Отчеты по спаму и фишингу

Спам в декабре 2010 года

Декабрь в цифрах

  • Доля спама в почтовом трафике по сравнению с ноябрем увеличилась на 0,3% и составила в среднем 77,1%.
  • Доля фишинговых писем составила 0,14% от всей почты, что на 0,26% меньше, чем в ноябре.
  • В декабре вредоносные файлы содержались в 1,75% всех электронных сообщений, что на 0,15% больше, чем в прошлом месяце.

Обзор главных событий месяца

Суд над российским спамером

В декабре 2010 года борьба с ботнетами на правовом уровне снова привлекла внимание общественности. Важным событием стало слушание дела, заведенного в штате Висконсин (США) против россиянина Олега Николаенко, подозреваемого в создании и использовании зомби-сети Mega-D (известной также под названием Ozdok).

Ботнет

Считается, что ботнет Mega-D/Ozdok, предположительно организованный Олегом Николаенко, принадлежал к числу крупнейших ботнетов, рассылающих спам. По некоторым оценкам эта сеть в период своего расцвета насчитывала около полумиллиона зараженных компьютеров. Эксперты утверждают, что в некоторые периоды инфицированные компьютеры этой сети рассылали до 30-35% мирового спама. Борьба с этим монстром началась еще в 2008 г., однако, основные успехи были достигнуты лишь в конце следующего года, — в ноябре 2009 г. были закрыты многие командные центры зомби-сети. Это привело к временному падению мощностей сети, но уже к началу декабря ботнет был восстановлен.

С зараженных компьютеров злоумышленники рассылали партнерский спам с рекламой медикаментов и реплик элитных товаров.

Сдали свои

К моменту закрытия командных центров Mega-D/Ozdok в ноябре 2009 г. москвич Олег Николаенко уже являлся для ФБР подозреваемым номер один в создании и использовании ботнета. Информацию о нем следователи получили от одного из его «коллег» — Джоди Смита, который летом 2009 года находился под следствием и в августе пошел на сотрудничество с правоохранительными органами.

Однако задержать Николаенко удалось лишь год спустя, в ноябре 2010 года во время автомобильного шоу в Лас-Вегасе.

Суд идет

Россиянин обвиняется в нарушении американского закона против спама (CAN-SPAM Act of 2003), и в том случае, если его вина подтвердится, ему грозит три года тюремного заключения или штраф в размере 250 000 долларов.

Сам Николаенко свою вину не признает. Его адвокат пытался добиться освобождения своего подзащитного под залог, однако эта просьба была отклонена судом, поскольку имеются обоснованные опасения, что подсудимый может скрыться за границей.

В данный момент решение суда еще не вынесено, слушанье назначено на февраль 2011 года.

Тем временем, пока Олег Николаенко находится в заключении и не может управлять своим ботнетом, по оценкам некоторых исследователей объемы спама, разосланного с помощью Mega-D, не превышают 5% от всего мирового спам-трафика.

Закон против спама в России

В прошлом месяце мы писали о том, что российские законотворческие органы работают над тем, чтобы законодательно закрепить ответственность за рассылку спама. По сообщениям СМИ подготовкой законопроекта должны были заниматься совместно депутаты Госдумы и члены РАЭК (Российская Ассоциация электронных коммуникаций).

Заметим, что на наш взгляд дело Олега Николаенко демонстрирует необходимость введения ответственности за рассылку спама в России. Крупный игрок спам-бизнеса не мог быть наказан по законам собственного государства из-за несовершенства законов.

Wikileaks

Распространение утечек

В последнее время портал Wikileaks, специализирующийся на публикации информационных утечек из государственных структур разных стран, оказался в центре непрекращающегося скандала. Это не удивительно: сайт опубликовал тысячи документов конфиденциального характера и весьма небезразличных для мировой политической ситуации. У политики Wikileaks, разумеется, появились как противники, так и сторонники. Сторонники портала в декабре начали вести агрессивную кампанию по распространению утечек.

Активисты старались размещать ссылки или выдержки с Wikileaks всюду, где только могли. Досталась доля сенсаций и спаму. В декабре в ящики пользователей поступали сообщения, содержащие соответствующие ссылки, а также просьбы распространить их дальше, например, во имя демократии:

Кроме таких сообщений мы встречали и просто отрывки компрометирующих текстов. Однако говорить о достоверности такого источника, как спам, не приходится: зафиксированные нами рассылки могли быть как спамом от сторонников Wikileaks, так и ложными сведениями от их противников.

Wikileaks — горячая тема месяца

Удивительно, но тема Wikileaks в декабре была настолько актуальна, что даже грядущие новогодние и рождественские праздники не привлекли должного внимания спамеров.

Как известно, спамеры используют горячие темы для привлечения внимания к своим рассылкам. Это могут быть самые разные события: от происшествий со знаменитостями до войн, от политических выборов — до ежегодных праздников. В декабре такими горячими темами традиционно являются Новый год и Рождество, в этом году в одном ряду с ними оказался Wikileaks.

Спамеры вставляли упоминания об этом ресурсе в тексты, призванные создать зашумление для обхода спам-фильтров. В основном это были цитаты из материалов портала или из новостей о нем. Интересно, что зачастую слово Wikileaks вставлялось и в ссылку, очевидно, также с целью обмануть фильтры.

Являются ли распространители фармацевтического спама сторонниками или противниками Wikileaks — нам неизвестно. Известно лишь то, что шум вокруг портала они используют для своих целей.

Статистический обзор

Доля спама в почтовом трафике

Доля спама в почтовом трафике по сравнению с ноябрем увеличилась на 0,3% и составила в среднем 77,1%. Самый низкий показатель месяца был зафиксирован 6 декабря — 72%. Больше всего спама было получено пользователями 12 числа — 85,2%.


Доля спама в почтовом трафике в декабре 2010 года

Страны — источники спама

Лидером двадцатки стран — источников спама, как и в ноябре, стала Индия, с территории которой было распространено 9,89% всего мирового спама (-0,55%).


Страны — источники спама в декабре 2010

Самыми заметными изменениями в двадцатке стали изменения в позициях двух стран — России и Вьетнама (они поменялись вторым и четвертым местом).

Доля спама, распространенного с территории России в декабре, увеличилась на 2,9%, в то время как аналогичный показатель для Вьетнама уменьшился на 4,11%.

Отметим, что Индия, Россия и Вьетнам, вошедшие в декабре в пятерку лидеров по рассылке спама, в ноябре входили в ТОP 10 стран по срабатыванию почтового антивируса. Это говорит о том, что злоумышленники, рассылавшие ноябре вредоносный код в эти страны, уже в следующем месяце смогли использовать заражённые компьютеры для рассылки нежелательной корреспонденции.

Отметим также уменьшение доли спама, распространенного с территории Великобритании, Франции и Германии.

Вредоносные вложения в почте

В декабре вредоносные файлы содержались в 1,75% всех электронных сообщений, что на 0,15% больше, чем в прошлом месяце.


Срабатывания почтового антивируса по странам в декабре 2010

Как и в ноябре, большая часть вредоносных вложений была обнаружена нашим почтовым антивирусом на территории Индии, России и Вьетнама. Европейские страны и США, лидировавшие в этом отношении в прошлые месяцы, хотя и остались в первой десятке, но оказались на более низких строчках. Великобритания, до октября входившая в тройку стран, в которых чаще всего наблюдались срабатывания почтового антивируса, спустилась на 10 место, в ее почтовом трафике было менее трех процентов вредоносных программ. Вместе с тем, злоумышленники отправили изрядное количество вредоносных писем на Украину.

Такое перераспределение целей злоумышленников, по всей видимости, связано с начатым ими в ноябре перемещением ботсетей с запада, где борьба с ними стала приобретать угрожающие для этого бизнеса обороты, на восток, где таковая практически отсутствует.


ТОP 10 вредоносных программ, распространенных в почте в декабре 2010

TOP 10 вредоносных программ, распространявшихся в почте, с большим отрывом возглавил Trojan-Spy.HTMLFraud.gen. Эта вредоносная программа уже продолжительное время входит в десятку. Её функционал ориентирован на выманивание у пользователей сведений личного и финансового характера. Чтобы обмануть пользователей, вредоносная программа сделана в виде странички, напоминающей интернет-страницу онлайн-банкинга, или какой-либо платежной системы. Неудивительно, что этот зловред в декабре лидировал с таким отрывом: конец года время больших финансовых трат и предпраздничной суеты. В это время среднестатистический пользователь еще имеет достаточно средств на счету и уже достаточно увлечен предрождественской лихорадкой, чтобы попасться на удочку злоумышленника. Соответственно, в конце года шансы мошенников на улов оказываются особенно высокими.

Большая часть из остальных девяти вредоносных программ также уже не единожды попадала в TOP 10 в течение года.

Так, червь Email-Worm.Win32.Mydoom.m практически постоянно входил в десятку на протяжении последнего года. Это типичный почтовый червь, сканирующий систему в поисках e-mail адресов и в дальнейшем рассылающий себя по ним. Письма, рассылаемые этой вредоносной программой, выглядят как сообщения почтовой системы о том, что почта не была доставлена. В данном случае основным функционалом программы является сбор почтовых адресов. Заметим, что сигнатура этого червя была добавлена в антивирусные базы Лаборатории Касперского еще в 2004 году. Подробнее об этой вредоносной программе можно почитать здесь.

Почтовый червь Email-Worm.Win32.NetSky.q также редко выпадает из TOP 10 распространяемых в почте вредоносных программ. В целом, из десяти самых распространенных в почте декабря вредоносных программ пять являются почтовыми червями. В том числе к этому семейству, как видно из названия, относятся Email-Worm.Win32.Agent.gnd и Email-Worm.Win32.Agent.gne, однако они обладают более сложным функционалом, чем черви, описанные выше. Помимо сбора электронных адресов и рассылки самих себя по средствам электронной почты, они, при попадании на компьютер, инсталлируют в систему другие вредоносные программы. В основном — троянские программы-загрузчики, которые немедленно пытаются получить доступ к интернет-ресурсам, с которых происходит закачка других вредоносных программ.

Тематические направления в спаме


Распределение спама по тематическим категориям в декабре 2010

Пятерка лидирующих тематических категорий в спаме:

  1. Образование — 23,5% (-2,5%)
  2. Реплики элитных товаров — 10,1% (+2,8%)
  3. Отдых и путешествия — 9,9% (+6,3%)
  4. Реклама спамерских услуг — 9,4% (+1,1%)
  5. Медикаменты; товары/услуги для здоровья — 9% (-3,5%)

В тематическом распределении спама и соотношении партнерского и заказного спама нашли свое продолжение осенние тенденции.

Продолжилось «падение виагры»: средняя доля фармацевтического спама в сети сократилась на 3,5% по сравнению с ноябрем, и в конечном итоге опустилась ниже 10%. Отказ многих спамеров от рассылки фармацевтического спама и события вокруг ботнетов, специализирующихся на рассылке такого спама, отразились на распределении партнерского спама по различным тематическим направлениям:


Распределение партнерского спама по тематикам в декабре 2010

Как видно на графике, cпамеры рассылали спам, прибегая то к одной, то к другой партнерской программе. Самый большой подъем мы видим на кривой партнерского спама, рекламирующего реплики элитных товаров. Очевидно, спамеры рассчитывали, что копии дорогих часов или сумок найдут сбыт в качестве подарков к Новому году. Благодаря этому письма, рекламирующие реплики элитных товаров, заняли второе место в пятерке.

Еще одна категория партнерского спама в декабре, показавшая значительные количественные скачки, — это «Коллекции фильмов на DVD». Увеличение количества спама с рекламой фильмов на DVD также связано с попыткой спамеров получить отдачу от участия в партнерских программах, предложив такой товар в качестве новогодних подарков.

Остальные три вида спама в пятерке — «Образование», «Отдых и путешествия» и «Реклама спамерских услуг» — не связаны с партнерскими программами. Надо сказать, что в декабре спама, заказанного мелким и средним бизнесом, было больше, чем спама, распространенного в рамках партнерских программ. Это видно на графике, приведенном ниже. Однако, по всей видимости, объемы прибыль еще не удовлетворяет спамеров: количество писем, рекламирующих их услуги, продолжает расти, что говорит о том, что они по-прежнему активно ищут клиентов.


Соотношение партнерского и заказного спама в декабре 2010 года

Значительно увеличилась доля спама, рекламирующего юридические услуги и недвижимость. Это можно связать с приближавшимся окончанием года. Так, юридические услуги становятся актуальными для многих компаний как раз в конце года. Сообщения же с рекламой недвижимости зачастую содержали в себе предложения арендовать коттедж на новогодние праздники.

Третье место среди лидирующих тематических направлений в спаме занимают сообщения, предлагающие отдых и путешествия. Спрогнозированный нами рост доли таких сообщений также связан с праздниками и новогодними каникулами, то есть, периодом, когда реклама таких услуг становится особенно актуальной. Доля таких писем в декабре выросла в три раза и достигла почти 10%.

Тема новогодних праздников вообще активно эксплуатировалась. Уже на первой неделе декабря доля рассылок, в которых спамеры использовали тему Нового года, или Рождества, превысила 6% и далее продолжала расти. В целом, в отчетном месяце рассылки, так или иначе эксплуатировавшие тему Рождества, в среднем составили от 20 до 25% от всего спама.

Заключение

В заключении хотелось бы снова отметить результаты успешной борьбы с ботнетами на Западе. Объемы спама, распространяемого с территории США, не восстановились, несмотря на опасения экспертов о временности такого «провала». Начала снижаться доля спама, распространенного с территории Великобритании, Германии и Франции. Одновременно интересно отметить процессы, происходящие в Восточной Европе и Азии. Страны, расположенные в этих регионах, становятся всё более интересными целями для рассылки в них вредоносного кода. Мы наблюдаем, как злоумышленники пытаются переместить свои зомби-сети в регионы, где борьба с киберпреступлениями еще не ведется, или пока не так успешна.

Интерес к контрафактным медикаментам, разгоревшийся на Западе, а также дело Игоря Гусева, заведенное в России, также оказывают большое влияние на спам, на этот раз в части его тематического состава. Спамеры продолжают искать такую партнерскую программу, которая была бы для них не менее выгодна, чем приносившая раньше большие доходы, а нынче непопулярная, фармацевтическая продукция. Те же из них, кто решил перейти на рассылку рекламы мелких и средних компаний, продолжают искать клиентов, о чем говорит рост доли саморекламы спамеров.

Вероятно, в январе мы не увидим стабилизации ситуации в спаме. Относительное количество спама различных тематических направлений будет и дальше перераспределяться. Дело в том, что в первый месяц года покупательная способность населения, как правило, невысока. В этой ситуации ни одна партнерская программа не сможет полностью удовлетворить финансовые интересы спамеров, отказавшихся от рассылки фармацевтического спама, что заставит их вести поиск наиболее эффективных направлений деятельности и менять тактику и стратегию.

Заказчики спама также не проявят большой активности в январе, поскольку в начале года деловая активность еще не на максимуме. Соответственно саморекламы спамеров станет еще больше.

Ожидается, что спама в январе станет меньше, так как на праздниках снижается пользовательская активность, и большое количество инфицированных компьютеров просто отключено. Однако это, скорее всего, не слишком заметно отразится на доле спама, по отношению к почтовому трафику, поскольку в первые дни после Нового года почтовый трафик также сокращается.

Спам в декабре 2010 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике