Спам в декабре 2009 года

Особенности месяца

• Доля спама в почтовом трафике по сравнению с ноябрем уменьшилась на 2,2% и составила в среднем 82,6%
• Ссылки на фишинговые сайты находились в 0,84 всех электронных писем, что на 0,13%, меньше, чем в ноябре.
• Вредоносные файлы содержались в 0,16% электронных сообщений, что на 0,67% меньше, чем в прошлом месяце.
• Количество спама, в котором предлагаются новогодние и иные туры, увеличилось на 4%.
• Для обхода спам-фильтров злоумышленники продолжают использовать зашумленные «волнистые» картинки.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в декабре 2009 года в среднем составила 82,6%. Самый низкий показатель месяца был зафиксирован в день католического Рождества — 25 декабря — 78,2%; больше всего спама было получено пользователями 27-го числа — 88,9%.

Доля спама в Рунете в декабре 2009
(Статистика с 1 по 26 декабря)

Вредоносные программы в спаме

Вредоносные файлы содержались в 0,16% электронных сообщений, что на 0,67% меньше, чем в прошлом месяце. Таким образом, количество писем, содержавших вредоносные вложения, достигло уровня весны–лета 2009 года.

Вредоносные программы, содержавшиеся в спамерских
сообщениях в декабре 2009

В декабре абсолютное большинство вредоносных писем содержали файлы, запакованные при помощи Packed.Win32.Krap.x. Эта модификация Krap обычно используется для упаковки Zbot’а, FraudTools и Iksmas’a. Почти 73% всех вредоносных программ, распространенных в почте, детектируются нами именно как Packed.Win32.Krap.x.

Другая модификация Krap — Packed.Win32.Krap.aj также вошла в десятку наиболее часто встречавшихся в спаме вредоносных программ. Файлы, запакованные им, встречались в 2,7% всех писем. Эта модификация Krap, в частности, была замечена в поддельной рассылке от Face Book. Похожие письма мы уже получали ранее, и в них также часто встречались различные модификации этого упаковщика.

По сравнению со зловредом, занявшим первое место в десятке, количество других программ, попавших в рейтинг, куда менее впечатляет. Так, несмотря на то, что в декабрьской десятке представлено сразу три модификации зловреда Backdoor.Win32.Bredolab — Backdoor.Win32.Bredolab.aug, Backdoor.Win32.Bredolab.blm и Backdoor.Win32.Bredolab.bky — их общее количество не достигло даже 8%. Напомним, что Backdoor.Win32.Bredolab — это троянская программа семейства бэкдор. После запуска троянца компьютер–жертва включается в ботнет. Запросив данные из командного центра, зловред выкачивает из глобальной паутины дополнительные модули, которые являются либо лжеантивирусами, либо шпионскими программами, ворующими пароли пользователя. В ноябре зловреды этого семейства уже входили в нашу десятку во впечатляющем количестве.

В первые ряды десятки в декабре вернулся Email-Worm.Win32.NetSky. Поледний раз мы видели его «на вершине» в августе этого года. В этом месяце модификации этого червя (Email-Worm.Win32.NetSky.q и Email-Worm.Win32.NetSky.d) заняли третье и четвертое место десятки соответственно. Email-Worm.Win32.NetSky — это вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается он по всем найденным на зараженном компьютере адресам электронной почты. Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Интересно также отметить появившегося в десятке троянца–баннкера Trojan-Banker.Win32.Bancos.kcx. Этот троянец, распространенный в 1,04% всех инфицированных писем, призван красть пароли от сервиса WebMoney.

Кроме прочего нами была зафиксирована замечательная рождественская рассылка, распространявшая зловредов не во вложении, а с помощью вредоносной ссылки:

В письме пользователь обнаруживал поздравления с Рождеством и ссылку на «электронную открытку». Кликнув по ссылке, он (или она) попадал на такую рождественскую страничку:

Пока пользователь, ни о чем не подозревая, любовался этой «открыткой», на его компьютер загружался Trojan-Downloader.JS.Shadraem.a.

Именно о таких рассылках мы и предупреждали пользователей, когда писали о том, что в декабре будут часто встречаться письма, обещающие красивую электронную открытку, на деле закачивающую на пользовательский компьютер вредоносную программу.

Фишинг

В декабре лидерами десятки наиболее часто атакуемых организаций традиционно стали PayPal (-8,84%) и eBay (-1,99%). Неизменным по сравнению с прошлым месяцем стал и третий член самой атакованной тройки — социальная сеть Facebook, количество атак на которую, по сравнению с ноябрем, увеличилось чуть больше, чем на 1%.

Организации, подвергнувшиеся фишинговым атакам в декабре 2009 года

По сравнению с прошлым месяцем почти вдвое уменьшилось количество атак на налоговую организацию IRS, однако в десятке самых лакомых для фишеров целей появились VISA и American Express, что вполне логично, учитывая, что в предрождественской суматохе пользователей гораздо легче напугать угрозой о блокировке кредитной карты, чем о неуплаченых налогах.

Пользователи получали письма, похожие на официальные, которые, однако, содержали ссылки на фишинговые сайты.

Кроме того, несколько крупных атак было зафиксировано на банк HSBC, который сместился в десятке на одно место вниз (-0,66%). Атаки были проведены с применением распространенного приема социальной инженерии: пользователю не только предлагали произвести верификацию данных, но и сообщали о том, что на его счет поступил неавторизованный платеж и необходимо выйти на сайт, чтобы подтвердить его. Если настроенный на предрождественские чудеса пользователь вводил свои данные, они отправлялись прямо в руки к фишерам.

Снова часто под пристальным вниманием фишеров оказывались владельцы аккаунтов WOW, что вынуждает нас напомнить любителям этой онлайновой игры о внимательности и осторожности. Злоумышленники очень умело подделывают адреса страниц и письма, призванные заполучить пользовательские данные.

Страны — источники спама

Страны — источники спама

В декабре оба лидера двадцатки стран — источников спама сохранили позиции. Это США, с территории которых было распространено почти на 3% больше спама, чем в ноябре, и Россия, с территории которой спама было распространено на 1% меньше, чем в прошлом месяце. Индия сместилась с третьего места на пятое, распространив на 1,3% спама меньше, чем ранее. Третья позиция закрепилась за Бразилией, хотя количество спама, распространенного с территории этого южно-американского государства остается стабильным (-0,16%). На четвертом месте двадцатки — Вьетнам, с территории которого было распространено на 1,05% больше спама, чем в прошлом месяце.

Из интересных перемещений важно отметить смену позиций Украины и Китая. Обе эти страны поднялись в рейтинге (на 7 и 9 строчки соответственно), распространив в среднем на 1% больше спама, чем в ноябре.

Тематический состав спама

Распределение тематик спама в Рунете в декабре 2009

Пятерка лидирующих спам-тематик декабря:

1. Образование — 20,3% (-4%)
2. Отдых и путешествия — 16,4% (+4,1%)
3. Медикаменты; товары/услуги для здоровья — 13,3% (-1,4%)
4. Компьютерное мошенничество — 7,9% (-0,5%)
5. 5. Реплики элитных товаров — 6% (-2,9%)

В декабре укрепились тенденции, наметившиеся в прошлом месяце: спам, рекламирующий различные семинары, уже который месяц подряд остается на первом месте. Однако в последние два месяца он несколько ослабил свои позиции, только в декабре потеряв 4%. Доля спама тематики «Отдых и путешествия», напротив, заметно увеличилась. Это не удивительно, так как многие используют период зимних каникул, чтобы съездить во внеочередной отпуск. Рассылки, в которых предлагаются различные новогодние туры, стали встречаться в почтовых ящиках пользователей Рунета еще чаще, чем в прошлом месяце. За декабрь их количество увеличилось на 4,1%. А вот их качество по-прежнему не на высоте. Обычно такие рассылки не содержат картинок и для обхода спам-фильтров используют старые трюки — замену букв в некоторых словах на латинские, или подмену некоторых цифр в номере телефона на похожие по виду буквы.

Кроме новогодних туров спамерские рассылки часто предлагают туры горнолыжные: длительные каникулы и снежное время года создают условия для этого вида отдыха. Такие рассылки, впрочем, внешне мало чем отличаются друг от друга. Та же нехитрая форма, те же нехитрые трюки.

Медицинский спам и спам, пропагандирующий реплики различных элитных товаров, потеряли 1,4% и 2,9% соответственно.

Спамеры, занимающиеся рекламой реплик элитных товаров, предлагали поддельные часы известных марок в качестве идеального новогоднего подарка:

Количество компьютерного мошенничества в спаме Рунета также незначительно снизилось (-0,5%), хотя и осталось довольно высоким (почти 8%). Перед Новым годом и Рождеством можно было ожидать всплеска активности мошенников, что и наблюдалось в западных потоках, в которых количество мошеннического спама увеличилось почти на 5%.

Мошенники активно использовали тему Рождества, особенно это было заметно в различных нигерийских письмах и письмах о «выигрышах в лотерею». Например, в представленном ниже письме пользователю сообщается, что он стал победителем в рождественском розыгрыше.

Интересно заметить, что «агентом» в «наградной программе Соединенных Штатов» выступает некто «Дмитрий Волкова», что звучит довольно забавно.

В декабре серьезно возросло количество писем тематики «Другие товары и услуги». Связано это во многом с активной рекламой различных новогодних подарков. При этом встречались как уже знакомые предложения фамильных дипломов, так и очень оригинальные письма, такие, как это:

Или вот это, предлагающее уже не новогодние, а рождественские подарки:

Спамерские методы и трюки

В декабре прошла очень мощная рассылка, содержавшая в себе одновременно несколько трюков: во-первых, в письмо был вставлен кусок текста, состоящего из несвязанных слов и выражений. Во-вторых, спамерская информация содержалась на картинке, которая была зашумлена одновременно двумя методами: фоном изображению служили многочисленные случайные геометрические фигуры, а самим картинкам в этих сообщениях была придана волнистая, изменяющаяся от письма к письму, форма:

Интересный трюк применили российские спамеры, рассылавшие письма с предложением оформить карточки сети магазинов METRO C&C. Они написали текст письма транслитом, к тому же, по всей видимости, нажав предварительно на клавишу «caps lock», поскольку большая часть текста была написана большими буквами, и только первые буквы в предложениях были маленькими. Кроме того, часть букв русского языка они заменили на разные символы. Этот трюк интересен тем, что старания спамеров сделали письмо совершенно нечитаемым:

Заключение

В декабре, как мы и предполагали, злоумышленники использовали электронные лжеоткрытки, чтобы заставить пользователей скачать вредоносные программы. Чаще всего такие «открытки» размещались на вредоносных веб-страницах. При этом количество спама с вредоносными вложениями заметно уменьшилось. По нашим прогнозам количество вредоносных вложений сохранится на низком уровне и в январе.

Доля фишинговых писем, по-видимому, на некоторое время стабилизируется. В то же время, хотя пик фишинговых рассылок прошел, эта форма мошенничества по-прежнему остается выгодной для злоумышленников, и не приходится ожидать их отказа от этого вида наживы.

С окончанием сезона зимних каникул количество спама, рекламирующего отдых и путешествия, постепенно начнет снижаться, уступая свое место медицинскому спаму, спаму «для взрослых», а также репликам элитных товаров.