Спам-активність в березні 2011 року, Безпека ПЗ, Security & Hack, статті

Березень в цифрах



Огляд головних подій місяця


Багато галасу Rustock "а


У середині березня було оголошено про те, що спільними зусиллями співробітників компанії Microsoft і правоохоронних органів США був відключений великий спам-ботнет Rustock.


Rustock проіснував на просторах інтернету близько п'яти років (з 2006 року) і, за різними оцінками, був відповідальний за 30-40% всього спаму. Про закриття ботнету було повідомлено 17 березня. Сама операція була проведена днем раніше – 16 числа.


Експерти "Лабораторії Касперського" спостерігали деяке зменшення обсягу спаму з 17 по 21 березня. У цей період у порівнянні з середнім показником першої половини березня відсоток спаму в пошті зменшився на 3%. Якщо ж говорити про кількість спамових листів, то їх стало менше приблизно на 15%.


Проте вже з 22 числа обсяг спам-трафіку знову почав рости. Мабуть, не дивлячись на значні розміри і потужність закритого ботнету, досвід кінця 2010 року дозволив спамерам і власникам ботсетей швидко перерозподілити свої потужності. Проте, дії правоохоронних органів по боротьбі з ботнетами продовжують приносити свої плоди і радувати борців зі спамом.


Світові події в спам


Трагедія в Японії – спамери не залишилися байдужими


Руйнівні землетруси, цунамі і наступна за ними катастрофа на атомній електростанції залучили тривожне увагу всіх. Люди в багатьох країнах світу прагнули допомогти жителям Японії будь-якими доступними методами – будь то продовольство, медикаменти та предмети першої необхідності або грошові кошти для різних гуманітарних організацій. В інтернеті з'явилося безліч сайтів з інформацією про те, як і куди можна перерахувати кошти на допомогу постраждалим.


Спамери, звичайно, відразу спробували "вписатися в тему" благодійних ініціатив. У спам моментально з'явилися шахрайські повідомлення, що пропонують перевести гроші нібито на рахунок Червоного Хреста та інших гуманітарних організацій.


Зрозуміло, користувачі, які відправляли гроші на рахунки, зазначені в подібного роду листах, не допомагали нікому, крім спамерів.


Активно експлуатувалася тема подій в Японії і в спамових листах, використовуваних для поширення шкідливого коду. Людська цікавість, як завжди, працювало на зловмисників: користувачам пропонувалося ознайомитися з різними шокуючими подробицями або подивитися відео з місця дії.

Лівія. Гаряча точка – гаряча тема


Ситуація в Лівії також активно обговорюється всіма. І спамери почали використовувати тему збройного конфлікту в шахрайських повідомленнях. У спам все частіше зустрічаються "нігерійські" листи нібито від членів уряду Лівії, прагнуть перевести свої мільйони з банків бунтующей країни, і повідомлення, в яких, як і у випадку з катастрофою в Японії, пропонується перерахувати пожертви для постраждалих.


Не пропустили можливості скористатися інтересом користувачів до драматичних подій в Лівії і спамери, що поширюють зловредів. Використовуючи вже напрацьовані схеми, вони розсилали листи з шкідливими посиланнями нібито на "гарячі" лівійські новини.


Найцікавішими, з нашої точки зору, є що з'явилися в березні політично мотивовані спамові повідомлення, що стосуються ситуації в Лівії.


У таких листах звичайно цитуються пости з різних блогів або статті з преси. Зазначимо, що написані вони на англійській мові, а отже, розсилки націлені не на лівіійцев. Такий спам намагається залучити увагу до конфлікту в Лівії користувачів за межами воюючої країни – в США і країнах Європи – і може розсилатися як прихильниками існуючого в Лівії режиму, так і його супротивниками.


 


Російські реалії


Деякі події в Росії також знайшли своє відображення в спамерських повідомленнях. У березні ми зафіксували кілька розсилок, темою яких став гучний останнім часом проект rospil.


Листи до таких розсилках могли бути відверто провокаційного змісту, а могли просто копіювати інформацію з сайту проекту.


Підкреслимо, що такі повідомлення розсилалися не в легітимних розсилках, а саме в спамі. Наприклад, аналіз наведеного вище листа показав наступне:



Як завжди в подібних випадках, виникає питання: чи хочуть прихильники проекту таким сумнівним способом зробити йому рекламу, або ми маємо справу з чорним піаром?


Статистичний огляд


Частка спаму в поштовому трафіку


Частка спаму в поштовому трафіку в порівнянні з лютим збільшилася на 0,9% і склала в середньому 79,6%.

Частка спаму в пошті в березні 2011


Найнижчий показник місяця був зафіксований 25 березня – 74,5%. Найбільше спаму було отримано користувачами 13 числа – 86,9%.


Країни – джерела спаму


У березні лідером серед країн – джерел спаму знову стала Індія, з території якої було поширено 11,42% (+2,59%) всієї сміттєвої пошти.

Країни – джерела спаму в березні 2011


Другий рядок рейтингу, витіснивши Росію з другої позиції на третю, зайняла Бразилія з показником 6,6% (на 2% більше, ніж у лютому). Частка спаму, поширеного з території Росії, як і в лютому, склала 4,8%. Також практично незмінними залишилися частки спаму, поширеного з території Індонезії (4,3%) та Італії (4%), які посіли відповідно четверте і п'яте місця в рейтингу.


На 0,8% зменшився відсоток спаму, поширеного з Південної Кореї (3,3%). У рейтингу країн – джерел спаму ця країна в березні опустилася з п'ятого на восьме місце. Як наслідок, на одну сходинку вгору піднялися Великобританія (3,9%) і США (3,4%), які посіли відповідно шосте та сьоме місця. При цьому частка спаму, відправленого з цих країн, у порівнянні з лютим змінилася незначно.


Шкідливі вкладення в пошті


У березні шкідливі файли містилися в 3,23% всіх електронних повідомлень, що на 0,05% більше, ніж минулого місяця.


У порівнянні з лютим відбулися значні зміни в розподілі по країнах спрацьовувань поштового антивірусу.

Розподіл спрацьовувань поштового антивірусу по країнах в березні 2011 р.


Перше місце як і раніше, залишилося за Росією (12,7% шкідливих вкладень), але друге зайняли США (12,5%, на 1,9% більше, ніж у попередньому місяці). Відсоток спрацьовувань поштового антивірусу в Штатах практично зрівнявся з російським.


На частку Великобританії, що зайняла третє місце, довелося 6,2% всіх заблокованих листів з шкідливими вкладеннями – на 1,1% більше, ніж у лютому. Індія (4,35%) і В'єтнам (5,61%), які потрапляли в останні місяці в TOP 5, в березні дещо здали свої позиції. Індія змістилася з четвертої на шосту сходинку рейтингу, а В'єтнам – з третьої на четверту.


На одну позицію вгору перейшла Німеччина (5,4%). Положення Австралії (4,21%) в нашому рейтингу залишилося незмінним. Італія (4,05%), яка в лютому не потрапила в TOP 10, в березні опинилася на восьмому місці. Іспанія (3,27%) піднялася з одинадцятого місця на дев'яте.


Рейтинг найбільш часто Детектируемая в пошті шкідливих програм в березні виглядає наступним чином:

ТОP 10 шкідливих програм, поширених в пошті в березні 2011 р.


Більше половини ТОР 10 шкідливих програм представлено сімейством Trojan-Downloader.Win32.Deliver. Ці програми є класичними троянцями – завантажувачами, які встановлюють на заражений комп'ютер інші шкідливі програми без відома користувача.


Ще дві програми в ТОР 10 є представниками сімейства Trojan-Spy.Win32.SpyEyes. Зловредів цього сімейства займаються викраденням конфіденційних даних користувача. Одна з модифікацій Trojan-Spy.Win32.SpyEyes вже була присутня в нашому рейтингу в лютому цього року.


Перше місце традиційно займає Trojan-Spy.HTML.Fraud.gen. Детальніше про це можна прочитати троянця тут.


Вище ми розповідали, що спамери використовували теми катастрофи в Японії і війни в Лівії в листах, що містять шкідливі посилання або вкладення. Деякі спамери експлуатували обидві теми в одній розсилці: листи з "гарячими новинами" про землетрус в Японії і про проблеми в Лівії містили однакові посилання і були розіслані в один і той же час.

 


Важко не помітити, що листи створені за одним шаблоном. Забавно також, що після шкідливої ​​посилання в тексті слід "копірайт", який змінюється від листа до листа. Як володаря "копірайту" вказуються різні великі IT-компанії та інтернет-ресурси. Можливо, таким незграбним способом зловмисники сподівалися обійти найпростіші спам-фільтри.


На комп'ютер користувача, що пройшов по посиланню, за допомогою Java-експлойтів встановлювалося шкідливе програмне забезпечення. У нашому блозі експерт "Лабораторії Касперського" Ніколя Бруль більш детально описує цю шкідливу розсилку.


Фішинг


Частка фішингових листів в поштовому потоці в порівнянні з лютим зменшилася на 0,01% і склала 0,02%.

ТОР 10 організацій, атакованих фішерами


У березні в ТОР 10 найбільш часто атакованих фішерами організацій з великим відривом лідирує PayPal. За ним слідує інтернет-аукціон eBay.


Соціальні мережі Facebook, Habbo і популярна онлайн-гра World of Warcraft також залишаються в числі улюблених мішеней фішерів.


Половина рейтингу мішеней фішинг-атак знову представлена ​​онлайн-сервісами. При цьому банки фішери стали атакувати рідше – системи онлайн-банкінгу розташовуються в основному в нижній частині нашого рейтингу.


Тематичні напрямки в спам

Розподіл спаму за тематичними категоріями у березні 2011 р.


У березні в Рунеті значно зросла частка російськомовного спаму. Такий спам здебільшого представлений розсилками, рекламують товари і послуги компаній малого та середнього бізнесу. Чотири з п'яти лідируючих в березні тематичних категорій є російськомовними і являють собою рекламні оголошення невеликих компаній.


П'ятірка тематичних категорій в спамі:



Значно збільшилася частка лідера нашого рейтиг – реклами різних семінарів (+6,7%). Одночасно збільшилася і частка розсилок, що рекламують відпочинок і подорожі. Зростання кількості такого спаму багато в чому пов'язаний з наближенням травневих свят.


Спамерські повідомлення, що рекламують різні медикаменти, в березні зайняли лише п'яту сходинку рейтингу. Їх частка значно зменшилася в порівнянні з лютим. Переважна більшість таких повідомлень – англомовні.


Висновок


У березні правоохоронні органи США знову завдали удару по ботсетям, що призвело до короткочасного зменшення обсягу спаму. Незважаючи на це, середній відсоток спаму в березні збільшився в порівнянні з аналогічним показниками лютого. Як ми і прогнозували в січневому звіті, середньомісячний обсяг спаму продовжує збільшуватися і має всі шанси досягти значень літа 2010 року.


Всупереч нашим очікуванням, США не увійшли до ТОР 5 країн – джерел спаму. Частка спаму, поширеного з території цієї країни, практично не змінилася в порівнянні з лютим. Однак цікаво зазначити підвищений інтерес до США як до мети для вірусних розсилок. Це може означати, що зусилля зловмисників і раніше спрямовані на відтворення ботнетів в цій країні.


Відзначимо, що в березні в Рунеті стало набагато менше англомовного спаму. Можливо, російські спамери вирішили, що в Росії значно ефективніше поширювати російськомовний спам, ніж спам англійською мовою, що рекламує товари, які не користуються у одержувачів попитом. Однак такі зміни можуть бути пов'язані і з закриттям ботнету Rustock, з якого англомовний партнерський спам поширювався по всьому світу.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*