Cпам в августе 2009 года

• Доля спама в почтовом трафике
• Вредоносные вложения и ссылки
• Фишинг
• Страны — источники спама
• Тематический состав спама
• Оригинальный спам
• Спамерские методы и трюки
• Заключение

Особенности месяца

• Доля спама в почтовом трафике по сравнению с июлем снизилась на 0,6% и составила в среднем 85,1%.
• Ссылки на фишинговые сайты находились в 1,09% всех электронных писем, что на 0,06% больше, чем в июле.
• Вредоносные файлы содержались в 0,05% электронных сообщений, что на 0,06% меньше, чем в прошлом месяце.
• Заметно снизилась доля спама, связанного с рекламой спамерских услуг.
• Для того чтобы обойти фильтры, спамеры оставляли ссылки на свои сайты в виде html-таблиц с закрашенными в разные цвета ячейками.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в августе 2009 года в среднем составила 85,1%. В первый день августа был зафиксирован самый низкий показатель месяца — 76,3%; больше всего спама было получено пользователями Рунета 16 числа — 90,8%.

Доля спама в Рунете в августе 2009

Вредоносные вложения и ссылки

Вредоносные файлы содержались в 0,05% электронных сообщений, что вдвое (-0,06%) меньше, чем в прошлом месяце.

Вредоносные программы, содержавшиеся
в спамерских сообщениях в августе 2009

Как нетрудно заметить, вялотекущая эпидемия NetSky продолжается, — почти половина топ-10 распространяемых в спаме вредоносов принадлежат именно к этому семейству червей. Согласно описанию, представленному на Securelist.com Email-Worm.Win32.NetSky — это вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается он по всем найденным на зараженном компьютере адресам электронной почты. Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

В общей сложности доля червей семейства NetSky, содержавшихся в зараженных спам-сообщениях в прошлом месяце, превысила 33%.

Второе семейство-лидер — это Bredolab. Backdoor.Win32.Bredolab — троянская программа семейства бэкдор. Распространяется в виде вложений в письма. Чтобы вызывать меньше подозрений имеет иконку табличного документа «Microsoft Excel», хотя и с раcширением «exe». С учетом того, что у абсолютного большинства пользователей не показываются расширения известных файлов, этот прием является вполне удачным. После запуска трояна ваш компьютер включается в ботнет. Запросив данные из командного центра, зловред выкачивает из глобальной паутины дополнительные модули, которые являются либо надоедливыми лже-антивирусами, находящими сотни несуществующих вредоносных программ и просящих за их лечение вполне реальные деньги, либо шпионские программы ворующие пароли пользователя. Такая схема работы сильно напоминает Net-Worm.Win32.Kido, который совершенно аналогичным образом устанавливал спам-бот Iksmas и лжеантивирус.

Доля зараженных писем, содержавших зловредов семейства Bredolab в общей сложности превысила 32%.

Один из червей семейства MyTob занял вторую строчку рейтинга. Доля зараженных писем, содержавших этот зловред, составила в августе 12,53%. Эпидемия MуTob, как и эпидемия NetSky, находится в вялотекущей фазе уже не первый год. Вирус семейства MyTob — это сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Вирус распространяется, используя уязвимости Microsoft Windows LSASS (MS04-011) и Microsoft Windows DCOM RPС (MS03-026), а также через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Для распространения вредоносных вложений спамеры использовали старый трюк: рассылку электронных лжеоткрыток. «Открытка» находилась во вложении с говорящим названием «что-то там.card.zip» и на деле оказывалась троянской программой семейства Trojan-Spy.Win32.Zbot, ориентированной на кражу данных пользователя, либо, в некоторых рассылках, — backdoor.irc.zapchast.zwrc — бэкдором, управляющим компьютером через Internet Relay Chat с помощью программы mIRC. Чаще всего именно эти два вируса получал пользователь такой «открыткой».

Упомянутый бэкдор ходил по сети и в спам-рассылке, посвященной памяти Майкла Джексона:

Пользователь, желающий пройти по ссылке, получал предложение скачать файл в формате exe, который и являлся бэкдором.

Фишинг

Ссылки на фишинговые сайты находились в 1,09% всех электронных писем, это на 0,06%, больше, чем в июле. В августе интернет-ресурсы PayPal и eBay, так полюбившиеся фишерам и в течение полугода не покидавшие первых строчек нашего рейтинга, наконец сдали свои позиции. Доля атак на лидировавший с начала года PayPal снизилась в два раза (-21,54%) и составила всего 18,65%. Его соратник по несчастью интернет-аукцион eBay за август был атакован в три раза реже, чем в июле, доля атак на него составила 10,05% (-19,96%). На первое место неожиданно вышел банк CHASE (30,60%), который в прошлом месяце даже не вошел в десятку наиболее часто атакуемых организаций. Подобная ситуация уже наблюдалась в декабре 2008 года, когда банк CHASE так же нежданно взлетел откуда-то из-за пределов десятки на первую позицию. Тогда доля фишинговых атак на него составила 55,9%! Bank of America поднялся всего на одну позицию вверх по сравнению с июлем, однако, доля атак на него возросла внушительно — до 19,45% против 3,18 в июле.

Организации, подвергнувшиеся фишинговым атакам в августе 2009

В одной из фишинговых рассылок, нацеленных на пользователей PayPal злоумышленники умело подделали адрес администрации портала, заменив английскую «l» в слове Pal на цифру «1». Таким образом, поддельный адрес был похож на оригинальный практически как брат-близнец: service@PayPa1.com.

В англоязычном спаме клиентам Citibank предлагалось ввести все свои личные данные на предварительно взломанном сайте свободной протестантской церкви.

Рост количества фишинга был особенно заметен в конце августа. В последнюю неделю этого месяца процент писем тематики «Компьютерное мошенничество» увеличился на 4,6%.

Страны — источники спама

Страны-источники спама

В августе наблюдались серьезные изменения в рейтинге стран — источников спама. Первое место заняла Бразилия (11,8%), что обусловлено не столько ростом объемов спама, распространяемого из этой страны (они увеличились всего на 3,3%) сколько тем, что значительно уменьшилась доля США (-21,33% по сравнению с июлем). Второе место в рейтинге заняла Польша, — 8% мирового спама (+ 5,5% по сравнению с июльским показателем). Пятерку замыкают три азиатские страны: Вьетнам (6,83%), Индия (6,55%) и Корея (5,52%), «улучшившие» свои результаты по рассылке спама и вытеснившие из пятерки Китай и Россию. Китай, занимавший в июле третью строчку рейтинга, снизил обороты на 2% и опустился на 9 строчку. Доля России в рейтинге стран-источников спама уменьшилась на 1%, что обусловило ее перемещение на седьмое место.

Тематический состав спама

Распределение тематик спама в Рунете в августе 2009

Пятерка лидирующих спам-тематик августа:

1. Образование — 14,29% (-0,3%)
2. Медикаменты; товары/услуги для здоровья — 13,77% (-11,53%)
3. Реплики элитных товаров — 10,38% (+3,58%)
4. Реклама спамерских услуг — 9,89% (-5,51%)
5. Отдых и путешествия — 8,96 (+5,66%)

Спам категории «Образование» занял первое место в пятерке лидирующих спам-тематик. Однако доля писем этой тематики почти не изменилась по сравнению с прошлым месяцем. Более того, она немного уменьшилась (на 0,3%). Рубрика оказалась на первом месте за счет того, что уменьшилась доля спама категорий «Медикаменты и товары для здоровья» и «Реклама спамерских услуг».

Кроме того, стоит отметить, что первенство тематики «Образование» не означает притока спама посвященного сезону «снова в школу» и возвращению школьников и студентов за парту. Большая часть писем рекламировала семинары.

Рубрика «Медикаменты; товары и услуги для здоровья» уступила первое место, но ее доля, даже снизившись почти вдвое (-11,53%), осталась довольно внушительной (13,77%), а сам спам, связанный с этой тематикой по-прежнему разнообразен. В этом месяце спамеры использовали имя безвременно скончавшегося короля поп-музыки Майкла Джексона не только для распространения вирусов. Кликнув, например, на фотографию кумира (уточним: на зашумленную спамерским методом фотографию кумира), полученную в письме с заголовком «Michael Jackson dead? NO!!!» («Майкл Джексон мертв? НЕТ!!!») пользователь оказывался на странице с рекламой виагры.

Заметные изменения коснулись также доли писем тематики «Отдых и путешествия», которая вошла в пятерку после того, как процент ее вырос с 4,3% в июле до 8,96% в августе. Создается впечатление, что клиенты спамеров спохватились в конце лета и решили распродать все запылившиеся туры.

Важно отметить также рост тематики «Компьютерное мошенничество», не вошедшей в пятерку. По сравнению с прошлым месяцем доля мошеннических писем в спаме выросла почти в два раза и в августе составила 7,5% (+3,4%).

Заметно (на 8%) возросла доля рубрики «Другие товары и услуги», — клиенты спамеров возвращаются из летних отпусков. Интересным примером рекламы товаров при помощи спама в этом месяце стала рассылка продавцов химического сырья:

Также наше внимание привлекла нетривиальная рассылка магазина антишпионского оборудования, предлагающая получателю купить разнообразные средства для борьбы со шпионажем:

Доля саморекламы спамеров заметно уменьшилась (-5,5%) по сравнению с предыдущими двумя месяцами. Очевидно это вызвано активизацией заказчиков спама. В преддверии сентября спамерам уже нет необходимости так активно рекламировать свои услуги, как это приходилось делать в самый разгар кризиса и в период летнего спада деловой активности. И хотя доля рекламы спамерских услуг еще остается на достаточно высоком уровне, спамеры уже не так усердствуют, и, рассылая свою рекламу, пользуются старыми несложными трюками.

Оригинальный спам

В числе любопытных рассылок этого месяца были письма с рекламой химического сырья, портативных дозиметров, анти-шпионского оборудования и другие. Однако самой оригинальной оказалась рассылка, посвященная тарифам ЖКХ. На момент проверки она выглядела как альтруистическое начинание: письма не содержали в себе ни вредоносных программ, ни фишинга, ни предложения купить что-либо или заплатить за какую-либо услугу. Гражданам предлагалось проверить насколько справедливы тарифы, по которым ЖЭКи взымают с них плату, и ознакомиться с реальными тарифами на ЖКХ. При этом ссылка, содержащаяся в письме, действительно перекидывала пользователя на сайт с тарифами на оплату жилищно-коммунальных услуг.

«Альтруизм» спамерской рассылки может быть обусловлен разными причинами. Часто такие мероприятия служат для раскручивания новых интернет-ресурсов. Кроме того, известны случаи, когда сайт запускают и раскручивают для того, чтоб в дальнейшем подсадить на него вредоносную программу.

Спамерские методы и трюки

В этом месяце спамеры вновь применили заброшенный было прием: электронный адрес «нарисованный» закрашенными ячейками html-таблицы. Судя по всему, пока мы отдыхали от писем с такими «мозаиками», спамеры совершенствовались в искусстве закраски ячеек. Неудобочитаемые надписи превратились в качественные изображения:

Основной недостаток этого приема в том, что ряд пользователей предпочитает html-формату обычный текстовой формат письма, в котором красивая надпись не видна. Кроме того такая рассылка, конечно, не для ленивого получателя: адрес, нарисованный при помощи html-таблицы не является кликабельной ссылкой, и пользователю нужно самому вбивать его в строку браузера. Даже самые любопытные и неосторожные пользователи, как правило, этого не делают.

Было зафиксировано несколько спамерских рассылок довольно умело подделанных под легитимные. Спамеры старались подделать не только заголовки в поле «from», но и другие технические заголовки писем. Подобные сообщения якобы от ВКонтакте.ру были замаскированы под письма, полученные в неправильной кодировке.

По ссылке открывалось не приглашение в друзья, а порно-видео:

Заключение

Август, как мы и предполагали, стал месяцем активизации спамеров. В преддверии нового делового сезона и в условиях некоторого улучшения экономической ситуации, число заказов у спамеров, по всей видимости, увеличилось. Об этом говорит снижение доли саморекламы спамеров и возвращение в спам рекламы товаров и услуг, связанных с реальным сектором экономики.

Уменьшение доли саморекламы спамеров в потоках спама и отсутствие в ней новых трюков также говорит в пользу того, что спамеры перестали испытывать ощутимый дефицит заказов.

Активизация фишеров и прочих интернет-мошенников также пришлась на конец лета.

Рассылки, подделанные под письма от социальных сетей, вероятно, будут использоваться все шире. Несмотря на опасности, которые таит в себе web2.0, доверие пользователя к соцсетям очень высоко и последние, по всей видимости, попали в поле зрение киберпреступников надолго.