Marshal: 85% февральского спама рассылалось с шести ботнетов

Согласно статистике компании Marshal, в феврале по объемам разосланного спама лидировали компьютеры, зараженные троянской программой Srizbi. На их долю приходилось 39% глобального спам-трафика.

Второе место в февральском рейтинге ботнетов-спамеров от Marshal занял троянец Rustock — 20% от общего объема спама в Интернете, а ботнет Mega-D спустился на третью позицию (11% спам-трафика). 7% спама в прошлом месяце было разослано троянцем Hacktool.Spammer (он же Spam-Mailer), 6% — с ботнета «поклонников знаменитостей», 2% — «штормовым» ботнетом.

Исследователи Marshal отмечают, что количество рассылаемого с ботнетов спама не зависит от размеров парка инфицированных компьютеров. Так, ботнет Mega-D, объединяющий около 35000 зараженных ПК, по количеству спама все еще опережает своего «штормового» конкурента, состав которого, по экспертным оценкам, сократился, но все еще довольно внушителен и исчисляется 85000 ботов. Впрочем, с начала марта операторы «штормового» ботнета возобновили захватнические атаки на чужие ресурсы, пытаясь загрузить на них вредоносные файлы под видом присланных по электронной почте забавных открыток. 

Что касается операторов Mega-D, услугами которых широко пользуются распространители нелегитимной рекламы специфических снадобий Elite Herbal (Herbal King), то в середине февраля они, по данным Marshal, внезапно взяли 10-дневный тайм-аут. В этот период промоутеры индийских «чудо-таблеток», в настоящее время занимающие 4 место в списке ведущих спамеров от Spamhaus, осуществляли спам-рассылки с ботнета «поклонников знаменитостей» и машин, зараженных троянцами Srizbi, Rustock и Hacktool.Spammer.

Троянская программа, используемая операторами Mega-D для рассылки спама, была определена экспертами SecureWorks как представитель малоизвестного семейства Ozdok. (В базах «Лаборатории Касперского» этот троянец зафиксирован как Trojan.Win32.Pakes.brk.) Данная программа интересна своей способностью обходить «серые списки» почтовых серверов, производя повторную отправку спамовых сообщений по их запросу. Кроме того, троянец-полиглот контролирует активность аккаунтов получателей спама на основании информации о доставке, сообщаемой принимающим smtp-сервером. По данным SecureWorks, инфицированные Ozdok компьютеры базируются на территории многих стран Европы, Азии, Северной и Латинской Америки, в том числе около 15% машин — в США, около 12% — в России.

Эксплуатируемый «поклонниками знаменитостей» троянец Pushdo (он же Pandex и Win32/Cutwail), по свидетельству Symantec, за последние два месяца значительно расширил свой функционал. Эта программа-даунлоудер первоначально использовалась злоумышленниками для рассылки спама. Затем в нее был включен компонент, предназначенный для хищения конфиденциальной информации («infostealer»), через пару недель добавлена функция сбора почтовых адресов, а к середине февраля троянец обрел еще и способность копировать себя на сменные носители. 

Февральский лидер по спам-рассылкам, полиморфик Srizbi, атаковал пользователей Интернета призывами загрузить видеоролик с сенсационными подробностями личной жизни кинодив, популярных певцов, политических деятелей и «свидетельствами» природных катаклизмов. В качестве замаскированной вредоносной ссылки спамеры использовали модифицированный редирект рекламной службы Google, призванный «продавить» антиспам-защиту. Как установили эксперты, резидентный троянец Srizbi ведет учет активности почтовых аккаунтов и хорошо маскирует свою деятельность в сети, работая исключительно в режиме ядра.

Источник: MARSHAL