Спам в феврале 2011 года

Февраль в цифрах

• Доля спама в почтовом трафике по сравнению с январем увеличилась на 1,1% и составила в среднем 78,7%.
• Доля фишинговых писем в общем почтовом потоке по сравнению с январем не изменилась и составила 0,03%.
• В феврале вредоносные файлы содержались в 3,18% всех электронных сообщений, что на 0,43% больше, чем в прошлом месяце.

Обзор главных событий месяца

Борьба со спамом: Китай и США объединят усилия

Силы и средства поставщика защиты от спама направлены на защиту конечного пользователя от нежелательной почты, а не на борьбу с ее источником. У производителей антиспам-решений нет ни ресурсов, ни полномочий для того, чтобы усложнять регистрацию спамерских доменов, закрывать хостинги, предоставляющие площадки владельцам ботнетов, и, наконец, закрывать ботсети. Антиспам-вендоры могут предоставить необходимую экспертизу, но на нее должен быть социальный запрос. Для этого в государстве должно быть развито антиспамовое законодательство, руководствуясь которым силовые структуры смогут бороться с источником нежелательной почты.

Более того, то, что спам-бизнес одновременно и интернационален, и распределен по регионам, требует, чтобы меры, принимаемые для борьбы со спамом, не ограничивались одним государством. Правовые органы разных стран должны работать в сотрудничестве.

К такому выводу пришли официальные организации Китая и Соединенных Штатов Америки, которые в настоящий момент готовы оставить в стороне свои разногласия в интернете ради борьбы со спамом. Совместный документ, составленный официальными лицами Китая и США, который должен быть опубликован в марте, носит название «Fighting Spam to Build Trust» («Борьба со спамом для укрепления доверия»). В этом документе будут содержаться совместно разработанные предложения по борьбе со спамом.

Надеемся, что эту инициативу на вооружение смогут перенять официальные структуры других государств.

Напомним, что Китай до 2010 года был одним из лидеров по рассылке спама, а в доменной зоне .cn находилась львиная доля спамерских сайтов. Меры, принятые на законодательном уровне, привели к тому, что объем распространяемого из Китая спама, значительно сократился (с 3,5% в 2009 году до 1,9% в 2010 году), а спамерские сайты в китайской национальной доменной зоне практически исчезли.

Соединенные Штаты Америки по итогам 2010 года, напротив, заняли первое место среди стран, распространяющих спам (16%). В конце года в этой стране также был сделан ряд значительных шагов в борьбе против спамеров. Так, закрытие ботнета Pushdo/Cutwail в августе 2010 года привело к десятикратному уменьшению объема спама, распространяемого из этой страны. Несмотря на это, меры американских правоохранительных органов, в отличие от ситуации в Китае, не дали продолжительного эффекта.

Восстановление спам-трафика из США

В январском отчете мы уже отмечали постепенное восстановление спам-трафика из США. В феврале эта тенденция лишь укрепилась.

Как уже говорилось выше, после закрытия ботнета Pushdo/Сutwail объем спама, распространяемого из США, значительно уменьшился. США продержались на рекордно низком уровне на протяжении всей осени и первого месяца зимы (6% в сентябре и около 1-1,5% с октября по декабрь).

С самого начала января доля спама, распространяемого из США, постепенно увеличивалась и к концу месяца достигла 2,5%. В феврале она достигла максимума за последние пять месяцев (4,27%). Судя по всему, в ближайшие месяцы процент продолжит расти.

Изменение доли спама, распространяемого из США с декабря 2010 по февраль 2011 г.

Анализ срабатываний почтового антивируса по странам также подтверждает этот прогноз — по итогам месяца США находятся на втором месте по числу срабатываний нашего почтового антивируса.

Мы уже неоднократно отмечали, что одним из методов распространения вредоносного кода, в том числе и имеющего функцию включения компьютера пользователя в зомби-сеть, являются рассылки спама. Таким образом, увеличение количества срабатываний почтового антивируса в том или ином регионе позволяет предположить, что в ближайшем будущем спама из этого региона станет больше.

Что касается срабатываний почтового антивируса на территории США, то осенью, т.е. непосредственно после закрытия ботнета Pushdo/Cutwail, их стало значительно меньше. Видимо, злоумышленники, потеряв крупный ботнет, заморозили на время и более мелкие зомби-сети. Возможно, это были меры предосторожности в связи с повышенным интересом правоохранительных органов к их деятельности.

В последние два месяца почтовый антивирус на территории США срабатывает все чаще.

Изменение доли срабатываний почтового антивируса
на территории США с декабря 2010 по февраль 2011 г.

Праздники и спам

Февраль и март — месяцы, богатые праздниками: День защитника отечества, Международный женский день, масленица, да еще приобретший последнее время большую популярность день святого Валентина.

Разумеется, ни один из этих праздников не был обойден вниманием спамеров.

О спаме, связанном с днем святого Валентина, мы уже писали в нашем январском отчете и в нашем блоге. Остается лишь добавить, что такие рассылки наиболее часто фиксировались на второй неделе февраля (0,21% от всей мусорной почты). Неделей раньше и неделей позже доля такого спама была на уровне 0,15%.

23 февраля и 8 марта, как обычно, были отмечены волной рассылок от компаний мелкого и среднего бизнеса, стремящихся продать свои товары в качестве подарков к праздникам. Разумеется, ассортимент подарков, предлагаемых в спаме на 23 февраля и на 8 марта, различается. На «мужской» праздник предлагались «оригинальные подарки», электронные сигареты и доставка пива.

Спам к 23 февраля

На 8 марта в спаме предлагаются цветы, текстиль и, как ни странно, иконы.

Спам к 8 марта

Кроме того, «удлиненные» в праздники выходные многие используют для поездок, и туристические фирмы спешат предложить небольшие туры. Рекламируемые туры были приурочены не только к 8 марта, но и к масленице. Во второй половине февраля тема масленицы фиксировалась примерно в 0,5% всех спам-сообщений. В большей части таких рассылок предлагалось провести завершение масленичной недели в путешествиях, в основном — по России.

Статистический обзор

Доля спама в почтовом трафике

Доля спама в почтовом трафике по сравнению с январем увеличилась на 1,1% и составила в среднем 78,7%. Самый низкий показатель месяца был зафиксирован 11 февраля — 72,3%. Больше всего спама было получено пользователями 13 числа — 86,8%.

Доля спама в феврале 2011

Страны — источники спама

В феврале лидер стран — источников спама остался неизменным — Индия, с территории которой распространено 8,83% (-1,02%).

Страны — источники спама в феврале 2011

С территории России, занимающей вторую строчку рейтинга, распространено почти вдвое меньше спама, чем в прошлом месяце (-4,26%). Объем спама российского происхождения сокращался на протяжении всего февраля. В последнюю неделю месяца спама из России было меньше, чем спама из США.

Показатели остальных трех стран январской ТОP 6 в феврале практически не изменились. Однако сами эти страны поменяли свои позиции в рейтинге: на третье место вышла Бразилия (+0,41%), на четвертом оказалась Индонезия (-0,39%), а вот занимавшая в январе третью строчку Италия (-0,78%) и вовсе была подвинута на шестую позицию.

Пятую строчку заняла Южная Корея, поднявшаяся сюда с одиннадцатого места, которое занимала в январе. Доля спама, распространенного из Кореи, увеличилась по сравнению с январем на 1,4%.

США занимают восьмую строчку в рейтинге стран — источников спама.

Вредоносные вложения в почте

В феврале вредоносные файлы содержались в 3,18% всех электронных сообщений, что на 0,43% больше, чем в прошлом месяце.

Срабатывания почтового антивируса по странам в феврале 2011 г.

Больше всего вредоносных вложений было обнаружено нашим почтовым антивирусом на территории России. Индия и Вьетнам, входившие в январе в тройку лидеров, потеснились, уступив вторую позицию Соединенным Штатам Вместе с тем, в Великобритании и Германии доля срабатываний нашего почтового антивируса остается на высоком уровне.

Рейтинг наиболее часто детектируемых в почте вредоносных программ в феврале выглядит следующим образом:

ТОP 10 вредоносных программ, распространенных в почте в феврале 2011 г.

Вредоносные программы в февральском рейтинге разделились на две почти равные группы. Первая группа — это черви, уже знакомые нам по предыдущим отчетам. В нее входит занявший вторую строчку Email-Worm.Win32.Mydoom.m — древний экземпляр в наших антивирусных базах, функционал которого ограничен сбором электронных адресов на зараженных машинах и рассылкой по ним самого себя. Подробнее об этой вредоносной программе можно почитать здесь.

На шестой строчке рейтинга располагается чуть менее древний зловред Email-Worm.Win32.NetSky.q, имеющий тот же функционал. Подробнее о нем можно почитать здесь.

На пятой строчке расположился Email-Worm.Win32.Agent.gnd. Помимо сбора электронных адресов и рассылки самой себя посредством электронной почты, эта вредоносная программа, при попадании на компьютер, инсталлирует в систему другие вредоносные программы. В основном, — троянские программы-загрузчики, которые немедленно пытаются получить доступ к определенным интернет-ресурсам, с которых происходит закачка других вредоносных программ.

Более сложный функционал по сравнению с простыми почтовыми червями имеет и вредоносная программа Email-Worm.Win32.Bagle.gt, находящаяся в рейтинге на восьмой строчке. Этот почтовый червь не инсталлирует в систему программы-загрузчики, а самостоятельно обращается к интернет-ресурсам для загрузки оттуда вредоносных программ. Разумеется, червь также ищет в системе электронные адреса и рассылает себя по ним.

Вторая группа вредоносных программ — это программы, предназначенные для кражи конфиденциальной информации. К ним относится бессменный лидер рейтинга Trojan-Spy.HTMLFraud.gen (подробную информацию читайте здесь).

Но есть в этой группе и новички: в рейтинге февраля появилось сразу две вредоносные программы семейства троянов-банкеров — это Trojan-Banker.Win32.Banker.bgsd и Trojan-Banker.Win32.Banker.bghb. Эти программы предназначены для кражи конфиденциальной финансовой информации пользователей.

Новичком рейтинга является и программа Trojan-Spy.Win32.SpyEyes.ffc, которая занимается похищением конфиденциальных данных пользователя.

Еще две программы не попали ни в одну из вышеописанных групп. Одна из них — вредоносная программа Trojan-Ransom.Win32.PornoBlocker.efo. Она блокирует работу компьютера с целью получения выкупа за восстановление доступа к нему. Вторая — завсегдатай нашего рейтинга Worm.Win32.Mabezat.b (подробно о ней см. здесь).

Тематические направления в спаме

Распределение спама по тематическим категориям в феврале 2011 г.

Пятерка лидирующих тематических категорий в спаме:

• Образование — 35,4% (+8,4%)
• Медикаменты; товары/услуги для здоровья — 12% (-9,2%)
• Компьютеры и интернет — 6,2% (+2,9%)
• Реклама спамерских услуг — 5,9% (-1,9%)
• Спам «для взрослых» — 5,3% (+2,8%)

Пара лидирующих категорий по сравнению с январем осталась неизменной: реклама различного рода семинаров и фармацевтический спам. Однако по сравнению с прошлым месяцем их доли изменились: образовательного спама стало почти на 8,5% больше, а фармацевтический, напротив, сократился более чем на 9%.

Фармацевтический спам в январе рассылался преимущественно с 1 по 11 января (см. прошлый отчет). Таким образом, заметное уменьшение доли такого спама — на 9% — не является показательным. Однако если сравнивать с декабрем 2010, то эта категория показала рост.

В феврале довольно большую часть рассылок составили письма с предложением нелицензионного ПО и других товаров, так или иначе связанных с компьютерами и интернетом. Более 5% всех спамерских сообщений составили порнорассылки.

Все это говорит о том, что многие спамеры все еще не вернулись к рассылке фармацевтического спама и продолжают выбирать себе «партнерку» по вкусу и по карману.

Что же касается саморекламы спамеров и рассылок, заказанных малым и средним бизнесом, то тут, по всей видимости, рынок насытился достаточно, и спамеры несколько уменьшили активность. К тому же, как уже упоминалось выше, февраль был достаточно богат на события, подстегивающие заказчиков спама.

Заключение

Как мы и прогнозировали, в почтовом трафике постепенно увеличивается доля спама в целом, и доля спама, распространяемого с территории США, в частности. Мы предполагаем, что восстановление объема спама до уровня 81-82% произойдет к апрелю-маю 2011 года.

В данный момент можно предполагать, что уже в следующем месяце Соединенные Штаты Америки снова войдут в ТОP 5 стран — источников спама.

Что касается содержания, то тут в центре внимания снова фармацевтический спам. Ситуация с ним, кажется, окончательно стабилизировалась, и в ближайшие месяцы стоит ожидать того, что он снова наберет обороты.

Рейтинг вредоносных программ в феврале служит хорошим напоминанием того, что киберпреступники очень хотят получить доступ к ценной конфиденциальной информации, которая хранится на компьютерах пользователей. У злоумышленников есть арсенал приемов, открывающий им этот доступ. Основной же прием пользователя — это его собственное благоразумие, которое позволит держать антивирусное обеспечение в актуальном состоянии и никогда не открывать подозрительные вложения в письмах от незнакомых людей.