Спам-активность в марте 2011 года

Март в цифрах

• Доля спама в почтовом трафике по сравнению с февралем увеличилась на 0,9% и составила в среднем 79,6%.
• Доля фишинговых писем в общем почтовом потоке по сравнению с февралем уменьшилась на 0,01% и составила 0,02%.
• В марте вредоносные файлы содержались в 3,23% всех электронных сообщений, что на 0,05% больше, чем в прошлом месяце.

Обзор главных событий месяца

Много шума из Rustock"а

В середине марта было объявлено о том, что совместными усилиями сотрудников компании Microsoft и правоохранительных органов США был отключен крупный спам-ботнет Rustock.

Rustock просуществовал на просторах интернета около пяти лет (с 2006 года) и, по разным оценкам, был ответственен за 30-40% всего спама. О закрытии ботнета было сообщено 17 марта. Сама операция была проведена днем ранее - 16 числа.

Эксперты "Лаборатории Касперского" наблюдали некоторое уменьшение объема спама с 17 по 21 марта. В этот период по сравнению со средним показателем первой половины марта процент спама в почте уменьшился на 3%. Если же говорить о количестве спамовых писем, то их стало меньше приблизительно на 15%.

Однако уже с 22 числа объем спам-трафика снова начал расти. Видимо, несмотря на внушительные размеры и мощность закрытого ботнета, опыт конца 2010 года позволил спамерам и владельцам ботсетей быстро перераспределить свои мощности. Тем не менее, действия правоохранительных органов по борьбе с ботнетами продолжают приносить свои плоды и радовать борцов со спамом.

Мировые события в спаме

Трагедия в Японии - спамеры не остались равнодушными

Разрушительные землетрясения, цунами и последовавшая за ними катастрофа на атомной электростанции привлекли тревожное внимание всех. Люди во многих странах мира стремились помочь жителям Японии любыми доступными методами - будь то продовольствие, медикаменты и предметы первой необходимости или денежные средства для различных гуманитарных организаций. В интернете появилось множество сайтов с информацией о том, как и куда можно перечислить средства в помощь пострадавшим.

Спамеры, конечно, сразу попытались "вписаться в тему" благотворительных инициатив. В спаме моментально появились мошеннические сообщения, предлагающие перевести деньги якобы на счет Красного Креста и других гуманитарных организаций.

Разумеется, пользователи, отправлявшие деньги на счета, указанные в подобного рода письмах, не помогали никому, кроме спамеров.

Активно эксплуатировалась тема событий в Японии и в спамовых письмах, используемых для распространения вредоносного кода. Человеческое любопытство, как обычно, работало на злоумышленников: пользователям предлагалось ознакомиться с различными шокирующими подробностями или посмотреть видео с места действия.

Ливия. Горячая точка - горячая тема

Ситуация в Ливии также активно обсуждается всеми. И спамеры стали использовать тему вооруженного конфликта в мошеннических сообщениях. В спаме все чаще встречаются "нигерийские" письма якобы от членов правительства Ливии, стремящихся перевести свои миллионы из банков бунтующей страны, и сообщения, в которых, как и в случае с катастрофой в Японии, предлагается перечислить пожертвования для пострадавших.

Не пропустили возможности воспользоваться интересом пользователей к драматическим событиям в Ливии и спамеры, распространяющие зловреды. Используя уже наработанные схемы, они рассылали письма с вредоносными ссылками якобы на "горячие" ливийские новости.

Самыми интересными, с нашей точки зрения, являются появившиеся в марте политически мотивированные спамовые сообщения, касающиеся ситуации в Ливии.

В таких письмах обычно цитируются посты из различных блогов или статьи из прессы. Отметим, что написаны они на английском языке, а стало быть, рассылки нацелены не на ливиийцев. Такой спам пытается привлечь внимание к конфликту в Ливии пользователей за пределами воюющей страны - в США и странах Европы - и может рассылаться как сторонниками существующего в Ливии режима, так и его противниками.

 

Российские реалии

Некоторые события в России также нашли свое отражение в спамерских сообщениях. В марте мы зафиксировали несколько рассылок, темой которых стал нашумевший в последнее время проект rospil.

Письма в таких рассылках могли быть откровенно провокационного содержания, а могли просто копировать информацию с сайта проекта.

Подчеркнем, что такие сообщения рассылались не в легитимных рассылках, а именно в спаме. Например, анализ приведенного выше письма показал следующее:

• Сообщение отправлено спам-ботом.
• Адрес, с которого пришло письмо, не имеет никакого отношения ни к ресурсу rospil.info, ни к хостеру mediatemplate, предоставляющему свои услуги проекту.
• Адрес для отписки является адресом хостера проекта rospil - mediatemplate. Таким образом, отказы от рассылок, связанных с проектом, будут идти напрямую в компанию, предоставляющую проекту свои хостинг-услуги, что бесспорно может сказаться на отношениях между администрациями веб-ресурса и крупного хостера.

Как всегда в подобных случаях, возникает вопрос: хотят ли сторонники проекта таким сомнительным способом сделать ему рекламу, или мы имеем дело с черным пиаром?

Статистический обзор

Доля спама в почтовом трафике

Доля спама в почтовом трафике по сравнению с февралем увеличилась на 0,9% и составила в среднем 79,6%.

Доля спама в почте в марте 2011

Самый низкий показатель месяца был зафиксирован 25 марта - 74,5%. Больше всего спама было получено пользователями 13 числа - 86,9%.

Страны - источники спама

В марте лидером среди стран - источников спама снова стала Индия, с территории которой было распространено 11,42% (+2,59%) всей мусорной почты.

Страны - источники спама в марте 2011

Вторую строчку рейтинга, вытеснив Россию со второй позиции на третью, заняла Бразилия с показателем 6,6% (на 2% больше, чем в феврале). Доля спама, распространенного с территории России, как и в феврале, составила 4,8%. Также практически неизменными остались доли спама, распространенного с территории Индонезии (4,3%) и Италии (4%), которые заняли соответственно четвертое и пятое места в рейтинге.

На 0,8% уменьшился процент спама, распространенного из Южной Кореи (3,3%). В рейтинге стран - источников спама эта страна в марте опустилась с пятого на восьмое место. Как следствие, на одну строчку вверх поднялись Великобритания (3,9%) и США (3,4%), которые заняли соответственно шестое и седьмое места. При этом доля спама, отправленного из этих стран, по сравнению с февралем изменилась незначительно.

Вредоносные вложения в почте

В марте вредоносные файлы содержались в 3,23% всех электронных сообщений, что на 0,05% больше, чем в прошлом месяце.

По сравнению с февралем произошли значительные изменения в распределении по странам срабатываний почтового антивируса.

Распределение срабатываний почтового антивируса по странам в марте 2011 г.

Первое место по-прежнему осталось за Россией (12,7% вредоносных вложений), но второе заняли США (12,5%, на 1,9% больше, чем в предыдущем месяце). Процент срабатываний почтового антивируса в Штатах практически сравнялся с российским.

На долю Великобритании, занявшей третье место, пришлось 6,2% всех заблокированных писем с вредоносными вложениями - на 1,1% больше, чем в феврале. Индия (4,35%) и Вьетнам (5,61%), попадавшие в последние месяцы в TOP 5, в марте несколько сдали свои позиции. Индия сместилась с четвертой на шестую строчку рейтинга, а Вьетнам - с третьей на четвертую.

На одну позицию вверх перешла Германия (5,4%). Положение Австралии (4,21%) в нашем рейтинге осталось неизменным. Италия (4,05%), которая в феврале не попала в TOP 10, в марте оказалась на восьмом месте. Испания (3,27%) поднялась с одиннадцатого места на девятое.

Рейтинг наиболее часто детектируемых в почте вредоносных программ в марте выглядит следующим образом:

ТОP 10 вредоносных программ, распространенных в почте в марте 2011 г.

Более половины ТОР 10 вредоносных программ представлено семейством Trojan-Downloader.Win32.Deliver. Эти программы являются классическими троянцами - загрузчиками, устанавливающими на зараженный компьютер другие вредоносные программы без ведома пользователя.

Еще две программы в ТОР 10 являются представителями семейства Trojan-Spy.Win32.SpyEyes. Зловреды этого семейства занимаются похищением конфиденциальных данных пользователя. Одна из модификаций Trojan-Spy.Win32.SpyEyes уже присутствовала в нашем рейтинге в феврале этого года.

Первое место традиционно занимает Trojan-Spy.HTML.Fraud.gen. Подробнее об этом троянце можно прочитать здесь.

Выше мы рассказывали, что спамеры использовали темы катастрофы в Японии и войны в Ливии в письмах, содержащих вредоносные ссылки или вложения. Некоторые спамеры эксплуатировали обе темы в одной рассылке: письма с "горячими новостями" о землетрясении в Японии и о проблемах в Ливии содержали одинаковые ссылки и были разосланы в одно и то же время.

 

Трудно не заметить, что письма созданы по одному шаблону. Забавно также, что после вредоносной ссылки в тексте следует "копирайт", который меняется от письма к письму. В качестве обладателя "копирайта" указываются различные крупные IT-компании и интернет-ресурсы. Возможно, таким неуклюжим способом злоумышленники надеялись обойти простейшие спам-фильтры.

На компьютер пользователя, прошедшего по ссылке, при помощи Java-эксплойтов устанавливалось вредоносное программное обеспечение. В нашем блоге эксперт "Лаборатории Касперского" Николя Бруле более подробно описывает эту вредоносную рассылку.

Фишинг

Доля фишинговых писем в почтовом потоке по сравнению с февралем уменьшилась на 0,01% и составила 0,02%.

ТОР 10 организаций, атакованных фишерами

В марте в ТОР 10 наиболее часто атакованных фишерами организаций с большим отрывом лидирует PayPal. За ним следует интернет-аукцион eBay.

Социальные сети Facebook, Habbo и популярная онлайн-игра World of Warcraft также остаются в числе любимых мишеней фишеров.

Половина рейтинга мишеней фишинг-атак опять представлена онлайн-сервисами. При этом банки фишеры стали атаковать реже - системы онлайн-банкинга располагаются в основном в нижней части нашего рейтинга.

Тематические направления в спаме

Распределение спама по тематическим категориям в марте 2011 г.

В марте в Рунете значительно возросла доля русскоязычного спама. Такой спам большей частью представлен рассылками, рекламирующими товары и услуги компаний малого и среднего бизнеса. Четыре из пяти лидирующих в марте тематических категорий являются русскоязычными и представляют собой рекламные объявления небольших компаний.

Пятерка лидирующих тематических категорий в спаме:

• Образование - 42,1% (+6,7%)
• Отдых и путешествия - 7,2 (+2,7%)
• Транспорт - 7% (+3,5%)
• Интерьер - 5,7% (+4%)
• Медикаменты; товары/услуги для здоровья - 4,9% (-7,1%)

Значительно увеличилась доля лидера нашего рейтига - рекламы различных семинаров (+6,7%). Одновременно увеличилась и доля рассылок, рекламирующих отдых и путешествия. Рост количества такого спама во многом связан с приближением майских праздников.

Спамерские сообщения, рекламирующие различные медикаменты, в марте заняли лишь пятую строчку рейтинга. Их доля значительно уменьшилась по сравнению с февралем. Подавляющее большинство таких сообщений - англоязычные.

Заключение

В марте правоохранительные органы США вновь нанесли удар по ботсетям, что привело к кратковременному уменьшению объема спама. Несмотря на это, средний процент спама в марте увеличился по сравнению с аналогичным показателям февраля. Как мы и прогнозировали в январском отчете, среднемесячный объем спама продолжает увеличиваться и имеет все шансы достигнуть значений лета 2010 года.

Вопреки нашим ожиданиям, США не вошли в ТОР 5 стран - источников спама. Доля спама, распространенного с территории этой страны, практически не изменилась по сравнению с февралем. Однако интересно отметить повышенный интерес к США как к цели для вирусных рассылок. Это может означать, что усилия злоумышленников по-прежнему направлены на воссоздание ботнетов в этой стране.

Отметим, что в марте в Рунете стало намного меньше англоязычного спама. Возможно, российские спамеры решили, что в России значительно эффективнее распространять русскоязычный спам, чем спам на английском языке, рекламирующий товары, не пользующиеся у получателей спросом. Однако такие изменения могут быть связаны и с закрытием ботнета Rustock, с которого англоязычный партнерский спам распространялся по всему миру.