Зомбированные сети компьютеров снова активизировались

«Лаборатория Касперского» опубликовала отчет о деятельности спамеров во втором квартале 2011 года. Эксперты отмечают новый виток развития ботнетов после закрытия самых крупных из них и констатируют, что стран, не захваченных «ботоводами», попросту не осталось. В прошедшем квартале наибольшее количество срабатываний почтового антивируса вновь зафиксировано в России, а спамерам пришлись по душе «облачные» сервисы.



Доля спама в почтовом потоке во втором квартале в среднем составила 82,5%, что на 3,9% превышает показатель первого квартала, и на 0,3% – прошлого года. По оценке экспертов «Лаборатории Касперского», мощности зомби-сетей, закрытых в прошлом году и в начале текущего года, постепенно восстанавливаются, поскольку спамеры научились жить по новым правилам, сообщает информационная служба «Лаборатории Касперского».

Так, во втором квартале наблюдается рост количества, но не масштабов ботнетов: среди вновь организуемых ботсетей нет гигантов, ответственных за большую часть спама (как это было ранее с Cutwail или Rustock). По мнению, экспертов это может быть обусловлено двумя причинами: либо спамеры еще не успели организовать мощности, способные рассылать миллионы писем ежедневно; либо они сознательно не держат «все яйца в одной корзине», чтобы в случае закрытия одного ботнета можно было легко переключиться на другой. Это изменение привело к более равномерному распределению источников спама и их вклада в спам-трафик. «Зомби-машины, с которых рассылаются спамовые письма, находятся практически во всех странах мира, что говорит о завершении географической экспансии спамеров: территорий, не захваченных «ботоводами», попросту не осталось», – комментируют авторы отчета Дарья Гудкова и Мария Наместникова.

После закрытия гигантских ботнетов спам в разных частях мира стал существенно различаться. Так, ранее лидировавший спам медицинской направленности, по итогам квартала занял лишь восьмую строчку рейтинга (1,8% всего спама). Изменилось и соотношение языков в спам-почте: теперь подавляющее большинство спамовых писем в Рунете — на русском.
Во втором квартале 2011 наиболее активно спам рассылался из развивающихся стран: Индии (14,06%), Бразилии (8,94%) и Индонезии (5,86%). За три прошедших месяца доля Индии увеличилась почти на 5%. Такой рост можно объяснить наличием миллионов незащищенных необновляющихся машин, которые долгое время могут быть активны в зомби-сети. В то же время доля спама, рассылаемого из России, уменьшилась на 2,75% и составила 3,05%. Наша страна, находившаяся по итогам первого квартала на втором месте, во втором квартале оказалась на седьмой строчке рейтинга.

Наметившееся в первом квартале увеличение доли сообщений с вредоносными вложениями продолжалось и во втором. В среднем письма с вредоносными вложениями составили 3,86% всех сообщений, что на 0,81% больше показателей предыдущего квартала. Четыре из десяти наиболее часто детектируемых почтовым антивирусом «Лаборатории Касперского» программ — это почтовые черви. Помимо сбора электронных адресов и рассылки самого себя, функционал некоторых из них включает загрузку на компьютер пользователя других вредоносных программ. Наибольшее количество срабатываний почтового антивируса пришлось на Россию (12,5%), на втором месте — США (12,21%), на третьей строчке — Вьетнам, на долю которого пришлось 7,43%.

В прошедшем квартале эксперты «Лаборатории Касперского» наблюдали новый этап эволюции спама. Спамерам пришлись по душе «облачные» сервисы: часть их писем содержит ссылки на различные сервисы Google, в которых, в свою очередь, размещена ссылка на рекламный сайт или непосредственно фишинговая страница. Такой подход вызывает больше доверия у пользователя, так как страница находится на известном ресурсе – например, на GoogleDocs, а соединение происходит через поддерживающий шифрование протокол https.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Аналитики изучили методы блокировки интернета в Белоруссии

Исследователи из Qurium Media Foundation проанализировали методы блокировки, задействованные четырьмя разными операторами связи в Белоруссии. Напомним, что в ходе протестов в стране на некоторое время отключили интернет, а также заблокировали более 80 веб-сайтов (преимущественно новостных).

Аналитики Qurium Media Foundation подключили к расследованию белорусскую организацию Human Constanta, отстаивающую права человека. Вместе они изучили методы «Белтелекома», МТС, A1 и «Деловой сети».

Исследователи хотели понять, как работает блокировка в исполнении белорусских операторов связи. Согласно отчёту Qurium Media Foundation, провайдеры использовали собственную инфраструктуру, это значит, что интернет блокировался не на центральном уровне.

Среди конкретных методов исследователи перечислили спуфинг DNS, «прозрачные прокси», перехваченные HTTPS-сертификаты и DPI.

 

«Деловая сеть», например, перехватывала HTTP-соединения и перенаправляла их на 212.98.160{.}60. Специалисты также нашли сервер «BLOCK-SERVER.bn.by» с IP-адресом 212.98.160{.}157.

HTTP/1.1 307 Temporary Redirect
Location: http://212.98.160.60/

 

«Белтелеком» использовал различные сигнатуры для блокировки. HTTP-трафик на порт 80 перенаправлялся на 82.209.230{.}23. За редирект отвечал HTTP 302:

HTTP/1.1 302 FOUND
Content-Type: text/html
Location: http://82.209.230{.}23
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru