Отчеты по спаму и фишингу

Спам в Рунете: I полугодие 2004 года

Аналитический отчет

О нашем исследовании:
как мы анализируем спам

Аналитический отчет подготовлен компанией «Ашманов и Партнеры» по материалам Лаборатории «Спамтест».

Компания «Ашманов и Партнеры» является ведущим производителем антиспам-фильтров в России. Наши фильтры установлены на интернет-сервисах Mail.ru, Петерлинк, РТКомм, РБК и во многих частных компаниях. Ежедневно наши фильтры обрабатывают до 20 миллионов писем.

Лаборатория «Спамтест», которая является одним из подразделений компании, получает и анализирует 100-150 тысяч спамерских писем в день. Источником такого обширного трафика служат как специальные ящики-«ловушки», так и «срезы» различных по качеству и плотности почтовых потоков Рунета. Такой представительный поток данных позволяет нам составить достоверную, детализированную картину распределения потоков спама, его качественного и количественного состава. Наши фильтры автоматически разбирают входящий поток спама примерно по 550 рубрикам, так что тематическая и календарная картина спама оказывается полностью открытой для анализа.

При использовании материалов данного обзора ссылка на ЗАО «Ашманов и Партнеры» обязательна.

Содержание:

1. Количественное распределение спама в I полугодии 2004 года: постепенный, но уверенный рост

2. Качественный состав спама в I полугодии 2004 года

3. Технические особенности рассылки спама

1. Количественное распределение спама в I полугодии 2004 года: постепенный, но уверенный рост

1.1. Объем спама в общем почтовом трафике Рунета достигает 80%

К концу I полугодия 2004 года уровень спама достиг значения 70-80% от общего объема почтового трафика Рунета. Это меньше значения, которое прогнозировали в конце 2003 года эксперты многих отечественных интернет-компаний: тогда высказывались предположения, что к концу первого полугодия 2004 года уровень спама может приблизиться к отметке 90% от всей почты Рунета.

В то же время это усредненный показатель по многочисленным почтовым потокам. В трафике почтовых серверов, различающихся по количеству ящиков, «известности» и т.п., и, тем более, в почте индивидуальных пользователей показатели количественного распределения спама могут существенно различаться.

По данным Лаборатории «Спамтест» в конце 2003 года доля спама составляла 65-70% от общего объема трафика. В отчетный период, несмотря на замедление темпов прироста спама, видна тенденция к увеличению доли спама в почтовом трафике: к началу лета 2004 года прирост составил 10-15% от общего объема почты.

1.2. Сезонные колебания в количественном распределении спама

Первое полугодие 2004 года было завершено на отметке 70-80% спама от общего почтового трафика Рунета, но распределение спама по этому отрезку времени не является равномерным и монотонным. Спам подвержен сезонным всплескам и провалам, коррелирующим с движением почты в целом, а также с периодами традиционной активности и затишья рекламных кампаний.

Диаграмма 1. Доля спама в общем почтовом трафике Рунета

Доля спама в общем почтовом трафике Рунета

Минимум спама был зафиксирован 3-го мая (в некоторых потоках доля спама снизилась до 5%), максимум — 22 января и 13 мая (до 85% в отдельных потоках).

Начало года (первая декада января) характеризуется типичным сезонным спадом в почтовом трафике. Это связано с продолжительным праздничным/отпускным периодом. В этот период было зарегистрировано падение объема спама в почтовых потоках до 48% от всего объема почты.

В течение второй и третьей декады января произошел бурный, лавинообразный рост количества спамерских сообщений. Примечательно, что основную их массу составила реклама услуг самих спамеров: предложения по организации почтовых рассылок. Очевидно, спамерам были нужны заказчики.

В феврале ситуация стабилизировалась, и далее вплоть до апреля доля спама оставалась на среднем уровне конца прошлого года: 65-70%. В конце марта был отмечен непродолжительный спад доли спамерских предложений до 59,2% от общего почтового трафика.

В апреле начинается стремительный подъем уровня спама, резко увеличивается количество русскоязычных предложений туров и поездок на весенние каникулы, майские праздники и в летний отпускной период. В англоязычном спаме растет доля предложений по управлению личными финансами и предложений дешевого ПО. Рост объема спамерских предложений достигает отметки конца прошлого года.

Однако в первой декаде мая следует очередной спад, на этот раз лавинообразный. Это объясняется тем, что майские праздники — традиционный «мертвый» сезон для Рунета, когда почтовая и прочая активность пользователей снижается до минимума. Жители крупных российских городов (а именно они составляют большинство российских пользователей Интернета) в это время берут отпуска и отправляются отдыхать или едут трудиться на садовых участках. В результате в этот праздничный период резко снижается количество потенциальных потребителей рекламы, и, соответственно, падает объем рекламных предложений, что наиболее ярко отражается на русскоязычных коммерческих предложениях. Доля некоторых спамерских тематик, обычно представленных русскоязычными письмами, в это период составила менее 1%. Это, прежде всего, тематики «Отдых и путешествия» и «Образование». Русскоязычные предложения различных товаров также практически отсутствовали.

Лаборатория «Спамтест» зафиксировала минимум спама 3-го мая. В этот день объем спамерских сообщений составил лишь пятую часть от среднесуточного значения доли спама в почтовом трафике за предыдущие два месяца (март-апрель). В корпоративной почте некоторых небольших компаний доля спама снизилась до удивительно низкого показателя — 5%.

Сразу после майских праздников спамеры возобновляют активную деятельность, и нарастание объема рассылок идет так же активно, как до этого их спад. К концу мая — середине июня доля спама в почтовом трафике Рунета превышает показатели прошлого года и вплотную приближается к значению 80%.

1.3. Спам, вирусы и почтовый «мусор»

Лаборатория «Спамтест» традиционно понимает под спамом незапрошенные коммерческие рекламные рассылки, отвечающие требованиям массовости и анонимности. Но рядовые пользователи склонны расширять границы этого понятия, приравнивая к спаму все виды неинформативных и/или нежелательных сообщений — автоответы почтовых роботов, письма с вирусами и т.п., — тем более, что для проведения некоторых видов подобных рассылок (например, для рассылки вирусов), все чаще используется специализированное спамерское программное обеспечение1.

Тенденция объединения спамерских и хакерских технологий наметилась еще в 2003 г., когда спамерское ПО впервые было применено для массированной вирусной атаки. Эта тенденция развивалась в 2004 году: в первом полугодии было зафиксировано несколько вирусных атак, в которых вирусы рассылались с использованием электронной почты. Например, серьезную угрозу интернет-сообществу представляли эпидемии сетевых червей Novarg, Bagle и NetSky.

Вирусовые эпидемии приводят к росту спамерского трафика. Они провоцируют появление большого количества не только содержащих вирусы писем, но и других видов нежелательной почты: например, «безобидных» писем, от которых вирус был «отрезан» каким-либо антивирусом, или многочисленных автоматических отказов в доставке, информирующих пользователя о наличии вируса в корреспонденции с его машины. Все эти внешне безобидные сообщения забивают каналы связи и почтовые ящики, так что разработчикам антиспам-фильтров в некоторых случаях приходится принимать меры (в частности, вносить образы вирусных писем в свои базы).

2. Качественный состав спама в I полугодии 2004 года

Тематики коммерческих рассылок меняются в зависимости от многих факторов: сезона (например, летом спамеры предлагают кондиционеры и отдых в Турции), фактора наличия свободных денежных средств (покупательской способности) и многих других.

Не все тематики равномерно представлены в потоке спама. Более 50% всего потока спама составляют рекламные объявления следующих тематических групп: «Для взрослых», «Образование», «Медицина и Здоровый образ жизни», «Услуги по электронной рекламе», «Личные финансы», «Отдых и путешествия»2. Суммарная доля этих тематик может снижаться до отметки 50% и даже ниже, но происходит это в периоды вирусовых эпидемий, когда объем незапрошенной корреспонденции возрастает в несколько раз, и весь прирост трафика идет за счет писем-оболочек для распространения вирусов.

2.1. Лидеры спамерских тематик

Безусловным лидером спамерских тематик является тематика «Для взрослых», объединяющая предложения купить виагру и прочие средства для усиления потенции, посетить порносайты или получить к ним пароли и т.п. Ее доля в общем объеме спама достигает 25%.

На втором месте — тематика «Медицина и Здоровый образ жизни», представленная, в основном, фармацевтическими предложениями («лекарства дешево», «лекарства без рецепта» и т.п.). Ее доля достигает 15%.

Третье место в спамерских потоках Рунета занимает тематика «Образование» (до 13%), представленная предложениями участвовать в тренингах и семинарах, пройти те или иные курсы, получить дополнительное образование.

Таблица 1. Тематические лидеры

Тематика Средняя доля тематики Максимальное значение за I полугодие Преимущественный язык рассылок
Для взрослых 18,2% 25% английский
Медицина и Здоровый образ жизни  9,8% 15% английский
Образование 10,3% 13% русский
Компьютеры и Интернет3  8,8% 13% английский
Личные финансы  6,0% 11% английский
Услуги по электронной рекламе  4,4% 10% русский
Отдых и путешествия  2,8%  5% русский

2.2. Тематическое распределение спама

Распределение основных тематик спама по месяцам представлено на Диаграмме 2.

Диаграмма 2. Распределение основных тематик спама по месяцам 2004 г.4

Распределение основных тематик спама по месяцам 2004 г.

На диаграмме хорошо видны всплески сезонной активности некоторых тематик. Например, объем спама категории «Отдых и путешествия» начинает расти с конца февраля — начала марта, что объясняется приближением весенне-летнего сезона отпусков (мартовские весенние каникулы, майские праздники, летние отпуска). Во время майских праздников и сразу после них отмечен «провал» объема спама данной категории. Обусловлен он тем, что реклама в это время экономически необоснованна: деньги потребителей только что потрачены на майский отпуск. К концу мая снова наблюдается резкое увеличение спама этой тематики — настала пора думать о летнем отдыхе.

Развитие тематики «Компьютеры и Интернет» происходит по иному сценарию. В данной тематике более половины предложений — англоязычные («cheap soft», «software clearance sale» и т.п.). Доля спамерских сообщений данной тематики плавно увеличивалась в течение нескольких месяцев, а резкий скачок произошел в период «больших» летних распродаж — традиционного периода повышенной покупательской активности для западного (англоязычного) пользователя.

Обращает на себя внимание скачок в распределении тематики «Для взрослых» в начале мая. Специфика этого периода (майские праздники) заключалась в обвальном падении доли русскоязычного спама. Соответственно, некоторые спамерские тематики, преимущественно представленные русскоязычными сообщениями, в это период набрали менее 1% от общего объема спама. Это, прежде всего, тематики «Отдых и путешествия» и «Образование». Русскоязычные предложения различных товаров также практически отсутствовали. Как результат, мы наблюдаем повышение относительной доли типичных англоязычных тематических категорий — «Для взрослых» и «Медицина и Здоровый образ жизни».

2.3. Спамерские тематические «новинки»

По данным Лаборатории «Спамтест» в первом полугодии 2004 года в спамерских потоках Рунета были отмечены несколько новых разновидностей спама. К сожалению, многие из них одновременно являются неприкрытым мошенничеством (в англоязычной части Сети такие письма называются «scam»): это и новые разновидности «нигерийских» писем, и попытки украсть логины/пароли от известных банковских систем или от почтовых ящиков, и некоторые другие.

В отчете приведены наиболее характерные «новинки».

«Нигерийские» письма с русским акцентом

«Нигерийскими письмами» во всем мире называют сообщения, написанные от имени реальных или вымышленных лиц, чаще всего, — граждан стран с нестабильной экономической ситуацией. Автор такого письма обычно утверждает, что он располагает миллионами долларов (например, украденные иностранные инвестиции или гранты ООН), но они приобретены не совсем законными способами или же хранятся в обход закона. Далее автор письма объясняет, что по этой причине он не может разместить деньги на счету в нигерийском банке, и что ему срочно требуется счет в зарубежном банке, куда можно перечислить «грязные» деньги. В качестве вознаграждения за помощь предлагается от 10% до 30% от заявленной в письме суммы. Идея мошенничества заключается в том, что доверчивый пользователь предоставит автору письма доступ к своему счету. Нетрудно предугадать результат — все деньги с этого счета будут сняты, и пользователь их лишится.

До этого года особенностью подобных писем была их языковая принадлежность: они приходили исключительно на английском языке. В первом полугодии 2004 года впервые появились аналогичные письма на русском языке, а также письма на английском, но эксплуатирующие ситуацию, сложившуюся в российской экономике, — в частности, арест М. Ходорковского и нестабильность компании «Юкос»:

Complements,

I am Mr. GIOVANNI ANTONIO an African / Italian and company secretary to YUKOS OIL West Africa owned by Mikhail Khodorkovsky (M.K) one of the richest men in Russia and owner of the following companies: Chairman CEO: YUKOS OIL (Russian Most Largest Oil Company) Chairman CEO: Menatep SBP Bank (A well reputable financial institution with its branches all over the world).

I have in my procession documents to authenticate and authorise transfer of USD15,000,000.00 (Fifteen million United States Dollars only) to be used in payment of oil contractors/suppliers with our company based in South Africa in union with our boss now in detention.

While I was on the process, My Boss got arrested for his involvement on politics in financing the leading and opposing political parties (the Union of Right Forces, led by Boris Nemtsov, and Yabloko, a liberal/social democratic party led by Gregor Yavlinsky) which poses treat to President Vladimir Putin second tenure as Russian president.

Presently the funds in the Central Security Vault of the BANQUE CENTRALE DES ETATS DE L'AFRIQUE DES OUEST(BCEAO)through our bank instructions (ECOBANK BENIN) where the transfer will take effect after receipt of your consent as I was mandated to nominate beneficiaries for the funds. I solicit to nominate you as the beneficiary of the funds. I will provide documentations, which will enable ECOBANK BENIN, to transfer the sum to your designated account as a contractor with the company. I am assuring you that this transaction is hundred percent risks free. All documentations to be provided will cover and prevent any retribution after transfer of funds, as interest of all parties will be strictly protected.

The transaction has to be concluded before Mikhail Khodorkovsky is out on bail or prison though under medical treatment now and case adjourned indefinitely in the Russian courts. For your assistance, my colleagues and I are prepared to compensate you adequately (Subject to negotiations).

Please contact me confirming your interest. Please also favour me with your full contact coordinates (Phone/fax etc) to enable me contact you at a convenient time.

Предложения и советы по инвестированию

Это относительно новая разновидность спама. Тематически она относится к группе «Личные финансы». В большинстве случаев письмо содержит описание «биржевого лидера недели», т.е. информацию о компании, которая якобы находится на подъеме стоимости акций. Фактически это попытка повлиять на предпочтения инвесторов и курс акций (очевидно, заказанная игроком фондового рынка).

В международной классификации спама подобные письма относят к мошенничеству (scam), хотя и не запрещенному юридически. Можно предположить, что большинство таких рассылок оплачены держателями акций мелких компаний, желающими, например, поднять стоимость акций до максимума и оперативно продать их, пока они снова не упали в цене. Фальшивые «советы» по инвестициям могут также использоваться для снижения стоимости акций конкурентов.

До сих пор подобный спам существовал исключительно на английском языке, но сейчас эту разновидность спама можно изредка встретить и в русскоязычном варианте.

Спам как средство пропаганды

В 2003 году эксперты компании «Ашманов и Партнеры» прогнозировали развитие политического и прочего «агитационного» спама. В первом полугодии 2004 года эти прогнозы полностью оправдались. Спам активно использовался в избирательных кампаниях, пришедшихся на начало 2004 года. В спамерских посланиях были отмечены многие политические партии, движения и отдельные наиболее яркие политические деятели. Эта тенденция прослеживается не только в Рунете, но и во всемирной Сети в целом. Так, волны политического спама сопровождали июньские выборы в Германии. Естественно, в Рунете можно было наблюдать только слабые отголоски этой «немецкой волны», тем не менее, многие пользователи российских почтовых служб получили образчики этого спама.

Спамеры в роли борцов со спамом

Еще одна тематическая новинка 2004 года — предложения антиспамерского ПО.

Строго говоря, первые сообщения этой тематики были зафиксированы почти год назад, но тогда они были единичными на фоне общего почтового трафика Рунета. Сейчас их количество стало заметным, хотя и не превышает 1% от общего объема спама.

Спамерскими эти предложения являются как по способу организации рассылки (массовая, анонимная, незапрошенная), так и по сути предложений: большинство ссылок на сайты, где пользователь должен искать антиспамерское ПО, уже недоступны к моменту получения письма, или, что гораздо хуже, содержат вирусы.

В некоторых случаях предлагаемое ПО в действительности является бесплатной демонстрационной версией популярных западных антиспамерских фильтров, что вызывает тревогу у фирм-производителей данного ПО. Естественно, ни одна фирма-производитель антиспам-фильтров не рекламирует свою продукцию с помощью спама. Тем самым подобная акция рассматривается как дискредитация фирмы/торговой марки.

Ниже приведен пример такого спама. В этом письме название рекламируемого спамерами ПО (Email Box Filter) созвучно названию популярной торговой марки (Mail Box Spam Filter).

If you receive a vast amount of bulk email then please read on

This is email was sent to you so you may stop unwanted emails from entering your inbox.

Let me tell you a little bit about myself and why I am imposing on your valuable time.

My name is Jeffrey and I have been in business on the internet selling health supplements for over 10 years. Can you imagine the amount of spam I used to receive daily after 10 years of business? Let me tell you... It was overwhelming to say the least. In a short amount of time was very difficult to operate my online business. My inboxes where filled with advertisements for every product and get rich quick scheme out there.

Since my email accounts were for business use and all of my customers knew me by them, it was imperative that I kept them. I was determined to stop my inboxes from getting cluttered every day. I tried every method possible to keep my inboxes clean but it was getting worse by the month. After spending hundreds of dollars on spam blockers and countless hours I finally found the perfect solution. It is called Email Box Filter.

Email Box Filter was a lifesaver for me. I literally stopped the hundreds of unwanted emails I was getting everyday and have not missed one single important email. On top of all that I have eliminated any email virus threat. Here is a link where you can see all the facts. {Link}

Открытки «с секретом»

Это еще один пример тесной консолидации спамеров и создателей вирусов. В первом полугодии 2004 года было зафиксировано как минимум две рассылки с использованием спамерских технологий и спамерского ПО, маскирующихся под сообщения о доставке открытки. Если пользователь совершал переход по ссылке, указанной в сообщении, т.е. хотел получить открытку, то на странице такой псевдооткрытки его ждал вирус, который пытался загрузиться на пользовательскую машину:

Добрый день! Вам была отправлена открытка. Для того, чтобы получить ее, нужно зайти по ссылке {LINK}. Открытка будет доступна в течение месяца.

Hello! You've got a postcard. To view this postcard, click on the following link at anytime within the next 30 days {LINK}.

Большая просьба не отвечать на этот адрес - письмо попадет бездушному роботу.

3. Технические особенности рассылки спама

3.1. Технические особенности рассылки спама

За отчетный период принципиально новых методов рассылки спама зафиксировано не было. Основные технологии, используемые спамерами при рассылках, остаются прежними:

  1. Использование «троянского» ПО, установленного незаметно для пользователя на его компьютере.
  2. Использование настроенных по умолчанию (т.е. без пароля/с известным паролем) клиентских устройств доступа — ADSL-модемов, клиентских роутеров, WiFi-устройств, — которые позволяют сразу (или после перенастройки злоумышленником) использовать пользовательские мощности для рассылки.
  3. Использование «старых добрых» средств — открытых релеев, CGI-скриптов на сайтах — и подобных средств, не изменившихся за последние 6-8 лет.
  4. «NDR-attack» (Non Delivery Report) — посылка письма с поддельным отправителем на несуществующий адрес. Отчет о недоставке, содержащий спам-сообщение, будет отправлен поддельному отправителю.

Следует, однако, отметить, что за отчетный период сильно изменилось количественное соотношение описанных методов. Если в прошлом году и особенно ранее для доставки использовались в первую очередь файлообменные сети (Kazaa и подобные), то на сегодняшний день распространение происходит массово — через почтовые вирусы (Bagle, Lovgate) и через уязвимости в Web-браузерах.

Большинство крупных вирусных и browser атак последнего времени носили уже явно коммерческий характер: их целью была установка на пользовательской машине троянской компоненты с последующим ее использованием в недобросовестных целях (рассылка спама, кардинг, DoS-атаки). Используемые троянские компоненты, в свою очередь, принимают меры для собственной маскировки и для маскировки центра управления. Для управления могут использоваться, например, IRC-каналы или же просто сканирование всех поступающих на машину данных — в этом случае команды могут передаваться, например, в потоке спама.

В результате, объем мощностей, доступных спамерам, резко увеличился. Сейчас наиболее мощные спамеры имеют возможность осуществлять рассылку в несколько миллионов писем на публичные почты в течение всего 2-3 часов, чтобы успеть до того, как среагируют компании, занимающиеся обновлением антиспам-фильтров. Компании-производители фильтров, в свою очередь, увеличивают частоту обновления своих баз данных.

Среди прочих особенностей используемых методов рассылки спама можно отметить технологии «пробных» рассылок на публичные почты, когда идет отладка доставки сквозь фильтры в режиме реального времени, и организацию «фальшивых», т.е. бессодержательных рассылок, которые используются для замусоривания почтового трафика и затруднения работы антиспамерского ПО.

Среди курьезов необходимо отметить массовый инцидент с программой Darkmailer. Как выяснилось, многие спамеры используют пиратскую «ломаную» версию данной программы рассылок. В начале марта «ломаная» версия перестала работать, что привело к резкому падению количества спама на довольно продолжительный период.

3.2. Приемы обхода фильтров

Спамеры продолжают совершенствовать приемы, наработанные ими в прошлом году. При этом наиболее перспективные, с точки зрения спамеров, приемы активно развиваются, а менее эффективные постепенно «отмирают». Активнее прочих развивается прием использования графики в спаме, тогда как количество писем с текстовыми модификациями, напротив, стало сокращаться.

Представление текста письма в виде графического изображения, т.е. вставка в сообщение «нарисованного» текста, оказалось достаточно эффективным приемом, так как далеко не все фильтры умеют работать с графикой. Спамеров не останавливает даже техническая сложность и дороговизна реализации этого приема, и именно он активно развивался в первое полугодие 2004 г.

Еще в начале года появились «мутирующие» письма-картинки, то есть графические письма, с вносимыми при рассылке незаметными модификациями. В результате каждая картинка несколькими битами отличается от любой другой в рассылке, но на взгляд никаких отличий не заметно. Прием используется спамерами для обхода антиспам-фильтров, применяющих при фильтрации «жесткие» графические сигнатуры. Если раньше модификация графики «на лету» была слишком сложна для спамеров, то сейчас, очевидно, они накопили необходимые технические мощности.

Следующим шагом стало появление «мутирующих» изображений с видимыми модификациями. Это так называемая «испорченная графика». В каждом графическом изображении последовательно искажается несколько сегментов. Пользователь воспринимает такие изображения как «испорченные», т.к. фрагмент такой картинки оказывается нечитаемым, но оставшихся неискаженных фрагментов достаточно для прочтения рекламного сообщения, получения информации о ценах/контактах/сроках рекламного предложения и т.п.

За первое полугодие 2004 года изменилась ситуация с модифицированными текстами спамерских сообщений. Прошлый год закончился на волне писем, в которых в слова вставлялись случайным образом удвоенные буквы (например, слово «рассылка» могло выглядеть так: раассылка, раасссылка или даже так: раассыллкаа). Делалось это для обхода контентных фильтров, которые переставали «узнавать» типичные спамерские фразы и выражения. Сейчас подобных писем осталось очень мало, можно сказать, что их практически нет. Решающую роль в исчезновении подобного приема сыграли два фактора:

  • эффективность приема оказалась ниже предполагаемой,
  • заказчики спама возражали против рассылки рекламы их товара/фирмы подобным образом, т.к. вид «коряво» (безграмотно) написанного текста снижает имидж компании, уплатившей деньги за рекламу.

Другие виды текстовых модификаций, например, случайные цитаты и т.п., продолжают активно использоваться в спамерских сообщениях.

В целом, список основных приемов не претерпел существенных изменений по сравнению с прошлым годом:

  1. Представление текста письма в виде изображения (графического файла).
  2. Модификация текста сообщения, в том числе цитаты и случайные последовательности.
  3. HTML-трюки (невидимый текст и пр.).

1 Строго говоря, перед антиспамерскими фильтрами не стоит задача распознавания и, тем более, обезвреживания вирусов. Но в сложившейся ситуации фактического объединения хакерских и спамерских технологий разработчикам программ фильтрации спама приходится реагировать и на вирусные угрозы. Например, в периоды массовых атак фильтр Спамтест, разработанный нашей компанией, обучается распознавать и размечать как «формальные» сообщения, информирующие пользователя о попытке доставить ему вирус (antivirus alerts), так и письма-контейнеры, к которым прикреплены файлы с вирусами. [вернуться в текст]

2 Подробнее о видах спамерских сообщений, относящихся к той или иной тематики, см. отчет Лаборатории «Спамтест» за 2004 год, I квартал, раздел 2.2. [вернуться в текст]

3 Доля тематики «Компьютеры и Интернет» начала активно расти только с апреля 2004 года, до этого периода она не превышала 2% и не входила в итоговые таблицы. Среднее и максимальное значение доли этой категории рассчитаны по последним трем месяцам I полугодия 2004 г. [вернуться в текст]

4 Пояснение к Диаграмме 2: единица измерения оси Х — период по две недели каждого месяца; единица измерения оси Y — 10% (отмечены доли от общего объема спама). [вернуться в текст]

Спам в Рунете: I полугодие 2004 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике