Спам в январе 2010 года

Особенности месяца

• Доля спама в почтовом трафике по сравнению с декабрем увеличилась на 3,5% и составила в среднем 86,1%.
• Ссылки на фишинговые сайты находились в 0,81% всех электронных писем, что на 0,03% меньше, чем в декабре.
• Вредоносные файлы содержались в 0,07% электронных сообщений, это на 0,09% меньше, чем в прошлом месяце.
• Количество спама, предлагающего туристические поездки, снизилось вдвое, в то время как количество порно-спама возросло на 4%.
• Для обхода спам-фильтров злоумышленники продолжают использовать зашумленные картинки.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в январе 2010 года в среднем составила 86,1%. Самый низкий показатель месяца был зафиксирован на следующий день после православного Рождества, 8 января, — 78,9%; больше всего спама было получено пользователями Рунета 24 января — 89,7%.

Доля спама в январе 2010

Вредоносные программы в почте

Вредоносные файлы содержались в 0,07% электронных сообщений, что на 0,09% меньше, чем в прошлом месяце.

Вредоносные программы, содержавшиеся в почте в январе 2010 г.

Количество писем, содержавших файлы, запакованные при помощи Packed.Win32.Krap.x, существенно уменьшилось по сравнению с декабрем, однако осталось на достаточно высоком уровне. Доля таких писем составила 11,66% всей инфицированной почты, что позволило этому упаковщику занять вторую позицию в десятке вредоносных программ, чаще всего распространяемых в электронной почте. Напомним, что эта модификация Krap обычно используется для упаковки Zbot’а, FraudTools и Iksmas’a.

Другая модификация Krap — Packed.Win32.Krap.ah также вошла в десятку. Обработанные с помощью этого упаковщика файлы встречались в 2,35% всех писем.

На первом месте в десятке этого месяца Trojan-Spy.HTML.Fraud.gen. Это единственный представитель платформы HTML в топе последних месяцев. Все остальные вредоносы исполняются на самой популярной платформе Win32. Подробнее об этом вредоносе можно прочитать здесь.

На четвертом и восьмом местах десятки находятся Trojan-Downloader.Win32.Agent.dadz и его «брат по оружию» Trojan-Dropper.Win32.Agent.blhj. Хотя эти троянцы принадлежат к разным семействам (один из них Trojan-Downloader, а другой — Trojan-Dropper), это не мешает им обоим незаметно устанавливать на зараженный компьютер одну и ту же вредоносную программу, детектируемую нами как Trojan.Win32.Fregee.h. Разница лишь в том, что Trojan-Downloader.Win32.Agent.dadz после инсталляции зловреда пытается подключиться к интернету и скачать другие программы.

На третьем месте десятке расположился вредонос Worm.Win32.Mabezat.b.

Интересно заметить, что 3 из 10 представленных в топе вредоносов были зафиксированы в продолжающейся рассылке от имени DHL (пример типичного письма из этой рассылки приведен ниже). Это были Packed.Win32.Krap.x, Trojan-Downloader.Win32.Piker.brn, который загружает в систему несколько нежелательных файлов, и Trojan-Downloader.Win32.Agent.dadz. К некоторым ложным уведомлениям от этой почтовой системы в архиве был приложен Backdoor.Win32.Bredolab.bvb.

Кроме того, в январе нами была зафиксирована рассылка, содержавшая архив с паролем. Письма рассылались под заголовком «ALERT!», а в теле письма сообщалось, что во избежание раскрытия конфиденциальной информации все необходимые данные пересланы в приложенном архиве. Пароль от архива был указан здесь же.

Фишинг

В январе ссылки на фишинговые сайты находились в 0,81% всех электронных писем. Лидерами среди наиболее часто атакованных фишерами организаций снова стали PayPal (+21,68%) и eBay (-6,81%).

Организации, подвергнувшиеся фишинговым атакам в январе 2010 г.

Количество атак на Facebook по сравнению с прошлым месяцем заметно уменьшилось (-6,58%), и популярная социальная сеть сместилась на четвертое место, уступив третье банку HSBC. Количество атак на этот банк возросло более чем в два раза (+4,5%). В одной из зафиксированных нами фишинговых рассылок, нацеленных на клиентов HSBC, пользователю предлагалось перезапустить свой онлайн-банкинг, пройдя по ссылке. Для «перезапуска» требовалось ввести свои персональные данные и пароль в заготовленную фишерами форму.

Точно такой же трюк — предложение обновить данные для доступа к онлайн-банкингу — использовали фишеры, нацелившие свою атаку на клиентов банка Chase:

Страны — источники спама

Страны — источники спама

В январе лидером среди стран — источников спама снова стали Соединенные Штаты Америки, с территории которых было распространено чуть меньше спама, чем в прошлом месяце (-2,3%). Бразилия и Россия еще раз поменялись местами, заняв вторую и третью строчки в двадцатке соответственно. Ранее ожидалось небольшое снижение активности рассылки спама с территории России, поскольку во время длительных выходных начала января большая часть ботнетов, расположенных на территории России, находится оффлайн. Однако, судя по тому, что количество спама, распространенного из России, в январе все же несколько выросло (+0,1%), спамеры во второй половине месяца наверстали упущенное.

Китай снова поднялся в списке, распространив на этот раз на 0,5% больше спама, чем в декабре, и заняв 6-ю строчку.

С территории Украины в январе было распространено лишь 1,63% всего спама, что почти на 2,5% меньше, чем в прошлом месяце.

Интересно отметить, что в этом месяце Колумбия, вошла в Топ-10 — с территории этой страны было распространено на 1,2% спама больше, чем в декабре.

Тематический состав спама

Распределение тематик спама в Рунете в январе 2010 г.

Пятерка лидирующих спам-тематик января:

1. Медикаменты; товары/услуги для здоровья — 18,1% (+4,8%)
2. Образование — 14,2% (-6,1%)
3. Компьютерное мошенничество — 11,2% (+3,3%)
4. Реплики элитных товаров — 9,3% (+3,3%)
5. Компьютеры и интернет — 8,5% (=)

Самое заметное изменение в пятерке лидирующих спам-тематик — это исчезновение из нее писем с рекламой отдыха и путешествий, в декабре занимавших вторую строчку рейтинга. Сообщения, рекламирующие различные вечеринки или поездки за рубеж, разумеется, сохранились в общем потоке, однако их количество уменьшилось вдвое. Такое изменение в пятерке не удивительно, поскольку спам, рекламировавший в декабре поездки в горы или новогодние мероприятия, был сезонным явлением. В январе, однако, начались рассылки, предлагающие масленичные мероприятия:

Рубрика «Образование» потеряла еще 6% с прошлого месяца и впервые за полгода уступила первую позицию рубрике «Медикаменты», львиную долю которой составляют рассылки канадской онлайн-аптеки, предлагающей дешевые препараты.

Доля мошеннических писем увеличилась на 3,3% и достигла 11,2%! Постепенное увеличение доли этих писем становится тенденцией, притом довольно тревожной, — ведь если растет количество мошенников, растет и количество их жертв.

Из новых изобретений участников партнерских программ самым заметным стал «сканер тела». Нами было заблокировано множество сообщений, предлагавших скачать специальную программу для мобильного телефона, позволяющую «просканировать» одежду любого человека. Разумеется, для начала надо было отправить SMS на короткий номер.

Почти 8,5% достигло количество писем четырех тематик. Помимо рубрики «Компьютеры и интернет», большей частью состоящей из рекламы дешевого софта, и уже упомянутой рекламы отдыха и путешествий, это тематики «Для взрослых» и «Другие товары и услуги».

Увеличение количества спама для взрослых в некоторой степени связано с активизацией участников партнерских программ, предлагающих скачать порно, оплатив его SMS-сообщением.

Количество писем, рекламирующих различные товары и услуги реального сектора экономики, уменьшилось на 3%. Это связано с сезонностью многих рассылок, относимых нами к тематике «Другие товары и услуги» — зачастую в декабре это были письма, рекламирующие новогодние подарки. В январе активизировалась реклама подарков ко Дню святого Валентина.

Забавно, что ссылка « Top Ten Valentine Gifts for men and women» в представленном письме перенаправляла российских пользователей на сайт моментальной лотереи.

Кроме того, некоторые спамеры сочли, что настало время для начала рассылок рекламы подарков к 23 февраля:

Спамерские методы и трюки

Картиночный спам снова используется для обхода спам-фильтров. Этот трюк спамеры применяют в основном в рассылках, рекламирующих их собственные услуги. На этот раз массово рассылавшиеся картинки прогонялись через различные цветовые фильтры, благодаря чему менялся фон картинок.

Заключение

Как мы и предполагали, количество вредоносных вложений в почте остается пока на низком уровне. Для рассылки вредоносных программ спамеры не выдумывают новые трюки, а пользуются старым и проверенным методом — поддельными сообщениями от DHL.

Подтвердились и наши предположения относительно фишинга — его количество стабилизируется. По всей видимости, такую картину мы будем наблюдать еще пару месяцев.

Количество спама, рекламирующего отдых и путешествия, уменьшилось, уступив место медицинскому спаму, спаму «для взрослых», а также рекламе реплик элитных товаров. Доля «образовательного» спама продолжает уменьшаться.

Важной чертой последних месяцев стал рост количества мошеннических писем. Эта рубрика объединяет фишинговые, «нигерийские» письма, поддельные извещения о выигрыше в лотерею и т.п. В январе доля таких небезопасных посланий превысила 11% от всей спам-почты.