Спам в январе 2011 года

Январь в цифрах

• Доля спама в почтовом трафике по сравнению с декабрем увеличилась на 0,5% и составила в среднем 77,6%.
• Доля фишинговых писем составила 0,03% от всей почты — на 0,11% меньше, чем в декабре.
• В декабре вредоносные файлы содержались в 2,75% всех электронных сообщений — на 1% больше, чем в прошлом месяце.

Обзор главных событий месяца

Новогодние каникулы

В начале января основным фактором, определявшим содержание спама в почте, были новогодние праздники. Возможно, это прозвучит странно, но спам тоже ушел на каникулы. На представленном ниже графике видно, что с 1 по 10 января доля спама в общем почтовом потоке была значительно ниже обычного.

Доля спама в почтовом трафике в январе 2011 года

Следует помнить, что когда речь идет о доле спама, подразумеваются не абсолютные значения, а относительные, зависящие не только от объема спам-трафика, но и от объема чистой почты. Если же говорить о сокращении объема спама в первые дни января в абсолютных цифрах, то количество спамерских писем уменьшилось в пять-шесть раз.

Основной причиной такого спада смело можно назвать снижение активности ботнетов. Известно, что абсолютное большинство спам-сообщений рассылается при помощи зомби-сетей. В праздники множество зараженных машин было выключено, поэтому с них рассылка спама не производилась. То, что «каникулы» ботсетей, по времени совпали с новогодними праздниками, а не с западным Рождеством, подтверждает предположение о том, что в организации мирового спам-бизнеса значительную роль играют российские или, точнее, постсоветские теневые бизнес-структуры. Мнение о том, что за многими ботнетами и партнерскими программами стоят граждане бывшего СССР, широко распространено. Затишье в рассылке спама в начале января вписывается в эту версию, — ботоводы и мастера партнерских программ, вероятно, просто ушли в отпуск.

Начиная с середины января, объем спама снова стал таким же, как и до праздников.

Два месяца покоя

Как мы помним, во второй половине 2010 года мир спама пережил несколько крупных потрясений, серьезно повлиявших на объем нежелательной почты, ее тематический состав и географию основных источников ее распространения. Однако декабрь и январь принесли спамерам долгожданное затишье — никаких громких событий, никаких шумных судебных разбирательств.

Снижение давления на спамеров сказалось довольно быстро. Так, в январе в двадцатку лидеров по рассылке спама снова вернулись США. По всей вероятности, это связано с тем, что спамерский бизнес в этой стране начал постепенно восстанавливаться.

Напомним, что США долгое время были мировым лидером в рассылке спама. Например, в августе 2010 года из этой страны было распространено 15,5% всего спама. Объем мусорной почты, рассылаемой из США, стал уменьшаться в сентябре. В октябре Штаты оказались уже на 18-м месте (1,6%). А в ноябре и декабре они вообще не попали в TOP 20, за эти два месяца с их территории было распространено менее 1,5% мирового спама. В январе США снова вернулись в первую двадцатку и заняли в рейтинге 14-е место.

Кроме того, увеличилась доля срабатываний почтового антивируса на территории США, что говорит о возвращении этой страны в фокус внимания распространителей вредоносного кода. Интересно, что за резким увеличением числа срабатываний почтового антивируса в Индии последовало увеличение доли спама, распространенного с ее территории. Такая последовательность событий, очевидно, связана с распространением вредоносных программ, «вербующих» компьютеры пользователей в зомби-сети для последующей рассылки спама. Вероятно, более частое срабатывание почтового антивируса в Штатах говорит о попытке злоумышленников восстановить старые или построить новые ботнеты на территории этой страны, что в ближайшем будущем может привести к восстановлению объема спам-трафика, идущего из США. Хотя, это не означает, что бывший бессменный лидер нашего рейтинга в ближайшее время снова вернется на верхнюю строчку.

Второй показатель стабилизации спам-бизнеса в январе — это постепенное восстановление позиций медицинского спама. Напомним, что фармацевтические партнерские программы были наиболее прибыльным источником дохода для спамеров, однако активное внимание к ним со стороны правоохранительных органов и борцов со спамом в последние месяцы 2010 года привело к драматическому снижению доли такого спама в Сети.

В январском спам-трафике процент спама с рекламой виагры вновь увеличился. Резкий скачок наблюдался в начале января, когда сообщения, рекламирующие медицинские препараты, составили четверть спам-трафика. Однако надо учитывать, что в начале года была снижена активность спамеров в целом. Весьма вероятно, что всплеск рекламы фармпрепаратов мог быть обусловлен каникулами владельцев ботнетов. Похоже, многие ботоводы, отправляясь на выходные, дали своим ботам команду рассылать старый добрый фармацевтический спам, не затрудняя себя поиском других решений и клиентов.

Доля спама, содержащего рекламу виагры,
в декабре 2010 — январе 2011 года

Действительно, по завершении длительных новогодних праздников доля спама с рекламой медикаментов начала постепенно сокращаться: до 22% на второй неделе января, и до 17% – на третьей. К концу месяца такой спам составлял лишь 13,5% от всех спамерских сообщений, однако даже эта цифра на 4% выше, чем среднемесячный показатель декабря. По итогам месяца фармацевтический спам вернулся на вторую строчку в рейтинге самых популярных спамерских тем.

В целом по сравнению с декабрем процент спамовых писем в почте несколько вырос. Это произошло несмотря на заметное снижение объемов спам-трафика в самом начале месяца. Если же не учитывать затишье на новогодних каникулах, то средняя доля спама к почтовому трафику с 10 по 31 января составила 79,1%, что на 2% выше, чем в декабре. Это также может свидетельствовать о стабилизации ситуации в спам-бизнесе.

Спам в РФ

Мы уже писали о том, что спамеры используют доменную зону .рф как платформу для размещения своих доменов. В рассылках, заказанных малым и средним бизнесом, а также в сообщениях, рекламирующих услуги спамеров, часто встречаются ссылки, ведущие в кириллическую доменную зону.

Однако сейчас речь пойдет о другом — базы спамеров пополнились адресами пользователей, чьи почтовые ящики расположены в доменной зоне .рф.

Интересно, что часть писем, попавших на адреса пользователей в доменной зоне .рф, была на английском языке, и во многих из них рекламировались рассылки по базам пользователей разных стран.

Странная последовательность букв, цифр и знаков препинания
в поле «To» – это не что иное, как кириллическое доменное имя
, отображенное в неверной кодировке

Таким образом, пользователи, которые завели почтовые ящики в кириллической доменной зоне в надежде избежать таким образом спама, проблему полностью не решили. Пока объем почтового мусора, попадающего в почтовые ящики в зоне .рф невелик, однако очевидно, что он будет расти.

Первые «валентинки»

14 февраля люди по всему миру отмечают День святого Валентина. Казалось бы, до праздника всех влюбленных еще целых полтора месяца, но эта тема уже используется в спаме. Уже седьмого января спам-лабораторией были зафиксированы письма, связанные с Днем всех влюбленных.

Январские письма этого типа представляли собой вполне традиционную для таких случаев спам-рекламу необычных подарков, цветов, реплик элитных товаров и медикаментов, повышающих мужскую потенцию.

Разумеется, чем ближе к 14 февраля, тем подобных писем будет больше.

Пользователи должны внимательно относиться к получаемым в этот период сообщениям — полученная от неизвестного отправителя «валентинка» может содержать в себе не трогательное признание в любви, а вредоносный код или ссылку на зараженный сайт.

Статистический обзор

Доля спама в почтовом трафике

Доля спама в почтовом трафике по сравнению с декабрем увеличилась на 0,5% и составила в среднем 77,6%. Самый низкий показатель месяца был зафиксирован 5 января — 60,7%. Больше всего спама было получено пользователями 23 числа — 87,7%.

Страны — источники спама

Страны — источники спама в январе 2011

Больших изменений в географии основных источников спама и процентном соотношении рассылаемого из них почтового мусора в январе не произошло. Вклад каждой страны по сравнению с декабрем изменился не более чем на 1%. Исключением стал лишь Вьетнам, который переместился с четвертой позиции на десятую (-1,75%).

Мы уже отметили, что возвращение в TOP 20 стран — источников спама Соединенных Штатов можно считать знаковым событием. Несмотря на то что из США в январе было разослано всего 2,07% спама, нынешнее их 14-е место в двадцатке может означать, что злоумышленниками уже сделаны первые шаги к восстановлению мощностей спам-ботнетов, расположенных в США.

Вредоносные вложения в почте

В декабре вредоносные файлы содержались в 2,75% всех электронных сообщений, что на 1% больше, чем в прошлом месяце.

Срабатывание почтового антивируса по странам в январе 2011

Большая часть вредоносных вложений, как и в прошлом месяце, была обнаружена нашим почтовым антивирусом на территории Индии, России и Вьетнама. США и Великобритания переместились ближе к верхушке рейтинга. Как мы уже говорили, это может объясняться тем, что, как только правоохранительные органы разных стран ослабили давление на спам-индустрию, злоумышленники приступили к восстановлению пострадавших ботнетов. Украина, на территории которой в декабре было отмечено более 4% срабатываний нашего почтового антивируса, в десятку января не попала.

ТОP 10 вредоносных программ, распространявшихся в почте в январе 2011 г.

TOP 10 вредоносных программ, распространявшихся в почте, снова возглавил Trojan-Spy.HTML.Fraud.gen.

Этот зловред представляет собой веб-страничку, замаскированную под страницу одного из популярных банков или платежных систем. Злоумышленники применяют его для ввода пользователей в заблуждение с целью кражи конфиденциальной информации.

Второй месяц подряд большая часть TOP 10 распространенных в почте программ представлена почтовыми червями, то есть программами, в функционал, которых входит сканирование системы в поисках электронных адресов и дальнейшая рассылка себя по этим адресам.

В январе список из десяти наиболее часто встречающихся в почте вредоносных программ пополнила еще одна модификация червя Email-Worm.Win32.Mydoom — Email-Worm.Win32.Mydoom.l. Обе разновидности червя Mydoom были добавлены в антивирусные базы «Лаборатории Касперского» в 2004 году. Письма, рассылаемые этими вредоносными программами, выглядят как сообщения почтовой системы о том, что почта не была доставлена. В данном случае основной функцией программ является сбор почтовых адресов. Подробнее об этих вредоносных программах можно почитать здесь и здесь.

Еще два почтовых червя, попавших в десятку, — это Email-Worm.Win32.Agent.gnd и Email-Worm.Win32.Agent.gnl. Модификация Agent.gnd входила в TOP 10 декабря. Эти вредоносные программы обладают более сложным функционалом, чем черви, описанные выше. Помимо сбора электронных адресов и рассылки самих себя по электронной почте, они, при попадании на компьютер, инсталлируют в систему другие вредоносные программы. В основном таким образом внедряются троянские программы-загрузчики, которые тут же пытаются получить доступ к определенным интернет-ресурсам, с которых происходит загрузка новых вредоносных программ на компьютер пользователя.

Более сложным по сравнению с «простыми» почтовыми червями функционалом обладает и почтовый червь Email-Worm.Win32.Bagle.gt. Он не инсталлирует в систему программы-загрузчики, а самостоятельно обращается к определенным интернет-ресурсам для загрузки с них вредоносных программ. Разумеется, червь также ищет в системе электронные адреса и рассылает себя по ним.

Тематические направления в спаме

Распределение спама по тематическим категориям в январе 2011

Пятерка лидирующих тематических категорий в спаме:

1. Образование — 27% (+3,5%)
2. Медикаменты; товары/услуги для здоровья — 21,2% (+12,2%)
3. Реклама спамерских услуг — 7,8% (-1,6%)
4. Недвижимость — 5,8% (+%)
5. Личные финансы — 4,9% (+%)

Как уже было упомянуто, в январе медицинский спам восстановил свои позиции и занял вторую строчку в ряду самых популярных тематических направлений в спаме. На первом месте по-прежнему спам, в котором рекламируются образовательные услуги. Отметим, что это заказной, а не партнерский спам. Интересно и то, что в рейтинг попала еще одна тематика заказного спама — сообщения, рекламирующие предложения по недвижимости.

Соотношение партнерского и заказного спама в январе заметно изменилось к концу месяца. В начале января клиенты спамеров были не слишком активны, что, конечно, связано с праздничным затишьем. Да и спамеры не слишком обременяли себя поиском клиентов, предпочитая отдых и рассылая в основном шаблонные сообщения с предложениями от партнерских программ.

Соотношение партнерского и заказного спама в январе 2011

В конце месяца ситуация изменилась — доля заказного спама стала увеличиваться, достигнув на последней неделе 60%. Вместе с тем возросло и количество сообщений, рекламирующих услуги спамеров. Сообщения же, рассылаемые в сотрудничестве с партнерскими программами, стали распространяться менее активно, несмотря на приближение Дня святого Валентина, в преддверии которого пользователи традиционно получают массу сообщений, рекламирующих реплики элитных товаров и таблетки для мужской потенции.

Заключение

Январь, как и декабрь, стал для спамеров временем постепенного восстановления мощностей для рассылки спама, пострадавших в ходе последних кампаний по борьбе с нежелательной почтой и ботнетами. К сожалению, судя по ряду признаков, спамеры добиваются определенных успехов в реанимации своих ботнетов, и если никакие новые события не затронут мир спама в ближайшее время, то к весне объем спама может приблизиться к показателям лета 2010 года.

Никак нельзя считать побежденным и фармацевтический спам, доля которого сократилась после осенней атаки на ботнеты: сейчас очевидно, что спамеры не расстанутся с этой, столь доходной, отраслью своего бизнеса, если атаки на нее не возобновятся и не приобретут решающий характер. Рассылка фармацевтического спама начнется с новой силой уже в феврале в преддверии Дня всех влюбленных.

Вероятно, объем спама, распространяемого с территории США, также будет восстанавливаться, поскольку эта страна, прежде всего в силу своей высокой компьютеризации, по-прежнему интересна злоумышленникам как место для создания зомби-сетей.

Вновь хотим обратить внимание пользователей на то, что кроме антивирусного программного обеспечения непременным условием безопасности компьютера является внимательность и осторожность его владельца в процессе интернет-серфинга.