спамом у Східній Європі


Розвивається боротьба зі спамом і в Східній Європі. Так, на Україну чиновники ухвалили рішення розширити Правила надання телекомунікаційних послуг, що містять визначення спаму. На їхню думку існуюче визначення підходить лише для визначення спаму в електронній пошті, в той час як спам в даний час активно поширюється і через засоби мобільного зв'язку – за допомогою SMS та MMS.


Тепер масові, незапитаної абонентами, розсилки текстових і мультимедійних повідомлень за коштами мобільного зв'язку на Україні також будуть трактуватися як спам.


Гаррі Поттер: полювання на користувача почалася


17 листопада 2010 відбудеться прем'єра довгоочікуваного продовження телесаги про Гаррі Поттера. Прем'єра шостої частини, що пройшла в липні 2009 року не викликала великого ажіотажу у спамерів. Ймовірно, це було пов'язано з тим, що звістка про смерть Майкла Джексона сприймалася в той момент куди гостріше. На цей раз ніяке гучне подія не відвернуло спамерів від казкової прем'єри.


Вже в десятих числах жовтня користувачі побачили у своїх скриньках листи, які експлуатують тему виходу нового фільму.


Прем'єра фільму "Гаррі Поттер і Дари смерті" в спам


Розсилка пропонувала користувачам безкоштовні квитки на прем'єру. Щоб отримати щасливу можливість побачити фільм в числі перших, користувачеві всього лише і потрібно було, що натиснути на кнопку "Submit" і передати адресу своєї електронної пошти та ряд інших персональних даних спамерам.


Квитків користувачі, звичайно, не отримували, – чудеса бувають тільки в кіно. Розсилка з портретом Деніела Редкліффа була використана спамерами і ще раз – для реклами готелю класу люкс, що запрошує гостей скористатися спеціальною пропозицією.


Статистичний огляд


Частка спаму в поштовому трафіку


Частка спаму в поштовому трафіку в порівнянні з вереснем зменшилася на 3,7% і склала в середньому 77,4%. Найнижчий показник місяця було зафіксоване 28 жовтня – 70,1%; найбільше спаму було отримано користувачами 24 числа – 88,2%.


Країни – джерела спаму


TOP 20 країн – джерел спаму в жовтні виглядає наступним чином:


Країни – джерела спаму в жовтні 2010


У жовтні першу двадцятку країн – джерел спаму торкнулися серйозні зміни. Перш за все, змінився лідер: країною, розповсюдила найбільшу кількість спаму, стала Росія. Частка спаму, поширеного з території Російської Федерації зросла більш ніж удвічі в порівнянні з вереснем. Також, більш ніж удвічі, зросла частка спаму, поширеного з території України. У той же час, частка спаму, поширеного з території США, знизилася втричі! США вперше за дуже тривалий період не увійшли навіть до десятки країн – джерел сміттєвої пошти. Ця країна займає лише 18 місце рейтингу.


Ці зміни ми пов'язуємо багато в чому з рухом спамерських потужностей у світі: закриття командних центрів бот-мереж Pushdo / Cutwail і Bredolab, безперечно, вплинуло на джерела спам-трафіку. Зменшення кількості спаму, поширеного з території США, було помітно вже у вересні. В жовтні ця тенденція тільки зміцнилася. І все ж треба зазначити, що ближче до кінця місяця спаму, розповсюджуваного з території США, стало значно більше, ніж у було на початку. Ймовірно, після закінчення "струсу", яку влаштували спамерам і ботоводам правоохоронні органи різних країн, спам-трафік, що поширюється з території США, в деякій мірі відновиться.


Частка спаму, поширеного в жовтні з Європи, зменшилася незначно. Однак з території західноєвропейських держав у минулому місяці було поширено помітно менше спаму, ніж у вересні. Так, зменшилася кількість спаму, поширеного з території Німеччини, Франції, Португалії, Нідерландів, Ірландії та Великобританії.


З території Нідерландів, Португалії та Ірландії було поширено менше 1,5% спаму, завдяки чому ці країни випали з нашого рейтингу. Болгарія, навпаки, вперше за довгий час з'явилася у двадцятці країн – джерел спаму і виявилася відразу на 11 сходинці.


Крім Болгарії в рейтингу з'явився Ізраїль, з території якого було поширено 2% світового спаму, та Індонезія, у попередні два місяці поширювала менше 1,5% спаму.


Шкідливі вкладення в пошті


Сполучені Штати Америки знову виявилися лідером серед країн, в яких найбільш часто спостерігалося спрацьовування поштового антивірусу. Однак частка спрацьовувань поштового антивірусу в цій країні зменшилася і не досягла навіть 10%. Німеччина, що перебувала у вересні на п'ятій сходинці рейтингу, піднялася відразу на другу. Частка спрацьовувань поштового антивірусу в цій країні зросла більш ніж на 2%. Частка спрацьовувань поштового антивірусу у Великобританії незначно збільшилася.


Спрацьовування поштового антивірусу по країнах в жовтні 2010


Шкідливі файли містилися в 1,47% електронних повідомлень, що на 2,86% менше, ніж минулого місяця.


ТОP 10 шкідливих програм, поширених в пошті в жовтні 2010


У жовтні Trojan-Spy.HTML.Fraud.gen знову повернувся на верхній рядок рейтингу шкідливих програм, найбільш часто зустрічалися в пошті. Нагадаємо, що цей троянець використовує спуфінга-технологію і реалізований у вигляді html-сторінки. Простіше кажучи, Trojan-Spy.HTML.Fraud.gen – це той же фішинг, грамотно реалізований з технічної точки зору. Користувач бачить підроблену сторінку відомого банку або платіжною системи, на якій потрібно ввести логін і пароль.


Троянські програми сімейства FraudLoad (одна з модифікацій цього сімейства зайняла у вересні перший рядок рейтингу) як і раніше розсилаються в поштових вкладеннях. У цьому місяці частка модифікацій Trojan-Downloader.Win32.FraudLoad.hby і Trojan-Downloader.Win32.FraudLoad.xgfm в цілому склала 5,5% усіх шкідливих вкладень. Нагадаємо, що програми сімейства FraudLoad встановлюють на комп'ютер користувача підроблений антивірус, який вимагає гроші у жертви.


Трояни сімейства Oficla також продовжують активно поширюватися в пошті. Програми цього сімейства завантажують з Мережі інші шкідливі або рекламні програми, або оновлення до них, і запускають їх на комп'ютері користувача.


На закінчення хотілося б зауважити, що більше 10% всіх шкідливих вкладень у пошті були новими загрозами, і детектувати Антивірусом Касперського проактивно.


Фішинг


Частка фішингових листів склала 0,87% від усієї пошти.


ТОP 10 організацій, найчастіше піддавалися
фішингових атак в жовтні 2010


У жовтні серед найбільш часто атакуються фішерами організацій знову лідирує PayPal. Частка атак на цю платіжну систему в порівнянні з вереснем збільшилася ще на 1,5%.


Як і очікувалося, інтерес зловмисників до соціальної мережі Facebook, згаслий було в серпні, розгорівся з новою силою. Минулого місяця ми прогнозували, що Facebook витіснить з третьої строчки нашого рейтингу банк HSBC. Однак фішери у своїх атаках на популярний сервіс пішли ще далі: саме Facebook зігнав з другої строчки десятки аукціон eBay. У загальній складності частка атак на соціальну мережу зросла вдвічі порівняно з вереснем і в чотири рази – у порівнянні з серпнем.


Інші три організації, що входять в TOP 5 не змінилися. Це як і раніше eBay, HSBC і Blizzards, виробник онлайн-ігри World of Warcraft. У порівнянні з вереснем серйозно змінилася лише частка атак на eBay, – вона знизилася вдвічі.


Тематичні напрямки в спам


Розподіл спаму за тематичними категоріями у жовтні 2010


П'ятірка лідируючих спам-тематик жовтня:



  1. Медикаменти; товари / послуги для здоров'я – 23,8% (-1,7%)

  2. Освіта – 18,9% (+5,2%)

  3. Репліки елітних товарів – 13,8% (+0,1%)

  4. Реклама спамерських послуг – 7,2% (+0,3%)

  5. Азартні ігри – 4,2% (+4,0%)

Як вже було сказано, у жовтні частка медичного спаму дещо зменшилася. Зниження частки цієї тематики спостерігалося протягом усього місяця, за винятком одного тижня.


Другий рядок рейтингу займають листи, об'єднані в тематичну рубрику "Освіта", – їх частка збільшилася на 5,2% в порівнянні з вереснем. Основна маса листів, що рекламують семінари, припала на кінець жовтня. Одночасно зі зростанням частки "семінарського" спаму, спостерігалося зниження частки самореклами спамерів. За підсумками місяця частка самореклами спамерів змінилася незначно, незважаючи на те, що в першій половині жовтня вона досягла майже 10%.


Цікаво зауважити, що в жовтні спостерігалося безліч розсилок, що експлуатували тему Хеллоуїна. Про це ми писали в нашому блозі.


Висновок


Галасливі події продовжують вражати світ спаму. Втручання в роботу зомбі-мереж і партнерських програм з боку правоохоронних органів, безперечно, призводить до зменшення сміття в поштовому трафіку. Підсумками дій правоохоронних органів у вересні та жовтні стало зниження кількості спаму в поштовому трафіку. У середньому цей показник знизився в жовтні на 1,5-2%. А після закриття командних центрів Bredolab спаму в поштових скриньках стало ще менше.


Вплинули дії правоохоронних органів і на тематичний склад спаму. Поступове зниження кількості фармацевтичного трафіку, а також зменшення частки зловмисних спаму – це перші помітні підсумки дій правоохоронних органів. Однак ці зміни тягнуть за собою й інші – в спам-трафіку знову відвоювали свою нішу порно-спам і повідомлення з рекламою онлайн-казино. Коли порушується робота одних партнерських програм, спамери переходять в інші.


Важливо відзначити, що порно-спам і казино-спам не безпечніші, ніж розсилка шкідливого коду у вкладеннях. Найчастіше на сайтах з еротичним вмістом або на ігрових сторінках ховаються шкідливі програми, які підкачуються на комп'ютер користувача, поки той, нічого не підозрюючи, роздивляється пікантні картинки або грає в "рулетку".


Зміни, що виникли в результаті закриття командних центрів зомбі-мереж, торкнулися і країни – джерела спаму. Частка сміттєвих повідомлень, розповсюджених з території США зменшилася втричі, в той час як частка спаму, поширеного з території Росії та Україні стала вдвічі більше.


Складати прогнози в такій нестабільній ситуації справа невдячна. Проте вже зараз можна говорити про те, що в листопаді частка спам-трафіку повернеться до показників 79-80%. Однак і ці значення нижче, ніж середні показники першого і другого кварталів.


У тому, що стосується тематичного складу спаму, легко припустити, що спамери, які відмовилися від розсилки фармацевтичного та зловмисних спаму і не зуміли використати інший партнерський спам як гідну заміну, цілком ймовірно звернуться до сезонних різдвяним партнерок. Кількість порно-спаму та спаму, який рекламує азартні ігри, також буде рости.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*