Black Angel

Спам в апреле 2010 года

В этой теме 1 сообщение

Спам в апреле 2010 года

Особенности месяца

* Доля спама в почтовом трафике по сравнению с мартом практически не изменилась и составила в среднем 83%.

* Ссылки на фишинговые сайты находились в 0,02% всех электронных писем, что на 0,01% меньше, чем в марте.

* Вредоносные файлы содержались в 1,24% электронных сообщений, что на 0,74% больше, чем в прошлом месяце. В спаме активно распространяются фальшивые антивирусы.

* Тематика «Отдых и путешествия» занимает первую строчку рейтинга популярных в спаме тем, что связано с приближением сезона отпусков.

* Для обхода спам-фильтров злоумышленники используют разнообразные картинки и случайные куски текста из литературных произведений, экономических и политических статей.

Доля спама в почтовом трафике

Доля спама в почтовом трафике апреля 2010 года в среднем составила 83%. Самый низкий показатель месяца был зафиксирован 20 апреля — 79,2%; больше всего спама было получено пользователями 18 числа — 89,8%.

ef96d0a64b94.png

Доля спама в апреле 2010 года

Страны — источники спама

8b6dbff31d81.png

Страны — источники спама

США пока остались на первой позиции среди стран — источников спама, хотя с территории этой страны было распространено на 2,4% меньше спама, чем в прошлом месяце. Возможно, в мае ситуация изменится, поскольку Индия догоняет США — в апреле из этой страны было распространено лишь на 0,6% меньше спама, чем с территории Соединенных Штатов. Вьетнам «наступает на пятки» лидерам. В апреле доля распространенного из этой страны спама выросла почти в 2,5 раза и составила 11,6% — это лишь на 0,7% меньше, чем количество спама, разосланного с территории США.

Россия едва не покинула пятерку лидирующих стран, с ее территории было распространено на 2,74% меньше спама, чем в прошлом месяце. С третьего места эту страну сместил уже упомянутый выше Вьетнам, а четвертую строчку неожиданно заняла Италия, находившаяся в прошлом месяце на 14-й позиции.

Заметны перемены и в плотности потоков из Румынии (+1%) и Германии (-1%). Кроме того, в нашем рейтинге снова появилась Саудовская Аравия, распространившая 2,2% всего мирового спама и оказавшаяся на 13-м месте.

С территории Украины было распространено на 2,7% меньше спама, чем в прошлом месяце, что обусловило перемещение этой страны ближе к концу двадцатки.

Фишинг

Ссылки на фишинговые сайты находились в 0,02% всех электронных писем, что на 0,01% меньше, чем в марте.

Список организаций, наиболее часто подвергавшихся фишинговым атакам, почти не изменился. Среди атакуемых фишерами организаций первые места снова заняли PayPal (54,6%, +9,2%) и eBay (11,5%, -3,9%). HSBC (9,6%, +2,1%) и Facebook (8,7%, +1 %), как это уже бывало, поменялись местами и занимают теперь третью и четвертую строчки рейтинга соответственно.

120234051ab2.png

Организации, подвергнувшиеся фишинговым атакам в апреле 2010 года

Среди зафиксированных нами фишинговых рассылок интересно отметить атаку на пользователей PayPal. Спамеры прибегли к классическому приему — в письме сообщалось, что аккаунт пользователя заблокирован, а для того, чтобы его разблокировать, необходимо пройти по ссылке (на страницу, где, разумеется, потребуется ввести логин и пароль).

3f5e5f362da0.jpg

Обратите внимание: ссылка, указанная в письме, довольно ловко подделана под ссылку на сайт PayPal. Однако на снимке четко видно, на какой адрес на самом деле переправляется пользователь.

FaceBook, как и раньше, в фокусе внимания фишеров. Письма, направленные на выманивание регистрационных данных пользователей этой социальной сети, весьма лаконичны:

3dd14d57607d.jpg

Злоумышленники даже не спрятали фишинговую ссылку. Такая небрежность говорит, о том, что спамеры рассчитывают на невнимательность пользователей. Признаться, они имеют на то основания, — к сожалению, пользователи часто попадаются на уловки киберпреступников даже в тех случаях, когда подлог плохо организован и лежит на поверхности.

Конечно, целью фишинговых атак были не только компании, представленные в нашем рейтинге. Например, наблюдалась довольно крупная фишинговая атака на банк Alliance & Leicester.

5ffba044c852.jpg

Уловка, использовавшаяся при этой атаке, также стала уже классической: в письме сообщалось, что были зафиксированы многочисленные ошибочные попытки войти в систему с клиентского ID пользователя. Чтобы доказать, что адресат действительно является владельцем аккаунта, ему необходимо пройти верификацию. Разумеется, попавшийся на удочку пользователь будет «проходить верификацию» вовсе не на сайте банка, а на подложном фишинговом сайте, с которого его регистрационные данные уйдут прямо в руки к злоумышленникам.

Вредоносные программы в почте

Вредоносные файлы содержались в 1,24% электронных сообщений, что на 0,74% больше, чем в прошлом месяце.

6d8ce39204b1.png

Уже не первый месяц среди наиболее часто встречавшихся в почте вредоносных программ лидирует Trojan-Spy.HTML.Fraud.gen. Основная его функция — сбор личных и регистрационных данных пользователя. Как и прежде, более 45% случаев детектирования этого троянца приходится на Объединенное Королевство. Еще 11% из общего числа писем, зараженных Trojan-Spy.HTML.Fraud.gen, было распространено на территории США.

Интересно, что семь зловредов из топовой десятки апреля так или иначе связаны с поддельными антивирусами. Так, Trojan.Win32.Small.acdp, Trojan.Win32.Sasfis.akzx, Trojan-Downloader.Win32.Agent.dkld, Trojan-Dropper.Win32.Agent.bveu, Trojan.Win32.Sasfis.albj загружают или инсталлируют на компьютер пользователя другие вредоносные программы, которые, в свою очередь, загружают поддельный антивирус. Упаковщик Trojan.Win32.Pakes.Katusha.j, занявший четвертую строчку рейтинга, используется обычно для упаковки FraudTools. А его собрат, Trojan.Win32.Pakes.Katusha.l, — для упаковки Fraudload.

Расположившийся на 8-й строчке рейтинга Trojan-Dropper.Win32.Agent.agq — это ничто иное, как порно-дроппер. При запуске зловред открывает картинки с порнографическим содержанием и инсталлирует на зараженный компьютер другие вредоносные программы.

Кроме того, нами были зафиксированы и рассылки, в которых распространялись поддельные антивирусы в «чистом» виде. Так, зловред Trojan.Win32.FakeAV.jo, занявший 24-е место в рейтинге, распространялся под видом настоящего антивируса, якобы рекомендованного компанией Microsoft для лечения нашумевшего Conficker’a (Kido). Забавно, что в заголовке письма conficker превратился в совсем уже страшного и неизвестного зверя conflicker’a.

71cf239c35a3.jpg

В целом, почти 60% случаев распространения вредоносов, принадлежащих к семейству Trojan.Win32.FakeAV, приходятся на европейские страны: преимущественно Германию, Нидерланды, Францию и Объединенное Королевство, а также на США и Японию. Это объясняется главным образом тем, что пользователи в развитых странах больше заинтересованы в безопасности компьютера, чем в развивающихся странах, и в этих регионах мошенникам проще убедить пользователя скачать поддельный антивирус.

К лаконичным письмам, озаглавленным «Женщина мой мечты» и снабженным текстом «Я люблю держать тебя в моих руках» спамеры прикрепляли архив с именем «setup.zip». В архиве таился файл setup.exe, который на деле оказался еще одним отпрыском семейства FakeAV — Trojan.Win32.FakeAV.jw.

14606cfadf4b.jpg

Обычно в таких рассылках исполняемый файл имеет название в духе «My Fotos.gif», что позволяет скрыть истинное расширение файла и как-то соотнести его с текстом письма. Непонятно, что имел в виду спамер, сочетавший романтический текст и ничем не замаскированное имя исполняемого файла. Должен ли пользователь думать, что сейчас на его компьютер установится программа, позволяющая держать в руках девушку своей мечты? Возможно, спамеры решили, что пользователи и так знают, что должно быть прикреплено к такому письму, и сами будут кликать на архив, ожидая увидеть фотографии красивой женщины.

Говоря о распространении фальшивых антивирусов через почту, нельзя не упомянуть TOP 3 зловредов, распространенных на территории России.

1       Trojan.Win32.FakeAV.iq       12,70%2     Trojan.Win32.FakeAV.ko     5,54%3     Trojan.Win32.Pakes.Katusha.l     3,69%

Два самых распространенных в России зловреда принадлежат к семейству FakeAV. На третьей строчке расположился уже упомянутый выше упаковщик, часто используемый для упаковки FraudLoad. Популярность у злоумышленников фальшивых антивирусов обусловлена не только тем, что пользователи в нашей стране стали более ответственно подходить к защите своих компьютеров. В России многие покупке лицензионного ПО предпочитают использование бесплатных программ. В случае с поддельным антивирусом это может влететь в копеечку.

Рейтинг стран, в которых вредоносный код чаще других распространялся через почту, выглядит следующим образом:

92d026b6e391.png

Как видим, лидирующие позиции занимают развитые страны. Это связано в том числе с тем, что злоумышленники имеют куда больше возможностей поживиться в тех случаях, когда они организуют атаки на пользователей в странах, где почти у каждого есть кредитная карточка, аккаунт в системе онлайн-банкинга или в платежных системах.

Тематический состав спама

70378710adcb.png

Распределение тематик спама в Рунете в апреле 2010

Пятерка лидирующих спам-тематик апреля:

1. Отдых и путешествия — 21,1% (+2,5%)

2. Образование — 19,6% (+1,4%)

3. Медикаменты; товары/услуги для здоровья — 13,7% (+1,2%)

4. Компьютерное мошенничество — 7,8% (+0,3%)

5. Реплики элитных товаров — 7,0% (+1,9%)

По сравнению с предыдущим месяцем в пятерке больших изменений не наблюдается. На первом месте по-прежнему категория «Отдых и путешествия». Это связано с рекламой различных вариантов отдыха в майские праздничные дни и с приближением летних каникул.

Так, в одной из полученных нами рассылок родителям предлагалось отправить свое чадо в летний спортивно-творческий лагерь. Сейчас, конечно, самое горячее время для покупки путевок в лагеря. Однако любящим родителям не стоит спешить пользоваться информацией, полученной в такого рода рекламе. Напомним, что сама по себе рассылка незапрошенной корреспонденции незаконна, и тот, кто рекламирует себя в спаме, вряд ли заслуживает доверия.

b2d8d769ed65.jpg

Количество писем тематик «Образование», «Медикаменты; товары/услуги для здоровья» и «Компьютерное мошенничество» практически не изменилось по сравнению с мартом.

Занимавшая пятую строчку категория «Компьютеры и интернет» уступила место рекламе реплик элитных товаров. Доля последней увеличилась на 1,9%. Заказчики такой рекламы стараются использовать праздничные даты, предлагая свой товар в качестве «лучшего подарка». В данном случае всплеск их активности, видимо, связан с приближением Дня матери, который довольно широко празднуется в Западных странах.

935e169e2caf.jpg

Среди писем, относимых нами к категории «Компьютеры и интернет», нам встретилась рассылка с примечательной картинкой:

0b537423f907.jpg

Признаться, письмо приводит в некоторое недоумение, так как картинка имеет очень отдаленную связь с его содержанием. Возможно, нас хотели насмешить и тем привлечь внимание к рекламе? Эффект, пожалуй, прямо противоположный. Создается ощущение, что компания, предлагающая услуги по размещению контекстной рекламы в поисковиках, заранее извиняется за то, что фирму, обратившуюся к ним за услугами, в Яндексе так никто и не найдет. Обращайтесь лучше к тете Паше.

Спамерские методы и трюки

Распространители виагры продолжают попытки усовершенствовать способы обхода спам-фильтров. В прошлом месяце они использовали меняющуюся шаблонную картинку, сопровождавшуюся большим фрагментом текста. В апреле спамеры разнообразили набор картинок, использующихся для одной и той же рассылке. Теперь это изображения счастливых пар, девушек, гейш, а также (почему-то) столовых приборов. Все это, разумеется, — вкупе с рекламируемыми таблетками.

2bdfb901ab55.jpg

Мусорный текст в письмах апрельских рассылок также использовался. На снимке слева текст напечатан на белом фоне и ширина строчек случайна. На двух правых скриншотах текст под картинкой напечатан на сером фоне и занимает всю его ширину. Сами тексты являются либо кусками литературных произведений, либо перепечаткой экономических или политических статей, а порой — просто набором слов, не несущим никакого смысла.

Самые интересные трюки российские спамеры по-прежнему приберегают для саморекламы. Отметим, что доля ее уже несколько месяцев не поднимается выше отметки 5%. Пользователи получают рассылки со старыми трюками в новом воплощении. Так, в апреле вновь появились письма счастья со «встроенной» в них рекламой спамерских услуг.

86d76b09b1cb.jpg

Год назад мы писали в нашем блоге о таких письмах. Масштаб картинки в них таков, что спамерский контакт не всегда заметен сразу. Иногда он остается за нижним краем окошка, и невнимательный пользователь — любитель писем счастья — вполне может начать рассылать «бабуль» направо и налево, внося таким образом свой вклад в распространение спам-рассылки.

Заключение

В целом, ситуация по-прежнему стабильна. Процент спама в почте практически не изменился. В апреле в рейтинге стран — источников спама Индия и Вьетнам подобрались как никогда близко к лидеру. Если количество спама, рассылаемого из этих стран, продолжит увеличиваться, они, вероятно, смогут потеснить США с первой позиции в рейтинге.

Количество фишинговых писем, как мы и предполагали, осталось на очень низком уровне. Количество же вредоносных программ в почте, вопреки прогнозам, вернулось к февральскому уровню. С начала 2010 года оно меняется волнообразно: то снижается до показателя 0,6 - 0,7%, то снова поднимается до 1,2%. Впрочем, такие колебания нельзя рассматривать как значительные. Интересно, однако, отметить два момента. Первый: основной целью для распространителей зловредов в апреле стали пользователи развитых стран. Второй: поддельные антивирусы нынче активно распространяются именно при помощи спама.

Ничего принципиально нового для обхода спам-фильтров спамеры не придумали, они лишь несколько разнообразили старые приемы.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      cmad Если у вас на PC вирус - то вам нужно обратиться на один из специализированных форумов. Так в Случае, если у вас антивирус от: Kaspersky - то на их форум:  https://forum.kasperskyclub.ru/index.php?showforum=26 Dr.Web -то: https://forum.drweb.com/index.php?showforum=35 ESET NOD32: https://forum.esetnod32.ru/forum35/ Это нужно, чтобы удалить вирус и бесплатно расшифровать ваши файлы ( если возможно ).  
    • cmad
      кто нибудь лечился от шифровальщика ?  научите как...
    • djum
      Ну, вообще сейчас полно антивирусов на андроид... Правда не знаю, насколько он функциональны... У меня NOD стоит, поставил его себе потому что на обзорах Гикхакера вроде как один из лучших.. Хотя и каспера вроде хвалят... Но тут уже конечно каждый под себя выбирает, что удобнее и вкуснее лично для него...
    • djum
      А вообще конечно тема и нтересная... Кто-нибудь юзал фришного Каспера? У меня то лицуха вот уже как 3  года, но посмотрел порылся, на Гикхакере допустим его хвалят, а вот на 4пда не самые лучшие отзывы... Интересно было бы отзывы от реальных пользователей услышать...
    • AM_Bot
      Глава Fortinet в России рассказал Anti-Malware.ru о рынке сетевой безопасности и особенностях конкуренции в нашей стране, а также о том, что стоит за понятием Security Fabric и почему физические фаерволы популярнее виртуальных. Читать далее