Спам в сентябре 2010 года

Сентябрь в цифрах

• Доля спама в почтовом трафике по сравнению с августом уменьшилась на 1,5% и составила в среднем 81,1%.
• 59,8% всех фишинговых атак было нацелено на пользователей платежной системы PayPal. Социальная сеть Facebook снова попала в пятерку самых привлекательных для фишеров мишеней. Доля атак на нее составила 3,8%.
• Вредоносные файлы содержались в 4,33% электронных сообщений, что на 1,96% меньше, чем в прошлом месяце.

Обзор главных событий месяца

Падение виагры

Самым значительным событием сентября, пожалуй, стало объявление о закрытии 1 октября партнерской программы SpamIt, которое отразилось в изменении тематик нежелательной почты. О своем закрытии одна из ведущих спамерских «партнерок» SpamIt объявила в двадцатых числах сентября. Поскольку SpamIt — партнерская программа, занимающаяся (или, правильнее сказать, занимавшаяся) фармацевтическим спамом, то логично предположить, что ее закрытие скажется на количестве рекламы виагры в почтовых ящиках пользователей.

Первый сдвиг в этом направлении произошел на неделе 20 — 26 сентября. Тогда доля спама, содержащего рекламу медикаментов, сократилась на треть — с 31% до 21%. В то же время начался рост числа писем, содержащих вредоносный код, — спамеры переключились с фармацевтической рекламы на рассылку вредоносных программ.

Изменения в партнерском спаме в сентябре 2010 года

Как видно на графике, в начале месяца доля спама, содержащего рекламу реплик элитных товаров стала снижаться, в то время как доля рекламы виагры постепенно росла. Однако в середине месяца ситуация коренным образом меняется. Доля медицинского спама начинает сокращаться, при этом доля спама, связанного с другими партнерскими программами, возрастает. Так, стало больше рекламы реплик элитных товаров, порно-спама и спама, с помощью которого распространяется вредоносный код. Это говорит о том, что спамеры, сотрудничавшие со SpamIt, искали и находили альтернативные виды заработка.

Хотя SpamIt — крупная «партнерка», занимающаяся фармацевтическим спамом, ее закрытие не означает, что сообщения, рекламирующие виагру, полностью исчезнут из ящиков пользователей. Во-первых, на просторах интернета продолжает жить и здравствовать партнерская программа Glavmed. Во-вторых, закрытие одной «засветившейся» площадки не является гарантией того, что через месяц — другой ее создателями не будет открыта новая.

Хоронить спам в целом в связи с закрытием одной партнерской программы тем более не приходится. В том числе потому, что помимо партнерского спама существует и заказной спам, то есть рассылки, которые заказывает малый и средний бизнес с целью рекламы своих товаров и услуг.

Заказной и партнерский спам

Летом заказного спама было относительно немного. Мы ожидали увеличения активности заказчиков спамеров с наступлением осени. Однако объемы сентябрьского заказного спама не впечатляют. Количество спам-рассылок, заказанных малым и средним бизнесом, стало расти только во второй половине месяца. Нехватка клиентов вызвала рост саморекламы спамеров. Ее всплеск произошел на третьей неделе сентября.

Соотношение партнерского и заказного спама в сентябре 2010

На графике видно, как развивалась ситуация в августе-сентябре 2010 года. К концу сентября кривые заказного и партнерского спама стали сближаться. Традиционно доля партнерского спама в большинстве стран восточной Европы ниже, чем доля спама заказного. Если тенденция сохранится, в октябре мы увидим снижение количества спама, рекламирующего медикаменты и реплики часов, а спама с рекламой семинаров и товаров мелких предприятий станет больше.

LinkedIn и ZeuS. Что общего?

Одна из самых крупных вредоносных рассылок сентября пришлась на конец месяца. Речь идет об атаке на пользователей социальной сети LinkedIn. Злоумышленники рассылали письма со ссылками на программу ZeuS, находящуюся в фокусе внимания многих антивирусных компаний. Рассылки следовали одна за другой в конце сентября. В наших потоках больше всего подобных писем наблюдалось 25, 27 и 29 сентября. Отдельные письма встречались также 28 и 30 числа.

Письма имели заголовки «LinkedIn Update», «LinkedIn Messages» и «LinkedIn Alert». В тексте письма сообщалось о том, что пользователь имеет два непрочитанных сообщения. При переходе по ссылке происходило заражение компьютера пользователя одной из модификаций Trojan-Spy.Win32.Zbot (ZeuS). Ссылки на «личные сообщения» вели либо на автоматически сгенерированные домены второго уровня в зоне .info, либо на взломанные домены (чаще всего в зоне .com), в этом случае ссылки заканчивались на «1.html».

Примеры писем, подделанных под уведомления от LinkedIn
и содержащих ссылку на сайт, зараженный Zbot

Заметим, что практически все домены, зарегистрированные в зоне .info и использованные в этой атаке, на данный момент свободны и могут быть куплены.

Правосудие и спам

Сентябрь был не очень богат на громкие события, связанные с борьбой со спамом на юридическом уровне, однако пара интересных случаев все же достойна внимания. Один их них также связан с вредоносной программой ZeuS.

Шумными событиями стали аресты нескольких десятков граждан из восточной Европы, произведенные американскими и английскими служителями закона. Арестованным были предъявлены обвинения в использовании вредоносной программы ZeuS для собственного обогащения. Обогатились они, надо заметить, немало: за последние полтора года было украдено и обналичено порядка 70 миллионов долларов. Большинство арестованных являлись так называемыми дропами, пособниками в отмывании краденных денег. Злоумышленники обналичивали деньги с помощью поддельных кредитных карт, данные которых были получены с помощью «Зевса».

Распространялся же зловред посредством электронной почты. Несмотря на то, что пойманные участники преступной группировки не были непосредственными создателями или распространителями вредоносной программы, а занимались именно обналичиванием денег, похоже, что вся группировка решила «залечь на дно», по крайней мере на территории США и Великобритании. Об этом говорит заметное уменьшение количества детектирований Zbot (ZeuS) почтовым антивирусом на территории этих государств 30 сентября 2010 года — в день, когда было объявлено об арестах.

Trojan-Spy.Win32.Zbot в сентябре. США и Великобритания

Другой случай, не связанный с Зевсом, однако тоже интересный с точки зрения юридической борьбы со спамом, произошел в России. Российское правосудие настигло компанию, использующую спам как средство рекламы. В Челябинске аудиторская фирма была наказана рублем за распространение спама, содержащего рекламу платного бухгалтерского семинара. Напомним, что спам, рекламирующий семинары разного рода, не является редкостью в русскоязычных почтовых потоках — по нашим данным в сентябре пользователями России, Украины, Казахстана, Беларуси и стран балтийского региона было получено до 13,6% подобных спамерских писем.

Судебное разбирательство было инициировано компанией, получавшей спамерские письма. По данным Российской газеты сотрудники этой фирмы пытались отказаться от навязчивой рассылки, а когда эти попытки были проигнорированы рассыльщиком, обратились в антимонопольное управление. Проведенное расследование показало, что рекламные письма распространялись без согласия получателей, что противоречит Закону о рекламе. Кроме того, распространитель рекламы должен был немедленно прекратить отправку своих сообщений на адреса фирмы, изъявившей нежелание их получать. Недобросовестный рекламодатель был оштрафован на сумму 40 тысяч рублей. Заметим, что сумма не слишком большая. Однако наказание компании, рекламирующей свои услуги при помощи спама — это сигнал, который должен призвать задуматься многие другие организации, занимающиеся подобной рекламой.

К вопросу о доменных зонах

Выше, в главе «LinkedIn и ZeuS. Что общего?» мы коснулись темы авторегистрации доменных имен. В этом контексте нельзя не сказать о доменной зоне .ru.

С тех пор как Китай в декабре прошлого года ужесточил правила регистрации доменов, количество спамерских сайтов в доменной зоне .cn резко сократилось. Однако спамерам нужно было и дальше размещать свой контент на просторах интернета. Тогда-то и началась массовая миграция сайтов, посвященных виагре, репликам часов марки «Ролекс» и средствам для увеличения половых органов, в российскую доменную зону. Количество спамерских ссылок на сайты в доменной зоне .ru начало стремительно расти еще в январе — феврале 2010. В сентябре чуть ли не каждая рассылка с рекламой виагры содержала ссылку на сайт, находящийся в российской доменной зоне.

Примеры писем, ссылки в которых ведут на сайты в российской доменной зоне

Заметим, что 1 апреля 2010 в России также была предпринята попытка ужесточения регистрации доменов, а точнее — инициирована проверка владельцев доменов, зарегистрированных до 1 октября 2009. Владельцам таких доменов нужно было предъявить в регистрационном центре свой паспорт и таким образом пройти идентификацию. Но никто так и не потребовал предъявлять паспорт для регистрации доменных имен после 1 апреля 2010, и спамеры до сих пор регистрируют свои домены-однодневки в российской доменной зоне целыми пачками и размещают ссылки на них в своих письмах.

16 сентября был последний день приоритетной регистрации доменов в первой кириллической доменной зоне .рф. 11 ноября 2010 начнется регистрация таких доменных имен для всех желающих «по рыночной цене». Предполагается, что правила неприоритетной регистрации доменов в зоне .рф будут более жесткими, чем в зоне .ru. Хотелось бы, чтобы это действительно было так, поскольку в противном случае мы рискуем увидеть в кириллической доменной зоне сотни сайтов, рекламирующих канадские онлайн-аптеки.

Статистический обзор

Доля спама в почтовом трафике

Доля спама в почтовом трафике по сравнению с августом уменьшилась на 1,5% и составила в среднем 81,1%. Самый низкий показатель месяца был зафиксирован 15 сентября — 76,9%; больше всего спама было получено пользователями 12 числа — 87,4%.

Доля спама в сентябре 2010 года

Страны — источники спама

TOP 20 стран — источников спама в сентябре выглядит следующим образом:

Страны – источники спама в сентябре 2010

В сентябре вклад разных стран в распространение спама распределился более равномерно, чем ранее. Благодаря этому обстоятельству на первом месте оказалась Индия, несмотря на то, что доля спама, распространенного из этой страны, несколько уменьшилась. Похожая ситуация сложилась со спамом, распространенным из Великобритании. Эта страна заняла пятую строчку в нашем рейтинге, хотя доля спама, отправленного с территории этого государства, увеличилась лишь на 0,2%.

На 3,1% возросла доля спама, распространенного из Бразилии.

Канада и страны Азии — Китай, Гонконг и Северная Корея — выпали из нашей «спамерской двадцатки», распространив меньше 1,5% спама каждая.

В сентябре увеличилось количество спама, распространенного из Европы в целом: доля Франции выросла на 2,3%, Греции на 2%, Ирландии на 1,3%, Нидерландов на 1%, Португалии на 1,5%, Польши на 1,3% и Германии на 0,8%. В результате Европа стала самым «мусорным» регионом, на ее долю пришлось около 42% всего мирового спама.

Вредоносные вложения в почте

Соединенные Штаты Америки оказались лидером среди стран, в которых наиболее часто наблюдались срабатывания почтового антивируса. Доля срабатываний почтового антивируса в этой стране достигла 12%. Далее следуют Великобритания, Япония и Испания.

Срабатывания почтового антивируса по странам в сентябре 2010

Вредоносные вложения содержали 4,3% всех писем. Это на 2% меньше, чем соответствующий показатель в августе. И все же, несмотря на столь заметное уменьшение, процент вредоносных вложений в почте по-прежнему высок.

ТОP 10 вредоносных программ, распространенных в почте в сентябре 2010

На первом месте в рейтинге расположился троянец Trojan-Downloader.Win32.FraudLoad.hbf, проявивший высокую активность в самом конце сентября. Программы семейства FraudLoad устанавливают на компьютер пользователя поддельный антивирус, который вымогает деньги у жертвы. На долю этого зловреда в сентябре пришлось почти 12% всех срабатываний нашего почтового антивируса.

Далее на второй и третьей строчках мы видим скриптовых троянцев Trojan-Downloader.JS.Iframe.bez и Trojan-Clicker.HTML.Iframe.abn. Оба вредоносных объекта представляют собой HTML-страницу, содержащую сценарий, написанный на языке Javascript. Однако они имеют различный функционал: Trojan-Downloader.JS.Iframe.bez пытается без ведома пользователя загружать из Сети другие вредоносные или рекламные программы, или обновления к ним, и запускать их. Задача же Trojan-Clicker.HTML.Iframe.abn состоит в том, чтобы без ведома пользователя открывать интернет-страницы в браузере, «накручивая» таким образом статистику посещаемости сайта. Хотя функционал Trojan-Clicker.HTML.Iframe не кажется столь опасным для системы, троянец расходует трафик и позволяет злоумышленникам обогащаться за счет неправомерного использования пользовательских компьютеров. К тому же, открываемый троянцем сайт может быть заражен другой, более опасной, вредоносной программой.

На четвертой строчке рейтинга наш завсегдатай — Trojan-Spy.HTML.Fraud.gen — троянец, использующий спуфинг-технологию и реализованный в виде html-страницы. Пользователь, получающий этого зловреда в почтовом сообщении, видит фактически фишинговое письмо со ссылкой на поддельный сайт известного банка или платежной системы, на котором требуется ввести логин и пароль.

Значительную часть второй половины нашего рейтинга занимают вредоносные программы семейства Oficla. Программы этого семейства загружают из Сети другие вредоносные или рекламные программы, или обновления к ним, и запускают их на компьютере пользователя.

Фишинг

ТОP 10 организаций, чаще всего подвергавшихся
фишинговым атакам в сентябре 2010

В сентябре снова с огромным отрывом от «преследователей» лидирует PayPal. Доля атак на эту платежную систему по сравнению с августом возросла еще на 3%.

Четыре организации-лидера по сравнению с августом не изменились. Существует заметная тенденция к снижению доли атак на банк HSBC при увеличении доли атак на пользователей популярной онлайн-игры World of Warcraft. Эти две фишерские мишени разделяет на данный момент всего 0,6%. Однако уверенно говорить о скором перемещении WoW на третью строчку рейтинга пока не приходится. В этой связи надо принять во внимание, что в сентябре снова увеличилась — более чем в два раза — доля атак на социальную сеть Facebook, выпавшую в августе из пятерки лидеров. Таким образом, наиболее вероятным кажется сценарий, при котором эта популярная социальная сеть вытеснит HSBC с третьей строчки рейтинга.

Тематические направления в спаме

Распределение спама по тематическим категориям в сентябре 2010

Пятерка лидирующих спам-тематик сентября:

1. Медикаменты; товары/услуги для здоровья — 25,5% (-5,1%)
2. Реплики элитных товаров — 13,7% (+1%)
3. Образование — 13,7% (+1,4%)
4. Реклама спамерских услуг — 6,9% (-0,4%)
5. Компьютерное мошенничество — 5,2% (-4,1%)

В сентябре, как уже упоминалось выше, количество медицинского спама несколько уменьшилось. Особенно заметным было это снижение во второй половине месяца.

Второе место в рейтинге самых популярных спамерских тематик поделили между собой реклама реплик элитных товаров и реклама семинаров. Доля каждой из этих тематик возросла в момент «падения виагры», однако пока эти изменения не выглядят значительными.

Процент писем, рекламирующих спамерские услуги, в конце сентября стал постепенно сокращаться. Однако среднемесячный показатель изменился менее чем на 0,5%.

Доля рубрики «Компьютерное мошенничество», включающей в себя как «нигерийские» письма, так и рассылку вредоносного кода и фишинг, уменьшилась почти вдвое, однако, как и доля писем, содержащих вредоносные вложения, осталась неутешительно высокой.

На графике ниже отражены наиболее заметные изменения в тематиках спама в сентябре.

Соотношение некоторых тематик спама в сентябре 2010 года

Как видим, кривые количества спама, содержащего саморекламу спамеров и рекламу семинаров разного рода, в последние три недели сентября почти симметричны. Заметим, что момент увеличения доли образовательного спама пришелся спамерам как нельзя более кстати — он точно совпал с моментом «падения виагры».

Заключение

В следующем месяце можно ожидать развития наметившихся в конце сентября тенденций, то есть роста доли заказного спама, уменьшения доли саморекламы спамеров и партнерского спама. Ожидаемый итог закрытия влиятельной партнерской организации SpamIt — это уменьшение в октябре доли спама, содержащего рекламу виагры. Не стоит, однако, надеяться на значительное уменьшение доли писем, содержащих вредоносные вложения, так как для участников партнерских программ это один из наиболее лакомых кусков пирога после, разве что, виагры. Поскольку самый крупный партнер спамеров по распространению фармацевтического спама закрывается, а на создание новой площадки понадобится время, очень многие злоумышленники переключатся с «безобидной» медицинской рекламы на выгодную для них и опасную для пользователей рассылку вредоносных программ.