Kaspersky Security Bulletin

Kaspersky Security Bulletin, январь-июнь 2006. Спам в первом полугодии 2006 года

  1. Развитие вредоносных программ
  2. Вредоносные программы для не Win32-платформ
  3. Интернет-атаки
  4. Вредоносные программы для мобильных устройств
  5. Спам в первом полугодии 2006 года

В данном отчете анализируются количество и тематический состав спама в первом полугодии 2006 года, рассказывается о новых спамерских приемах и методах рассылки спама. Даются прогнозы развития спама в ближайшем полугодии. Отчет может быть полезен как профессионалам в области IT-безопасности, так и пользователям, интересующимся проблемой спама.

«Лаборатория Касперского» получает и анализирует примерно 300-500 тысяч спамерских сообщений в день. Источником анализируемого спам-трафика служат специальные ящики-«ловушки» и срезы различных по качеству и плотности почтовых потоков, предоставляемые нашими клиентами и партнерами. Весь входящий в систему спамерский трафик автоматически классифицируется. Часть входящего потока дополнительно анализируется вручную. Уникальный рубрикатор спама позволяет во всех деталях исследовать количественное и тематическое распределение спамерских сообщений.

Количество спама

Начиная с марта 2006 года аналитики «Лаборатории Касперского» отмечают стабильно высокую долю спама в почтовом трафике: 75-78% от общего объема почты.


Количественное распределение спама в Рунете в 2006 году

Это высокий показатель, и характерно, что аналогичная картина, по наблюдениям аналитиков «Лаборатории Касперского», наблюдается как в Рунете, так и в западном сегменте интернета.

По сравнению с 2004-2005 годами нижняя граница нормального распределения спама незначительно повысилась — с 73% до 75%. Но одновременно график долевого распределения спама оказался более плавным, без ярко выраженных подъемов и спадов. Это нетипичная картина. В 2003-2005 гг. в Рунете наблюдались два «сезонных» спада спама, связанные с традиционными праздниками — Новым годом и майскими выходными. В этом году «майского» спада не было.

Складывается впечатление, что к настоящему моменту произошло «насыщение» спамом почтовых потоков. Доля спама стабилизировалась на достаточно высоких показателях, и показатели эти уже слабо подвержены влиянию внешних факторов, например таких, как региональные праздники.

Картина долевого распределения спама в первом полугодии 2006 года следующая:

  • в январе уменьшение доли спама до минимального значения — 44% от общего объема почтового трафика (4-5 января);
  • затем скачкообразный подъем до пика в 86,4% в феврале (14-17 февраля);
  • еще несколько резких скачков с колебаниями от 63,8% до 81,2%;
  • и, наконец, выход доли спама в стабильную зону 75-78%.

В течение последних четырех месяцев полугодия доля спама была слабо подвержена колебаниям, хотя 13 апреля был зафиксирован всплеск до 89,7%. К концу первого полугодия наметился постепенный рост доли спама, и последний месяц полугодия — июнь — завершился с долевым значением 82,2%, что также нетипичнодля середины лета. До этого года середина лета оказывалась своеобразным мертвым сезоном на рынке спамерской рекламы. Последующие месяцы покажут, вернется ли доля спама в границы средних значений, т.е. опустится ниже 80% или нет.

Тематический состав спама

В первом полугодии 2006 года тройка лидирующих тематических категорий спама выглядит так:

  1. Спам тематики «компьютерное мошенничество» (cюда относятся такие категории спама, как фишинг, «нигерийские» письма, фальшивые уведомления о выигрыше в лотерею и т.п., предложения контрафактных и контрабандных товаров, мошеннические предложения отправить SMS на платный номер и т.п.).
  2. Спам с предложениями лекарств и прочих медицинских и «околомедицинских» товаров/услуг.
  3. «Образовательный» спам: предложения курсов, семинаров и тренингов.

Распределение тематик спама в Рунете, I полугодие 2006 года

Доля спама тематики «компьютерное мошенничество» вновь росла. Среднее значение этой доли спама в 2005 году составило 11% от всего объема спама, а в первом полугодии 2006 года этот показатель уже равен 18,8%. Подробнее см. ниже в разделе «Криминализированный спам».

Некоторые рассылки внутри тематик отличаются завидным постоянством: они регулярно повторяются и рассылаются по миллионам адресов.

Список TOP-3 самых массовых, продолжительных и регулярно повторяющихся спам-атак выглядит следующим образом:

  1. Предложения виагры и прочих средств для усиления потенции (темы сообщений с искаженными написаниями названий медицинских препаратов, например ouxomVjlAGRA).
  2. Финансовый спам — попытка повлиять на стоимость акций на фондовой бирже (темы сообщений с предложениями акций, например Stock Promo Mover: SGXI.PK).
  3. Предложения курсов, тренингов и семинаров для руководителей по повышению мотивации служащих, вопросам бухгалтерии и налогообложения.

Криминализированный спам

О продолжении процесса криминализации спама свидетельствуют:

  • дальнейший рост доли спама тематики «Компьютерное мошенничество»;
  • появление новых видов мошенничества, инструментом для реализации которых служит спам;
  • совершенствование уже известных видов спама этой тематической категории.

О росте доли криминализированного спама свидетельствуют цифры — в первом полугодии 2006 года доля криминализированного спама в среднем составила 18,8%.


Доля криминализированных атак в спаме, I полугодие 2006 года

На графике видно, что распределение криминализированного спама в первом полугодии не было равномерным. В пиковые периоды доля кримилизированных спам-атак иногда достигала 25% от всего объема спама. Продолжительность каждого такого «пика» составляла 1-3 дня. В остальное же время криминализированные атаки составляли 13–16% от всего спама. Точечные детальные замеры по этой категории спама показывают, что случаи фишинга могут составлять до половины всех спам-атак тематики «Компьютерное мошенничество».

Некоторые виды криминализированного спама распространены во всем мире. Это прежде всего фишинг, «нигерийский» спам, «финансовый» спам, предложения контрафактного ПО и пр. Но существуют виды спама, уникальные для разных регионов. Например, участие в замаскированных схемах по отмыванию денег (подается спамерами как легальный бизнес) предлагают исключительно пользователям западной части интернета.

Good day, Sir/Madam!

Let me introduce myself: my name is Sergey Rubinshtein and I am a financial analyst in Moscow. My specialization is analysis of Russian economics and financial markets. I frequently perform consulting projects for US financial firms. My American client’s Human Resources Dept manager advised me to find an American resident to serve as an intermediary because it is easier to receive payment this way than filling out all the required paperwork to become a 1099 employee.

That’s why I ask you for help in transferring consulting payments received from the US firms and will gladly compensate you with a percentage of my wages which I expect to be about $2,000 — $4,000 per week. This will become a small but recurring source of income for you for very little effort. Please contact me via e-mail if you are interested and would like to know the details.

В свою очередь, пользователи Рунета в конце первого полугодия 2006 года могли оценить спамерскую новинку: спам, призывающий получателя под тем или иным предлогом отправить SMS на платный номер. Предлоги бывают самые разнообразные. Например, спам-аналитики «Лаборатории Касперского» обнаружили спам с предложением… отписаться от спама, отправив SMS на указанный в тексте письма номер.

Warning!!! ВАШ E-Mail в спам листе!!!

Чтобы убрать его оттуда — отправьте смс сообщение «kop+{NUM} ваш е-mail» на номер {PHONE NUM}

Спамеры обещают, что мифическая «отписка от спам-баз» является бесплатной, но в действительности отправка SMS на предлагаемые спамерами номера обойдется отправителю от $0,3 до $5. Так что доверчивый пользователь лишится некоторой суммы денег, а спам будет приходить к нему как и раньше.

Часть криминализированного спама обычно представлена рассылками на европейских языках — английском, французском, немецком. Например, поддельные уведомления о выигрыше в лотерею обычно англоязычные, «нигерийцы» пишут на английском и французском, поддельные часы и сумки известных марок предлагают на английском языке и т.п.

Попытки перевести некоторые популярные виды англоязычного спама были зафиксированы и в прошлые годы. До сих пор они остаются скорее в разряде курьезов, т.е. не носят массового характера. В первом полугодии 2006 года спамеры вновь продолжили осваивать русскоязычную аудиторию, которая, очевидно, кажется им достаточно перспективной.

Вот несколько примеров «русификации» типичного англоязычного спама.

Фальшивое уведомление о выигрыше в лотерею:

Поздравляем с победой

Здравствуйте уважаемый участник российской почтовой лотереи!

Рады сообщить вам, что вы в числе 35 победителей!

Ваш приз — СОТОВЫЙ ТЕЛЕФОН NOKIA N92!

В течение трёх дней, после получения этого письма, вам необходимо оплатить почтовую доставку 15$ на счёт WebMoney {Num} или {Num} В примечании укажите ваш пароль — {Psswrd} и телефон, для связи с вами. После получения платежа мы свяжемся с вами в течение суток и уточним адрес и время доставки, удобное вам.

ООО «Мобильные Лотереи» при поддержке МинСвязи РФ

«Нигерийский спам» в машинном переводе:

Приветствия,

Моим именем будет Др. John Мооре, и я работаю в международном отделе деятельности в крене здесь в London.I чувствую довольно безопасный общаться с вами в этом важном деле. Хотя, это средство (интернет) больш было злоупотребляно, я выбираю достигнуть вас через его потому что все еще остает самым быстрым средством сообщения.

Однако, эта корреспонденция неслужебна и приватна, и она должна быть обработана как такие. На сперва я полюблю убедить вас что этими трудыами будут риском и тревогой 100% свободно к обеим партиям.

МЫ ХОТИМ ПЕРЕНЕСТИ ИЗ ДЕНЬГ ОТ НАШЕГО КРЕНА ЗДЕСЬ В LONDON. ФОНД ДЛЯ ПЕРЕХОДА CLEANORIGIN. ПРЕДПРИНИМАТЕЛЬ ЭТОГО УЧЕТА БУДЕТ ИНОПЛЕМЕННИКОМ, руководителем программы. До его смерти, последний премьер-министр, г-н Рафик Юарири, не иметь огромное облечение здесь в соединенном королевстве и во всем мире, фактически он имеет сумму (30 6 МИЛЛИОНОВ 700 И 50 9 ТЫСЯЧ ФУНТЫ STERLINGS) в его учете здесь в london который он депозировал как ценности семьи. Семьи не знают о этой залеми. Я был на по заведенному порядку осмотре что я открыл dormant domiciliary учет с bal. (30 6 МИЛЛИОНОВ 700 И 50 9 ТЫСЯЧ ФУНТЫ STERLINGS) на более дополнительном небезрассудном исследовании, я также открыл что держатель учета передавал прочь (умершие) не оставлять никакой бенефициант к учету.

Здесь приведен фрагмент сообщения, так как большой размер исходного текста не позволяет опубликовать его полностью. Сохранена орфография исходного спамерского сообщения.

Пока это лишь эпизодические попытки адаптации типичного англоязычного спама к российскому рынку, но если они увенчаются успехом — спамеры получат достаточный финансовый «отклик», — то подобный спам может стать нередким гостем в почтовых ящиках российских пользователей.

Технические особенности рассылки спама

За прошедшее полугодие не появилось никаких принципиально новых технологий рассылки спама, но произошло последовательное развитие существующих технологий.

Программное обеспечение современных спамеров имеет сложную организацию, куда входят следующие компоненты:

  • Вирусы, заражающие персональные компьютеры.
  • Распределенные средства управления зомби-сетями.
  • Средства удаленного управления персональными компьютерами и серверами.
  • Автоматические генераторы сообщений по шаблонам.

Уровень сложности этих компонентов стал столь высок, что что-либо принципиально новое в рассылке спама уже не может появиться за несколько месяцев, вместо этого идет эволюционное развитие существующих методов рассылки спама.

Как и прежде, для рассылки спама используются:

  • Сети зомби-компьютеров (ботнеты).
  • Веб-сервера, уязвимости в популярном серверном ПО.

Сети зомби-компьютеров

Основной объем спама рассылается через сети зомби-компьтеров (ботнеты). Количество таких сетей неуклонно увеличивается, и сами сети объединяют все больше машин. Хотя зафиксированный голландской полицией рекорд прошлого года, арестовавшей создателей сети из полутора миллионов персональных компьютеров, до сих пор не был превзойден. К сожалению, из этого не следует, что таких больших сетей зомби-компьютеров не существует, скорее всего, пока не удается их вычислить и найти владельцев сети.

Типовой способ управления зомби-сетями постепенно мигрирует с протокола IRC на протокол HTTP. При этом для централизованных сетей (то есть имеющих некоторый узел управления, к которому присоединяются остальные зомби-компьютеры) центр управления все чаще располагается на «спамоустойчивом» выделенном сервере (под «спамоустойчивым» сервером понимается сервер, арендованный у провайдера, лояльно относящегося к использованию его мощностей в качестве источников спама, игнорирующего жалобы на адрес abuse и т.п. Обычно такие провайдеры находятся за пределами стран, имеющих законодательство, регулирующее распространение спама). Тем самым, выделенные сервера получают вторую жизнь не как источники спама, а как центры управления зомби-сетями.

Кроме того, стали чаще появляться децентрализованные сети зомби-компьютеров, в которых каждый «зомби» пытается соединиться с максимальным числом других, а команды управления передаются от одного компьютера к другому по всей сети. Управление подобными сетями происходит через любой из компьютеров, входящих в сеть.

В качестве противодействия сетям зомби-компьютеров, интернет-провайдеры, предоставляющие доступ в интернет конечным пользователям, устанавливают для своих пользователей следующие ограничения:

  1. Запрет на непосредственную рассылку почты иным почтовым релеям, кроме принадлежащего провайдеру. Это нужно для получения контроля над всей исходящей почтой.
  2. Контроль количества исходящих почтовых сообщений за единицу времени от одного пользователя. Отключение пользователя или существенное ограничение возможности отправлять электронную почту при превышении определенного порогового количества.
  3. Фильтрация содержимого отправляемых писем теми же фильтрами, которые используются для входящей почты.

Такие меры позволяют ограничить рассылку спама зомби-сетями, рассылающими его напрямую или большими количествами с одного и того же компьютера, и при этом не являются обременительными для обычного пользователя. В ответ на это спамеры стали использовать большее количество зомби-компьютеров для производства спамерских рассылок, тем самым сокращая количество писем приходящееся на одну зомби-машину. Еще один способ рассылки, который стали использовать спамеры — рассылка спама через почтовый сервер провайдера, который определяется сканированием сети или с помощью анализа настройки почтового клиента пользователя.

Веб-сервера: уязвимости в популярном серверном ПО

Основная идея рассылки спама с использованием веб-серверов и уязвимостей в серверном ПО аналогична идее использования бот-сетей: злоумышленникам необходимо заставить сервер выполнить нужные им операции. Однако поиск уязвимостей производится не в персональных компьютерах, а в серверах, обычно работающих под управлением операционных систем Unix, немного отличаются способы заражения и управления, а также использования найденных уязвимостей.

Заражение веб-серверов происходит примерно по следующей схеме:

  1. Исследуя исходные тексты популярного серверного ПО, написанные на языке программирования, злоумышленник ищет уязвимости, с помощью которых можно получить доступ к ресурсам сервера. В основном, поиск уязвимостей производится в интерпретаторе PHP, популярных движках форумов или блогов.
  2. При помощи поисковых систем (Google, Yandex и т.д.) разыскиваются веб-узлы, на которых установлено программное обеспечение, содержащее в себе уязвимости.
  3. Уязвимости используются для того, чтобы установить на сервер скрипты, позволяющие удаленно выполнить какие-либо команды или модифицировать данные, доступные веб-серверу.

После этого найденный доступ можно использовать для рассылки спама или DDoS-атак.

Такое использование сервера может быть достаточно быстро замечено системным администратором, который ликвидирует как вредоносный код, так и саму уязвимость.

Другое использование, менее заметное для владельца сервера, заключается в интеграции в HTML-код зараженных ресурсов вирусов, заражающих интернет-браузеры посетителей, — соответственно, чем популярнее ресурс, тем больше персональных компьютеров рискуют превратиться в зомби через уязвимости браузеров.

Графический спам

Хитом первого полугодия 2006 года стал «графический» спам, то есть спамерские рассылки, в которых основная информация находится на приложенной к письму картинке, а не в тексте письма. Количество такого спама неуклонно растет. Одновременно спамеры модифицируют ПО для подготовки и рассылки «графического» спама. В частности, появились следующие новшества:

  1. Повороты исходных картинок на случайные углы.
  2. Разрезание картинок на части и представление их вместе средствами языка разметки HTML.
  3. Графическое представление отдельных букв — разных в разных образцах одной и той же спам-атаки.

Новые трюки, разрабатываемые спамерами, преследуют ту же цель, что и более старые способы обхода спам-фильтров: внести в изображение «шум», который не позволит фильтрующему модулю сгруппировать спам-рассылку и идентифицировать графические вложения в рассылке как одинаковые по контрольной сумме.

Любое новшество спамеров требует модификации программного обеспечения, которое они используют. А это уже — время, деньги и людские ресурсы. Значит, если спамеры начали работу в каком-то направлении, то на текущий момент именно такой спам наиболее успешно пробивает почтовую защиту.

Сегодняшние спам-атаки с применением графических «новинок» являются англоязычными и ориентированы прежде всего на западного пользователя. Чаще всего в «графическом» спаме встречаются предложения лекарственных препаратов, дешевого ПО, швейцарских часов, попытки биржевых спекуляций.

В Рунете волна экспериментов с «графическим» спамом прошла два года тому назад, но затем спамеры, работающие на рынке Рунета, практически прекратили опыты с графикой, ограничившись теми технологиями и наработками, которые были созданы ими в 2004 году.

Ниже даны примеры графических «новинок» первого полугодия 2006 года.

Два образца одной спам-атаки с поворотами текста:

«Фрагментированное» изображение:

Вот так пользователь видит сообщение в почте:

На самом деле изображение состоит из нескольких частей, например, таких:

Вот то же сообщение, на котором выделены фрагменты изображения:

Графические изображения отдельных букв:

Строго говоря, это не столько новшество, сколько попытка реанимации очень старого графического трюка. Подобных примеров не было уже более 1,5 лет, поэтому мы позволили себе отнести эти попытки к разряду новинок этого полугодия.

Вот так увидит сообщение пользователь:

Это то же сообщение, в котором выделены графические фрагменты текста:

Спам в форумах

В прошлом году мы писали о том, что не только эл. п. служит спамерам для осуществления их целей — спамеры начали осваивать другие каналы: средства instant messaging (ICQ, MSN), сотовые телефоны (SMS, MMS). Однако на этом они не остановились. Значительно увеличилось количество спама в популярных форумах и лентах комментариев блогов.

Раньше спам подобного типа был предназначен не для прочтения людьми, а для обмана поисковых систем, т.е. повышения рейтинга рекламируемого сайта за счет большего количества ссылок на него. Для распространения такого спама в основном использовались «забытые» форумы, хозяева которых больше не следят за их состоянием. В прошедшем полугодии начала расти доля спама, который несет рекламную информацию и предназначен для прочтения людьми. Внешне такой спам имитирует обычные сообщения на форумах. Для его распространения выбираются наиболее посещаемые форумы и блоги, часто подходящие по тематике рекламируемых товаров или услуг.

Выводы

  1. Доля спама в почте по-прежнему высока: 75-78%. К середине лета неожиданно наметилась тенденция роста доли спама. Июнь закончился на показателе 82,2%.
  2. Чаще всего пользователи получали спам следующих тематических категорий: «компьютерное мошенничество», «фармацевтика» (в основном представленная виагрой и подобными средствами), «образовательные услуги».
  3. В Рунете появился новый вид мошеннического спама. Это спам, призывающий получателя под тем или иным предлогом отправить SMS определенного вида (содержащее заданное кодовое слово и/или номер) на номер платного сервиса. Цель спамеров: перечисление денег на их личные счета.
  4. Происходит эволюция существующих методов рассылки спама.
  5. Графический спам: новый виток развития спамерских технологий.
  6. Спамеры осваивают форумы и блоги.

Kaspersky Security Bulletin, январь-июнь 2006. Спам в первом полугодии 2006 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике