Перейти к содержанию

Recommended Posts

Black Angel

Спам в июле 2010 года

Особенности месяца

* Доля спама в почтовом трафике по сравнению с июнем уменьшилась на 2,1% и составила в среднем 82,9 %.

* Ссылки на фишинговые сайты находились в 0,03% всех электронных писем, что на 0,01% больше, чем в июне.

* Вредоносные файлы содержались в 3,19% электронных сообщений, что на 0,51% больше, чем в прошлом месяце.

* Facebook вытеснил интернет-аукцион eBay со второго места в рейтинге наиболее часто атакуемых фишерами организаций.

* Спамеры активно эксплуатируют тему небывалой жары в России.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в июле 2010 года в среднем составила 82,9%. Самый низкий показатель месяца был зафиксирован 20 июля — 77,9%; больше всего спама было получено пользователями 25 и 31 числа — 90,1 %.

343a5ff39963.png

Доля спама в июле 2010 года

Страны — источники спама

a5ac5d6a8be1.png

Страны — источники спама

США и Индия остались на лидерских позициях в рейтинге стран, из которых распространяется спам. С территории этих государств было разослано почти в полтора раза больше спама, чем в прошлом месяце (17,2% и 9% соответственно).

Из двадцатки исчезли Чили, Мексика, Марокко и Португалия. С территории каждой из этих стран было распространено менее 1,3% спама.

Появились в TOP 20 и два новичка: Гонконг, дебютировавший на 17 месте и распространивший 1,8% спама, и разместившийся на 19 строчке Тайвань (1,3%).

Вернулись в список Китай и Украина, занявшие соответственно 11 и 15 места.

Наиболее заметные перемещения по рейтингу совершили в июле европейские страны: Великобритания, Италия и Германия. Все три страны вошли в десятку, а в общей сложности с их территорий было распространено почти в полтора раза больше спама, чем в июне.

Фишинг

008bbd14bd26.png

Организации, подвергнувшиеся фишинговым атакам в июле 2010 года

Facebook вытеснил интернет-аукцион eBay со второго места в рейтинге, — в июле популярную социальную сеть фишеры атаковали почти в три с половиной раза чаще, чем в прошлом месяце

89fe839dd495.jpg

В приведенном выше письме злоумышленники применили довольно интересную стратегию, для того чтобы заставить пользователя Facebook перейти на фишинговый сайт и ввести там свои регистрационные данные. Наживкой в данном случае служит не традиционная угроза блокировки аккаунта, а «предложение дружить» от человека, на страничке которого якобы есть какая-то информация об атакуемом пользователе.

Компания Google покинула пятерку самых излюбленных фишерских целей; доля атак на ее пользователей стала меньше примерно на 1%. В то же время эти атаки стали более разнообразными. Например, в одной из рассылок фишинговая ссылка была замаскирована под ссылку на часто задаваемые пользователями вопросы и ответы.

d0751dc43112.jpg

Июльский TOP 10 наиболее распространенных в почте вредоносных программ выглядит следующим образом:

d050270b3304.png

Вредоносные программы в почте в июле 2010 года

Вернулись в десятку вредоносные программы, работающие на платформе Win32. Таких программ среди распространенных через почту было большинство.

Остались в прошлом массированные рассылки, подделанные под уведомления от соцсетей с вложениями в формате html, содержавшими модификации Pegel: этот скриптовый загрузчик исчез из TOP 10.

В июле большинство зловредов, попавших в TOP 10 вредоносных программ, распространенных через почту, — это троянцы семейства Oficla. Общая доля этих троянцев составляет 14,73%. Программы этого семейства устанавливают на компьютер пользователя вредоносное программное обеспечение. Кроме того, некоторые модификации обладают функционалом загрузчика: так, например, модификация Oficla.j заходит по ссылке hxxp://**********.ru/images/bb.php?v=200&id=786175732&b=b_33_s&tm=2, где получает список URL для скачивания файлов.

Кроме того, интересно отметить возвращение в наш рейтинг вредоносных программ двух модификаций троянца-шпиона Zbot, предназначенной для хищения конфиденциальной информации пользователя.

Методы спамеров, распространяющих вредоносные программы, не отличаются новизной. В июле были популярны подделки под электронные открытки и уведомления от банков.

6690ea6fe9ee.jpg

Что касается стран, жители которых чаще всего получают по почте вредоносные послания, то по сравнению с июнем ситуация несколько изменилась:

87fb7002b05a.png

Страны с самым высоким уровнем распространения зловредов через почту

На первом месте среди стран, жители которых чаще всего становятся получателями вредоносных рассылок, находится уже не Япония, а США. Японские пользователи получили почти в два раза меньше писем с вредоносными вложениями, чем в июне.

Индия и Вьетнам вытеснили из рейтинга Австралию и Италию. Количество писем, содержащих вредоносные вложения, полученные в первых двух странах, возросло незначительно, а вот вредоносных писем, отправленных жителям Австралии и Италии, стало в полтора раза меньше, что и привело к тому, что они покинули непочетную десятку.

Тематический состав спама

fa97a97d5974.png

Распределение тематик спама в Рунете в июле 2010

Пятерка лидирующих спам-тематик июля:

1. Медикаменты; товары/услуги для здоровья — 19,1% (+6,8%)

2. Образование — 18% (-1,9%)

3. Компьютерное мошенничество — 10,8% (+3,7%)

4. Коллекции видео на DVD — 6,8% (-4,7%)

5. Реплики элитных товаров — 6,6% (+0,3%)

В июле набирали оборот рассылки, рекламирующие медикаменты и товары для здоровья, реплики элитных товаров, а также письма из рубрики «Компьютерное мошенничество» и не вошедшие в TOP 5 «Личные финансы». Все они связаны с партнерскими программами. Таким образом, тенденция к развитию партнерских программ в интернете укрепляется. На спад пошли только рассылки партнерской программы по распространению DVD, однако и их количество осталось довольно внушительным.

Единственная рубрика спама из TOP 5, которая связана с заказами реальных клиентов, — это «Образование». По сравнению с июнем ее доля уменьшилась на 1,9%.

Интересно заметить, что около 10% всех писем, относящихся к тематике «Другие товары и услуги», представляли собой рекламу кондиционеров и различных средств по борьбе с задымлением. Это говорит о том, что спамеры воспользовались воистину горячей темой невиданной жары в России:

0ab497d530f8.jpg

Количество писем тематики «Личные финансы» увеличилось почти вдвое. Обычно к этой тематике относятся письма, нацеленные на западных пользователей. Как правило, они содержат предложения сомнительного заработка или удивительно дешевых кредитов. В июле, однако, нами была получена рассылка, направленная на российских работодателей. В рассылке предлагалось… взять в рабство лучшего друга спамера.

ce8a25d39af3.jpg

Количество мошеннических писем также заметно возросло. Традиционные нигерийские письма, составляющие внушительную часть этой тематики, по-прежнему пользуются у спамеров большой популярностью. Самым интересным нигерийским письмом, полученным нами в июле, было нигерийское предупреждение о нигерийских мошенниках:

0ae7b68ed96d.jpg

Кроме того, в июле было много писем, предлагающих молодым людям средство, позволяющее быстро «завоевать расположение» понравившейся девушки. «Волшебный эликсир» (стоимостью около 3 тысяч рублей) предлагалось заказать на сайте и получить по почте в течение двух недель. По всей видимости, цветы, конфеты и походы в кинотеатр уже не в моде.

1dcf98845ef2.jpg

Заключение

В целом, летнее снижение бизнес-активности хорошо просматривается в изменении спамерских тематик. Как отмечалось и в июньском отчете, пока клиенты спамеров в отпусках, мы видим все больше рассылок, связанных с партнерскими программами. Возросло и количество рассылок, содержащих вредоносные вложения, что не случайно, поскольку большая часть такого спама является составляющей партнерских программ. В связи с ростом числа вредоносных рассылок хотелось бы еще раз напомнить пользователям о необходимости постоянного обновления антивирусного программного обеспечения.

С приближением осени мы прогнозируем уменьшение количества партнерского спама, в том числе и спама, содержащего вредоносные вложения. Таким образом, ближе к концу августа, в почтовых ящиках российских пользователей снова станет меньше рекламы медицинских препаратов и больше рекламы различных семинаров. Будем надеяться, что жара к тому времени покинет как центральные регионы России, так и письма спамеров.

Источник

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И не лень тебе перепечатывать это. Честно говоря, я не вижу тут ничего интересного.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×