Спам в марте 2010 года

09-04-2010

Лаборатория Касперского сообщает, что доля спама в почтовом трафике в марте 2010 года в среднем составила 82,9%. Самый низкий показатель месяца был зафиксирован 5 марта — 78%; больше всего спама было получено пользователями Рунета 20 числа — 90,1%.

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с февралем уменьшилась на 3,2% и составила в среднем 82,9%.
  • Ссылки на фишинговые сайты находились в 0,03% всех электронных писем, что на 0,84% меньше, чем в феврале.
  • Вредоносные файлы содержались в 0,5% электронных сообщений, что на 0,68% меньше, чем в прошлом месяце.
  • Среди спам-тематик снова лидирует спам, предлагающий отдых и путешествия.
  • Для обхода спам-фильтров злоумышленники по-прежнему используют изменяющиеся картинки и закрашенные ячейки html-таблиц.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в марте 2010 года в среднем составила 82,9%. Самый низкий показатель месяца был зафиксирован 5 марта — 78%; больше всего спама было получено пользователями Рунета 20 числа — 90,1%.


Доля спама в Рунете в марте 2010 года

Страны — источники спама

 новое окно
Страны – источники спама

В марте среди стран — источников спама по-прежнему лидируют США (14,7%) и Индия (7,3%). В остальном первая пятерка выглядит иначе. С пятого на третье место в рейтинге сместилась Россия, с территории которой было распространено 6,9% всего мирового спама(+2,3%). Четвертое и пятое места поделили Вьетнам и Румыния, с территории этих стран в марте было разослано по 4,8% всего спама.

Республика Корея, в феврале занимавшая третье место в рейтинге, в марте оказалась лишь на восьмом месте с показателем 4,1% (-3,4%).

Бразилия, ранее входившая в первую тройку стран — источников спама, уже второй месяц находится на девятой позиции в рейтинге. С территории этой страны было распространено 3,1% спама.

Китай, ранее входивший в десятку стран, с территории которых распространяется наибольшее количество спама, уже второй месяц занимает последние строчки рейтинга (1,6%).

С территории Украины было распространено на 1,2% больше спама, чем в прошлом месяце, в результате эта страна заняла шестую строчку рейтинга (4,2%). Количество спама, распространяемого из этой страны, стабильно растет, что позволяет предположить, что в ближайшие несколько месяцев Украина может занять место сдавшего свои позиции Китая и оказаться в числе лидирующих стран — источников спама. В целом, с территории стран бывшего Советского Союза в марте спама было распространено примерно столько же (14,8%), сколько с территории США.

Фишинг

Ссылки на фишинговые сайты находились в 0,03% всех электронных писем, что на 0,84% меньше, чем в феврале.

В марте лидерами среди наиболее часто атакуемых фишерами организаций снова стали PayPal (45,4%, -8,6%) и eBay (15,4%, +1,4%). Третью и четвертую позиции рейтинга, как и в прошлом месяце, занимают Facebook (7,7%, +1,6%) и HSBC (7,5%, -0,2%), они лишь поменялись местами.

 новое окно
Организации, подвергнувшиеся фишинговым атакам в марте 2010 года

В марте нами снова было получено значительное количество фишинговых писем, целью которых были пользователи он-лайн игры World of Warcraft. Такие письма по-прежнему представляют собой не слишком изощренную подделку — чаще всего они состоят из текста, повествующего о возможной блокировке игрового аккаунта, и ссылки.

 новое окно

В приведенном выше примере ссылка, которую видит пользователь, выглядит как переход на заглавную страницу сайта онлайн-игры однако, на самом деле через нее происходит переадресация на сайт http://*******.worldofwarcraft**.com/, на котором пользователю и предлагается ввести свои регистрационные данные. Разумеется, внимательный пользователь делать этого не будет.

В десятке самых часто атакуемых фишерами организаций пятую строчку в марте заняла компания Google. Однако под прицелом оказался и один из ее конкурентов: пользователи Yahoo! могли видеть в своих почтовых ящиках рассылку следующего содержания:

 новое окно

Забавно, что помимо стандартной формы, которую надо заполнить, чтобы «аккаунт не был заблокирован в течении 72 часов», фишеры просят ввести буквы, показанные на картинке ниже, в форму системы CAPCHA, которая используется для того, чтобы избежать авторегистрации с использованием бота.

Банки, разумеется, в марте тоже были интересны фишерам. Так, на пользователей онлайн-банкинга Bank of America была нацелена следующая зафиксированная нами рассылка:

 новое окно

Отметим, что английское слово "member" — «участник» — написано в заголовке письма с ошибкой — "menber".

Вредоносные программы в почте

Вредоносные файлы содержались в 0,5% электронных сообщений, что на 0,68% меньше, чем в прошлом месяце.

 новое окно
Вредоносные программы, содержавшиеся в почте в марте 2010 года

Среди вредоносных программ, наиболее часто встречавшихся в почте, снова лидирует Trojan-Spy.HTML.Fraud.gen, основная задача которого — сбор личных и регистрационных данных пользователя.

Интересно, что львиная доля всех случаев распространения этого троянца — почти половина — имела место в Великобритании.

Второй по распространенности в мартовской почте зловред — это Trojan-Downloader.Win32.FraudLoad.gmx, который загружает на компьютер-жертву файл, детектируемый «Лабораторией Касперского» как Trojan.Win32.Sasfis.ajil.

Сразу три троянца, представленные в нашей десятке, относятся к семейству Trojan.Win32.Agent. Это вредоносные программы, занимающие четвертую, седьмую и десятую строчки рейтинга. В общей сложности около 7% зловредов, распространенных в почте в марте, относились к этому семейству.

Кроме того, интересно отметить троянские программы Trojan.Win32.FraudPack.aolb и Trojan.Win32.FraudPack.apee, расположившиеся на 8-й и 10-й строчках и обнаруженные в 2% и 1,84% всех писем соответственно. Данные зловреды представляют собой фальшивые антивирусы, которые вымогают у пользователя деньги, а также под видом установки обновлений скачивают на компьютер пользователя другие вредоносные программы.

Почтовый червь NetSky, который в августе, сентябре и декабре 2009 года уже присутствовал в списках самых распространенных в почте вредоносных программ, снова попал в десятку. На этот раз его модификация Email-Worm.Win32.NetSky.q заняла шестую строчку рейтинга.

Интересно отметить тот факт, что рассылка от имени почтовой системы UPS до сих пор не надоела спамерам. Вредоносные программы, распространяемые с помощью этой уловки, продолжают меняться. Так, в марте в письмах от лже-UPS рассылались представленные в нашей десятке троянцы семейства Trojan.Win32.FraudPack и Trojan.Win32.Agent.

 новое окно

Популярным среди спамеров остается и метод распространения вредоносных программ в архиве с паролем. Пароль в таком случае можно найти в теле письма, а в архиве, по утверждениям спамеров, находится очень важный конфиденциальный документ, который якобы никак нельзя переслать иным образом. Причем документ, находящийся в архиве, имеет название, заканчивающееся на .txt, или .doc, как в представленном ниже случае:

 новое окно

На самом деле в архиве находился Email-Worm.Win32.Beloy.a — почтовый червь, добавленный в наши антивирусные базы еще в 2007 году. Интересно, что в марте этот червь был мало распространен, и все случаи его детектирования нашим почтовым антивирусом имели место в Румынии и Соединенных Штатах Америки.

Тематический состав спама

 новое окно
Распределение тематик спама в Рунете в марте 2010

Пятерка лидирующих спам-тематик марта:

  1. Отдых и путешествия — 18,5% (+2,8%)
  2. Образование — 18,1% (-0,8%)
  3. Медикаменты; товары/услуги для здоровья — 12,5% (-3%)
  4. Компьютерное мошенничество — 7,4% (-1,8%)
  5. Компьютеры и интернет — 5% (-1,5%)

На первых строчках в пятерке лидирующих спам-тематик снова оказались тематики «Отдых и путешествия» и «Образование». По сравнению с февралем они поменялись местами, хотя количество писем этих тематик изменилось не слишком сильно.

Рубрика «Отдых и путешествия» вырвались на первое место в связи с тем, что пользователи уже начинают задумываться о путешествиях в период майских праздников, чем с радостью пользуются не слишком добросовестные турфирмы, заказывающие спам. Количество такого спама стало расти во второй половине марта.

В спамерских письмах тематики «Образование» чаще всего предлагалось принять участие в различных семинарах или научиться чему-либо, способствующему ведению бизнеса. Среди подобных предложений встречались и довольно остроумные:

 новое окно

Однако в марте спамеры предлагали не только участие в семинарах, но и фальшивые дипломы различных ВУЗов. В одной из таких рассылок в качестве добавки к рекламному предложению использовался некий литературный текст, менявшийся от письма к письму. Таким образом спамеры пытались добиться вариабельности писем, надеясь, что это поможет им обойти спам-фильтры.

 новое окно

По уже сложившейся традиции спамеры, распространяющие виагру, рассылка рекламы которой составляет львиную доли рубрики «Медикаменты; товары/услуги для здоровья», приукрасили свои шаблонные сайты, используя атрибутику грядущих праздников — а именно, приближающейся Пасхи:

 новое окно

Приближение праздника Пасхи, однако, заметили не только распространители дешевых медицинских товаров. По всей видимости, те же спамеры, что под Рождество обещали прислать всем желающим персонализированные письма от Санта Клауса, в марте предлагали письма от пасхального зайчика! По крайней мере, тема письма, а также стоимость послания, говорят о том, что письма от имени Санта Клауса и письма от пасхального зайца пишут одни и те же люди.

 новое окно

В целом же количество писем тематики «Другие товары и услуги», к которым относится, в том числе, и приведенное выше письмо, несколько снизилось (-1,4%).

Количество писем, относящихся к тематике «Компьютерное мошенничество», тоже уменьшилось (-1,8%), что не может не радовать. Однако процент такого спама остается достаточно высоким (7,4%).

В марте по Рунету прошли довольно крупные рассылки, рекламирующие «новое изобретение» мошенников — стереогипноз.

 новое окно

Ссылки вели на сайт, где предлагалось скачать видеофайлы, якобы вызывающие различные эмоции и ощущения. Для того, чтобы заполучить чудо-файл, надо было отправить SMS-сообщение на короткий номер.

Спамерские методы и трюки

В марте спамеры снова вспомнили о старых и проверенных методах: об изменяющихся картинках и о ячейках html-таблиц, закрашенных в определенном порядке.

Трюк с изменяющимися зашумленными картинками традиционно использовался спамерами для двух случаев, первый из которых — реклама виагры:

 новое окно

Как мы видим, помимо картинки спамеры вставляли в письма фрагмент литературного текста, который также менялся от письма к письму. В предыдущих отчетах мы уже отмечали, что использование таких картинок лишает заказчика спама большой части аудитории, а именно — всех тех, кто не возьмет на себя труд вбивать адрес сайта вручную.

Второй случай применения зашумленных картинок — это самореклама спамеров. Такого спама по-прежнему довольно мало, но, видимо, спамеры решили страховаться на случай повторения кризиса, и более эффективные трюки для обхода спам фильтров оставляют именно для себя:

Специальным образом закрашенные ячейки html-таблицы можно было видеть в письме, рекламирующем сайт знакомств. Раньше с помощью этого приема обычно изображался адрес сайта, в данном же случае с помощью ячеек был сконструирован сам текст сообщения. Ссылка на сайт была написана обычным образом.

Заключение

Процент фишинговых писем в почте в марте значительно уменьшился, что, конечно, не может не радовать. Количество вредоносных вложений в почте также вернулось к январскому уровню. Незначительно снизилось и количество спама тематики «Компьютерное мошенничество». Таким образом, прослеживается некоторая тенденция к уменьшению криминальных составляющих спама.

Место вредоносных, фишинговых и мошеннических рассылок занимают спамерские письма тематической категории «Отдых и путешествия». Это, бесспорно, связано с приближением майских праздников, а также уже не столь далекого сезона летних отпусков.

Для обхода спам-фильтров спамеры практически не придумывают новых трюков, предпочитая обходиться старыми проверенными средствами. Должно быть, такое положение вещей не изменится еще довольно долгое время.


Источник новости:  http://www.securelist.com
Новость прислал:  NewsMan

Возврат к списку