Спам в ноябре 2009

Мария Наместникова

Особенности месяца

• Доля спама в почтовом трафике по сравнению с октябрем уменьшилась на 0,9% и составила в среднем 84,8%.
• Ссылки на фишинговые сайты находились в 0,97% всех электронных писем, что на 0,06%, больше, чем в октябре.
• Вредоносные файлы содержались в 0,83% электронных сообщений — на 1,12% больше, чем в прошлом месяце.
• Новогодний спам набирает обороты, это отразилось в увеличении писем тематики «Отдых и путешествия».
• Для обхода спам-фильтров спамеры активно используют различные трюки с картинками.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в ноябре 2009 года в среднем составила 84,9%. Самый низкий показатель месяца был зафиксирован 18 ноября — 78,3%; больше всего спама было получено пользователями Рунета 16 числа — 89,6%.

 
Доля спама в Рунете в ноябре 2009

Вредоносные программы в почте

Вредоносные файлы содержались в 0,83% электронных сообщений, что на 1,12% меньше, чем в прошлом месяце.

 
Вредоносные программы, содержавшиеся в спамерских сообщениях в ноябре 2009

В ноябре в десятке наиболее часто встречавшихся в спаме вредоносов лидируют зловреды семейства Backdoor.Win32.Small. В прошлом месяце один зловред такого семейства уже появлялся в десятке, но именно в ноябре общее количество таких вредоносов превысило 45%. Всего в десятке представлено три модификации «маленького» backdoor’a: Small.zs, Small.zo и Small.ioa. Все эти модификации после инсталляции собирают информацию о зараженном компьютере и отсылают ее на командный сервер, после чего ждут оттуда команды. Также они могут загружать дополнительные компоненты.

Для рассылки бэкдоров этого семейства спамеры использовали совсем не новый прием социальной инженерии: они прикрепляли к письмам zip-архив, содержащий этого вредоноса, и называли его "Photos”. В письме сообщалось, что в приложении — давно обещанные фотографии.

На втором и шестом месте в десятке находятся вредоносы семейства Trojan-Downloader.Win32.Agent: модификации Agent.cwlc и Agent.cwlb. Эти вредоносы после установки подключаются к сетевым ресурсам, чтобы получить список URL для закачки других вредоносных программ.

Для распространения этих зловредов злоумышленники использовали поддельные уведомления от популярной социальной сети FaceBook. В письмах говорилось, что согласно изменениям в политике безопасности сервиса FaceBook, все пользователи обязаны подтвердить новое пользовательское соглашение, независимо от даты регистрации аккаунта.

При этом аккаунты пользователей, не подтвердивших соглашения, якобы будут удалены. Чтобы подтвердить соглашение пользователю требовалось распаковать приложенный архив, в котором на самом деле скрывался не кто иной, как Trojan-Downloader.Win32.Agent.cwlb.

Важно отметить два изменения в десятке по сравнению с прошлым месяцем: во-первых, появление в ней двух модификаций Zbot’a на пятом и десятом месте. При этом модификация Trojan-Spy.Win32.Zbot.gen уже побывала в сентябрьской десятке. Напомним, что Trojan-Spy.Win32.Zbot — это троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Более подробное описание вы найдете здесь. Вторым важным изменением является возвращение в десятку почтового червя Iksmas, обладающего функционалом кражи данных и рассылки спама.

Фишинг

Чаще всего фишеры атаковали свои традиционные мишени — PayPal и eBay. На эти организации пришлось 44,53% (+5,61%) и 19,42% (+12,29%) всех фишинг-атак соответственно. Резко (на 6,9%) увеличилось количество фишинговых атак на FaceBook, в ноябре на эту социальную сеть пришлось 9,03% всех фишинг-атак. При этом количество атак на налоговую организацию IRS снизилось почти на 14% и составило 6,21%.

 
Организации, подвергнувшиеся фишинговым атакам в ноябре 2009

Одна из любимых фишерами организаций — Bank of America (4,22%) — подверглась в ноябре очень умело организованной атаке. Письма, полученные пользователями, были мастерски подделаны под легитимные.

Кроме того, хочется заметить, что злоумышленники, со свойственным им упорством, продолжают атаки на пользователей известной онлайн игры World of Warсraft. При этом многие подобные письма сделаны очень «граматно». Адрес в поле "From” похож на реальный адрес компании Blizzard Entertainment, и лишь присмотревшись очень внимательно, можно увидеть подлог. Также как и в предыдущем письме, требуется верификация аккаунта на фишинговом сайте.

Страны — источники спама

 
Страны — источники спама

В ноябре лидер рейтинга стран — источников спама остался прежним — это США, однако количество спама, распространенного с территории этой страны, уменьшилось почти на 10% по сравнению с октябрем. А вот Бразилия, занимавшая несколько месяцев подряд второе место, сместилась сразу на четвертое, хотя количество спама, распространенного из этой страны, по сравнению с прошлым месяцем увеличилось (+0,7%). На второе место в ноябре вырвалась Россия: из нашей страны было разослано чуть больше 8% всего мирового спама (+2,78%). Следом за Россией в тройку лидеров входит Индия, из которой было разослано чуть ли не вдвое больше спама, чем в прошлые месяцы (7,16%). На пятом, шестом и восьмом месте завсегдатаи десятки — Вьетнам, Корея и Польша, почти не изменившие своих показателей. На седьмом месте — Италия, увеличившая по сравнению с октябрем свой показатель почти на 1,2%.

Тематический состав спама

 
Распределение тематик спама Рунете в ноябре 2009

Пятерка лидирующих спам-тематик октября:

1. Образование — 24,3% (-2,1%)
2. Медикаменты; товары/услуги для здоровья — 14,7% (+2,1%)
3. Отдых и путешествия — 12,3% (+4%)
4. Реплики элитных товаров — 8,9% (-4,4%)
5. Компьютерное мошенничество — 8,4% (+1,3%)

В ноябре состав пятерки лидирующих спам-тематик остался прежним, хотя и заметны некоторые изменения. На первом месте снова образовательный спам, в основном предлагающий проведение различных тренингов и семинаров.

На второе место вернулся спам медицинский, однако его доля увеличилась не слишком заметно — всего на 2%.

На третьем месте оказалась спамерская тематика «Отдых и путешествия» — с приближением Нового года турфирмы, а так же агентства, организующие различные праздники, заметно активизировались.

На четвертом месте в пятерке тематик-лидеров — реклама реплик элитных товаров, потерявшая по сравнению с октябрем 4%.

В то же время количество писем, объединенных нами в рубрику «компьютерное мошенничество», продолжает расти. В этом месяце оно достигло 8,4% и почти «догнало» рекламу реплик элитных товаров. Многие из таких писем предлагают чтение чужих SMS, однако далеко не все. Так, в одной из рассылок предлагалось почитать чужие сообщения в самых популярных российских социальных сетях, а также узнать «все их секреты».

По ссылкам в письме находились красочные сайты, на которых пользователю, как всегда, предлагалось отправить SMS на короткий номер, чтобы узнать все обещанные «страшные тайны».

Уже несколько месяцев подряд уменьшается количество писем с рекламой спамерских услуг. В ноябре этот показатель достиг 2,2%, что почти вдвое меньше, чем в октябре. Однако спамеры все еще стараются делать свою рекламу если не многочисленной, то хотя бы завлекательной. Так, например, в конце ноября снова появились рассылки со ссылками на разнообразные видео с рекламой спама на Youtube. Кроме того, спамеры стали использовать тему Нового года.

Спамерские методы и трюки

Как и прежде, свою саморекламу спамеры часто оформляют в виде картинок. В этом месяце они делали намеренные орфографические ошибки, которые исправляли поверх изображения, — «от руки» «дописывали» пропущенные цифры телефона или номера icq.

В других случаях спамеры делают текст рекламных сообщений «волнистым», меняющим форму от письма к письму.

В ноябрьском спаме часто встречались сообщения, в html-код которых были вставлены произвольные символы и целые блоки из знаков «тире» в разном количестве и в разных местах. При этом само письмо в почтовом клиенте пользователя выглядело как обычно:

Заключение

Подводя итоги последнего осеннего месяца, следует отметить продолжающийся рост мошенничества в спаме. По нашим прогнозам, в декабре ситуация только усугубится, поскольку приближение Нового года всегда способствует уменьшению внимания пользователей, чем, бесспорно, будут пользоваться мошенники.

Ноябрьское уменьшение количества вредоносов не говорит о том, что в декабре тенденция сохранится: Рождество и Новый год — время активного использования электронных открыток. Весьма вероятно, что вредоносные программы снова будут рассылаться под видом поздравительных открыток.

В декабре, бесспорно, сохранится наметившаяся в ноябре тенденция — увеличение количества спама, предлагающего отдых и путешествия.

Информация с сайта Касперского