Спам в июне 2010 года

Особенности месяца

• Доля спама в почтовом трафике по сравнению с маем уменьшилась на 0,3% и составила в среднем 84,8 %.
• Количество электронных писем, содержащих ссылки на фишинговые сайты не изменилось по сравнению с предыдущими месяцами.
• Вредоносные файлы содержались в 2,68% электронных сообщений, что на 0,99% больше, чем в прошлом месяце.
• Чемпионат мира по футболу не оставил спамеров равнодушными.
• Спамеры предпочитают использовать старые и проверенные трюки.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в июне 2010 года в среднем составила 84,8%. Самый низкий показатель месяца был зафиксирован 4 июня — 80%; больше всего спама было получено пользователями 27 числа — 89 %.

Доля спама в июне 2010 года

Страны — источники спама

Страны — источники спама

В рейтинге стран — источников спама произошли изменения. В TOP 5 поменялись три страны из пяти, хотя пара лидеров (США и Индия) и осталась прежней. Бразилия, Колумбия и Испания вошли в пятерку. Испано- и португало- говорящие государства вообще довольно широко представлены в TOP 20 стран — источников спама. Среди них: Мексика, Аргентина, Португалия, Марокко и Чили.

Россия сместилась с третьей строчки на шестую. С ее территории было разослано 3,6% спама — на 1,8% меньше, чем в мае.

В распределении источников спама по регионам лидирует Европа — из европейских стран было распространено почти 40% всех спамовых писем.

Фишинг

Организации, подвергнувшиеся фишинговым атакам в июне 2010 года

В десятке наиболее часто атакованных фишерами первые 6 организаций не изменились. По-прежнему с огромным отрывом лидирует PayPal. В июне на эту платежную систему пришлось почти на 20% больше атак, чем в мае. Доли остальных организаций из ТОР 6 уменьшились. Facebook и банк HSBC снова поменялись местами, заняв, соответственно, третью и четвертую строчки.

Интересно заметить, что в TOP 10 появилась популярная онлайн-игра World of Warcraft, о фишинговых рассылках, нацеленных на ее пользователей, мы уже не единожды писали в наших ежемесячных отчетах.

Одна из рассылок, адресованных пользователям платежной системы PayPal, содержит традиционный фишинговый текст с угрозой ограничения доступа к аккаунту в том случае, если пользователь не откроет вложение и «не пройдет процедуру обновления аккаунта». Во вложении находится фишинговая html-страница.

Вредоносные программы в почте

TOP 10 наиболее распространенных в почте вредоносных программ за июнь выглядит так:

С заметным отрывом лидируют зловреды семейства Pegel, представители которого (Trojan-Downloader.JS.Pegel.g и Trojan-Downloader.JS.Pegel.bc) заняли первое и третье места в списке. На программы этого семейства пришлось более 30% всех вредоносных вложений в электронных письмах. Члены этого семейства представляют собой html-страницу, содержащую сценарий языка написанный на языке JavaScript. После открытия зараженной страницы в браузере троянец, используя сценарий JavaScript, начинает дешифровку своего кода и запускает его выполнение. При этом пользователь перенаправляется на сайт, зараженный эксплойтами, с которого, используя уязвимости в браузере, на компьютер могут загрузиться и другие вредоносные программы.

Вторую строчку рейтинга также занимает зловред, представляющий собой html-страницу, содержащую JavaScript — это Trojan.JS.Redirector.dz. Если учесть, что на пятой строчке рейтинга находится Trojan.Script.Iframer, а на восьмой — завсегдатай нашей десятки Trojan-Spy.HTMLFraud.gen, то обнаружится интересная особенность десятки зловредов, распространенных через почту в этом месяце: более 40% входящих в нее вредоносных программ работают не на платформе Win32.

Интересно также отметить, что Pegel, Redirector и Trojan.Script.Iframer распространялись в самых разных письмах — от подделок под официальные уведомления различных социальных сетей до стандартных сообщений с лаконичным текстом «посмотри мои фотографии». Общим для этих рассылок было лишь наличие html-вложения либо ссылки на html-страницу.

Подробнее о подобных рассылках можно будет прочитать в отчете по спаму за второй квартал 2010 года.

Модификации одного из самых опасных современных руткитов — Trojan.Win32.TDSS — также активно распространялись через почту в июне. Две из них заняли четвертую и седьмую строчки в ТОР 10. Модификации этой программы встречались в самых разнообразных рассылках, однако всегда — в виде вложения, упакованного в zip-архив. Для их распространения злоумышленники использовали полюбившуюся им тему налогов. В приведенном ниже письме спамеры постарались замаскировать exe-расширение заархивированного файла двойным расширением .doc.

В другой рассылке, также распространявшей представителя семейства Trojan.Win32.TDSS, был использован популярный нынче трюк: фальшивое предупреждение от Microsoft о том, что компьютер получателя может быть заражен Conficker. Для лечения этой напасти предлагается скачать программу setup.exe, приложенную к письму. Программа, разумеется, лечению ничуть не способствует.

Не попавшая в TOP 10 вредоносная программа Trojan.Win32.VBKrypt.cpz распространялась в рассылке, в которой (якобы от лица компании Google) пользователю выражалась благодарность за отправку резюме.

Что касается стран, жители которых чаще других получают по почте вредоносные послания, то по сравнению с маем ситуация несколько изменилась:

Страны, с самым высоким уровнем распространения зловредов через почту

Лидеры прошлого месяца, Германия и Великобритания, потеснились, пропустив на две верхние позиции Японию и США. При этом количество вредоносных вложений, полученных пользователями, заметно изменилось лишь в случае Японии — здесь пользователи получали вредоносный код по почте почти вдвое чаще, чем в мае. Интересно, что из десятки выпала Индия, уступив свое место Китаю, пользователи которого получили 3,5% всех писем с вредоносными вложениями.

Тематический состав спама

Распределение тематик спама в Рунете в июне 2010

Пятерка лидирующих спам-тематик июня:

1. Образование — 19,9% (-0,1%)
2. Компьютерное мошенничество — 14,5% (+5,5%)
3. Медикаменты; товары/услуги для здоровья — 12,3% (-4,6%)
4. Коллекции видео на DVD — 11,5% (+10,6%)
5. Отдых и путешествия — 9,2% (-4,7%)

В июне произошли изменения в распределении спама по тематикам. Стабильной осталась лишь доля тематики «Образование» (-0,1%), которая по-прежнему занимает лидирующую позицию. Помимо рекламы семинаров, различных курсов и предложений получить степень бакалавра, наблюдалось довольно большое количество рассылок, посвященных сдаче ЕГЭ.

В статье «Экономическое спам-зеркало» мы писали о том, что в периоды, когда спамеры получают меньше заказов, они делают упор на так называемые партнерские программы, а также усиленно рассылают рекламу своих собственных услуг. В июне сложилась очень показательная ситуация. Мы наблюдали сезонное падение количества заказного спама: доли тематик «Отдых и путешествия» и «Другие товары и услуги» уменьшились на 4,6% и 4,1% соответственно. На диаграмме ниже можно видеть, как одновременно с уменьшением количества заказного спама увеличивалось количество партнерского спама. Самореклама спамеров в июне также активизировалась, но не столь значительно, как это бывало в период кризиса.

Динамика рассылок партнерского и заказанного спама

Обращение спамеров к партнерским программам, вообще говоря, можно было наблюдать уже с мая. Тогда количество рассылок, связанных с разного рода партнерскими программами (фармацевтических и рекламирующих дешевый софт), увеличивалось по мере уменьшения количества рассылок, заказанных реальными клиентами. В подавляющем большинстве случаев такой партнерский спам был представлен англоязычными письмами.

Однако в России рассылка писем, работающих на фармацевтические партнерские программы, не приносит высокого дохода. То же относится и к дешевому программному обеспечению. Судя по всему, спамеры это осознали: июньские рассылки, связанные с партнерскими программами, были скорректированы под нужды российского пользователя, которому предлагались коллекции фильмов на русском языке на DVD.

После того, как партнерский спам был нацелен на российских пользователей, количество англоязычного партнерского спама резко сократилось. Это заметно по уменьшению количества писем тематики «Медикаменты» почти на 5% и тематики «Личные финансы» — более чем на 6%.

Динамика рассылок партнерского спама, нацеленных на русскоязычную и англоязычную аудиторию

В том, что касается тем, выбираемых спамерами для привлечения внимания к спам-письмам и рекламируемой в них продукции, нельзя не отметить их закономерный интерес к Чемпионату мира по футболу. Наибольшей популярностью эта тема пользуется у «нигерийцев», однако не брезговали ею и спамеры, рекламирующие различные интернет-казино, тотализаторы, интернет-трансляции и, разумеется, виагру. Для рекламы медикаментов Чемпионат использовался в качестве наживки. Письма такого рода были снабжены темами вроде «Медикаменты для мужчин, одобренные ФИФА».

К самым забавным июньским рассылкам можно отнести предложение посмотреть на пепел вулкана, извержение которого в течение нескольких недель препятствовало авиаперелетам:

На указанном сайте пользователю предлагается приобрести небольшую бутылочку, наполненную серым песком, и сертификат, подтверждающий, что это пепел того самого исландского вулкана с непроизносимым именем.

Спамерские методы и трюки

Самая замысловатая в техническом отношении рассылка июня в кои-то веки не относилась к саморекламе спамеров. Зашумленные картинки с волнистым текстом и письмо, содержащее случайный фрагмент литературного произведения, — такие приемы для обхода спам-фильтров были использованы в рассылке, рекламировавшей таможенный конфискат.

Замечу, что спамеры по-прежнему не придумывают новых трюков, предпочитая пользоваться старыми и проверенными.

Заключение

В июне количество спама очень незначительно, но уменьшилось по сравнению с последним весенним месяцем.

В тройку лидеров среди стран — источников спама снова вернулась Бразилия.

Фишинговые рассылки в подавляющем большинстве были нацелены на пользователей PayPal.

Почти на полпроцента увеличилась доля писем, содержащих вредоносные файлы. Впервые за время публикаций нашей десятки около 40% зловредов, распространяемых в почте, работает не на платформе Win32. Большая часть вредоносных программ из TOP 10 в прошедшем месяце является html-страницей, содержащей сценарий, написанный на языке JavaScript. Отсюда и частое их распространение в виде html-вложений, прикрепленных к письму. Сложно прогнозировать ситуацию далеко вперед, но можно предположить, что в ближайшее время рассылка подобных сообщений продолжится.

В тематическом составе спама в июне сложилась довольно интересная ситуация. Спамеры, обратившиеся было в мае к рассылке англоязычного партнерского спама, довольно быстро поняли неэффективность этого приема применительно к российским пользователям. В итоге в прошедшем месяце наблюдался небывалый всплеск активности в рассылке партнерского спама уже на русском языке, причем очень узкой тематики, — рекламировались коллекции видео на DVD.