Ай Ком Сервис Обзор июньской спам- активности - Аналитика, тесты - uslugi_i_servis - Ай Ком Сервис
Главная » Статьи » Аналитика, тесты
Обзор июньской спам- активности
"Лаборатория Касперского" представила свой очередной обзор, касающийся активности спамеров и фишеров в июне месяце. Последним аккордом в недавней борьбе правоохранительных органов с ботнетами была совместная операция спецслужб США и корпорации Microsoft, приведшая к закрытию ботнета Rustock. В результате этой операции, командные центры ботнета были отключены 16 марта, в результате чего в течение нескольких следующих дней объемы спама сократились на 15%. Однако компания Microsoft не собирается останавливаться на достигнутом и 6 июня в блоге компании появилось сообщение о том, что Microsoft опубликовала в российских газетах «Деловой Петербург» и «Московские новости» уведомление для граждан Российской Федерации, подозреваемых в создании и управлении Rustock. В уведомлении говорилось, что корпорация Microsoft «обратилась в Федеральный окружной суд Западного округа штата Вашингтон, США, с иском к неустановленным ответчикам, осуществляющим деятельность в сети Интернет под именем Cosma2k». Далее в тексте сообщается, что «Компания «Microsoft» утверждает, что используя указанные IP-адреса и домены в интернете, ответчики создали компьютерную сеть, классифицируемую как «ботнет», и при помощи которой ими совершались неправомерные действия, выразившиеся в незаконном проникновении в компьютеры третьих лиц, нарушении интеллектуальных прав, распространении путем массовой рассылки нежелательной почты с причинением вреда компании «Microsoft» и неопределенному кругу лиц». Microsoft требует запрета предоставления доступа к указанным IP-адресам и доменам, а также блокировки ботнета. Кроме того истцы просят суд «принять иные меры надлежащего характера». В уведомлении не указываются имена граждан, которых Microsoft подозревает в связи с Rustock. В то же время, такие имена очень легко найти на сайте noticeofpleadings.com, созданном корпорацией специально для того, чтобы публиковать там материалы, касающиеся дела Rustock. В уведомлении говорится, что в случае неявки ответчика в суд решение автоматически будет принято в пользу истца. В то же время в блоге компании указывается, что даже если ответчик не проявит себя в суде, Microsoft продолжит вести дело против организаторов ботнета, включая и возможную инициацию дела в рамках российской юридической системы.



Оставшиеся на свободе опытные ботмастера безусловно способны создать новый крупный ботнет. Поэтому действия компании Microsoft логичны — не достаточно отключить командные центры, чтобы эффективно справиться с проблемой. Важно принять меры для того, чтобы не позволить злоумышленникам создать ботнет, который придет на смену отключенному.

В своих ежемесячных отчетах, эксперты "Лаборатории Касперского" часто сообщают о законодательных инициативах в области спама, принимаемых в разных странах. Каждый принятый закон — значимая веха в борьбе со спамом. В июне важный законодательный акт приняли парламентарии Японии: создание, распространение, покупка и хранение вредоносных программ, а также распространение порнографического спама теперь считаются в этой стране уголовным преступлением. Об этой инициативе сообщило сразу несколько информационных агентств. В России закон против спама все еще отсутствует и это при том, что крупнейшие спамеры мира по-прежнему живут именно здесь, в России. Российские правоохранительные органы, несмотря на отсутствие закона против спама, ловят распространителей мусорной почты и призывают их к ответственности… за другие преступления. В 2007 году программист из России Леонид Куваев был признан спамером №1 в мире.



В тот момент считалось, что именно он стоит за изрядной долей спам-сообщений в Сети. Леониду Куваеву приписывается изобретение графического спама. В 2005 году в США, где Куваев прожил 14 лет, суд признал его главой спамерской группировки, и правоохранительные органы США занялись его поисками. Однако Леонид покинул США еще в 2004 и последние 7 лет жил в России, где его не могли достать американские спецслужбы. Куваев укрывался в России, очевидно, рассчитывая на то, что несовершенство законодательства в области спама в нашей стране позволит ему оставаться безнаказанным. Возможно, так бы оно и было, если бы Леонид не оказался подозреваемым по другому уголовному делу. А именно, 7 июня прошло первое слушанье суда по делу Леонида Куваева по статье 134 УК РФ. Куваев находился под арестом с декабря 2009 года. Все это время по его делу продолжалось следствие. Со своей стороны заметим, то, что Леонид находится в тюрьме, не означает, что дело его умерло. Одна из крупных фармацевтических партнерских программ, Mailien, которая, как считается, принадлежала ему, еще довольно долгое время существовала на просторах интернета уже после его ареста, продолжая приносить доход своему хозяину. 

Еще один гражданин России, подозреваемый в связи с фармацевтическими партнерскими программами, — Павел Врублевский — также был арестован.



Произошло это 23 июня в аэропорту Шереметьево. Поводом для ареста также послужила не его спамерская деятельность. Накануне в интернете появились сообщения, содержащие информацию о том, что 26 мая этого года было заведено уголовное дело по факту DDoS атак, совершенных на платежную систему Assist в июле 2010 года. В частности, было опубликовано признание некоего Игоря Артимовича в совершении упомянутой атаки на сервера платежной системы. В своем заявлении Артимович указал, что заказчиком атаки являлся глава ChronoPay Павел Врублевский. Павел Врублевский считается одним из основателей крупной фармацевтической партнерской программы rx-promotion. Напомним, что осенью 2010 года против Игоря Гусева, предполагаемого основателя партнерской программы Glavmed и связанной с ней спамерской парнерки SpamIt, также заведено уголовное дело. Гусев обвиняется в незаконном предпринимательстве.

Теперь поговорим об основных темах прошедшего месяца. Об использовании спамерами различных информационных поводов, так или иначе взволновавших мир, мы неоднократно сообщали в своих отчетах и блогпостах. Мы делаем это для того, чтобы пользователи помнили: любой информационный повод, яркое событие может быть использован злоумышленниками в своих целях. В июне спамеры начали эксплуатировать тему выхода на экраны последнего фильма о Гарри Поттере, предлагая пользователям бесплатные билеты на сеансы. Не исчезли из почты и мошеннические сообщения, эксплуатирующие тему смерти террориста номер один. Однако наиболее разнообразными были рассылки, приуроченные к годовщине смерти короля поп-музыки Майкла Джексона. Спустя два года после смерти короля поп-музыки, спам-рассылки, сообщающие о том, что Майкл Джексон жив, то и дело появляются в почтовых ящиках пользователей. На прошлой неделе мир снова вспоминал артиста, в связи с очередной годовщиной его ухода из жизни. И спамеры вспоминали Майкла вместе со всеми. Китайские спамеры, например, рекламировали музыкальные коллекции песен Джексона. Очень вовремя, ведь такой товар к памятной дате наверняка пользовался спросом. Англоязычный же спам снова, как и два года назад, содержал «сенсационное сообщение»:


В сообщении говорится: «Внимание!!! Майкл Джексон жив! Мы нашли доказательство, показывающее, что король музыки не умер». После многообещающего текста следовали ссылки на сайты с вредоносным файлом Backdoor.Win32.mIRC-based, дающим возможность удаленного управления зараженным компьютером. Мы в свою очередь вновь хотим призвать пользователей быть предельно внимательными и не доверять сообщениям от сомнительных источников, использующим горячие темы.

Теперь собственно перейдём к самой статистике спама.  Первым, как обычно мы рассмотрим  страны, ставшие основным источником спама. В июне лидером среди стран — источников спама снова стала Индия. С территории этой страны было распространено 16,35% (+5%) всей мусорной почты.


Россия в рейтинге стран — источников спама заняла 7-е место. Однако доля спама, распространенного с территории этой страны снизилась в июне на 0,7%. Наиболее заметный рост в июне по сравнению с прошлым месяцем показала Бразилия. Эта страна заняла вторую строчку среди стран — источников спама, с ее территории было распространено 11,22% спама (+4,36%). Южная Корея, занимавшая в мае вторую строчку, наоборот, сдала позиции. В июне с территории этой страны распространено на 2,63% меньше спама, чем в мае.

Теперь о вредоносном программном обеспечении. В июне вредоносные файлы содержались в 3,8% всех электронных сообщений, что на 0,3% меньше, чем в прошлом месяце. Здесь Россия и США остались лидерами по количеству срабатываний почтового антивируса. Первую строчку занимает Россия, на территории которой доля срабатываний почтового антивируса незначительно сократилась. То же можно сказать и о доле срабатываний почтового антивируса на территории США, занимающих вторую строчку. Этот показатель сократился в обеих странах менее чем на 0,3%. 


Вьетнам остался на третьем месте. Доля срабатываний почтового антивируса здесь увеличилась почти на 1%. На четвертой строчке расположилась страна, доля срабатываний почтового антивируса на территории которой в июне претерпела наибольшие изменения. Это Италия, на территории которой почтовый антивирус срабатывал в 6,6% всех случаев (+1,5%). Изменения в распределении срабатываний почтового антивируса в остальных странах TOP 10 незначительны.  Рейтинг наиболее часто детектируемых в почте вредоносных программ в июне снова по большей части состоит из знакомых нам зловредов:


7,6% срабатываний почтового антивируса приходится на долю традиционного лидера нашего рейтинга —Trojan-Spy.HTML.Fraud.gen. Почтовые черви черви Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt и Email-Worm.Win32.NetSky.q занимают вторую, четвертую и девятую строчки рейтинга соответственно. Эти вредоносные программы прочно обосновались в нашем рейтинге. В предыдущих отчетах мы уже писали, что Mydoom.m и NetSky.q выполняют только две функции: осуществляют сбор электронных адресов на зараженных машинах и рассылают по ним самих себя. Bagle.gt в дополнение к этому обычному функционалу почтовых червей обращается к интернет-ресурсам для загрузки оттуда вредоносных программ. Trojan.HTML.Fraud.fc, впервые вошедший в TOP10 в апреле этого года, снова занял третью строчку рейтинга. Этот зловред представляет собой фишинговую HTML-страничку, нацеленную на кражу финансовых данных у пользователей одного из бразильских банков.

Теперь про фишинг. Доля фишинговых писем в общем почтовом потоке по сравнению с маем не изменилась и составила 0,02%.


В июне онлайн-игры стали менее интересны фишерам. В TOP 10 организаций, атакованных фишерами, вошла лишь RuneScape, появившаяся в этом рейтинге в мае. Эта игра заняла в рейтинге шестую строчку, 2,1% всех фишинговых атак в июне был направлен на ее пользователей (-2,57%). World of Warcraft и вовсе не попала в десятку. Мы уже отмечали, что снижение интереса фишеров к этой популярной игре, вероятно, связано с усилением мер безопасности, проводимыми компанией Blizzard.  Значительно возросла доля атак на социальные сети Habbo (+6,25%) и Facebook (+4,07%), которые вернулись на третье и четвертое места нашего рейтинга соответственно. В июне в фокус интереса фишеров снова вернулась компания Google. Отметим снова, что в TOP 10 попали сервисы Google, не включающие социальную сеть Orkut. Доля атак на эту сеть составила еще 0,8%, что в сумме с атаками на другие сервисы Google даст более 2,5% всех атак.

Теперь рассмотрим наиболее популярные тематики, используемые спамерами.


В июне лидером среди тематических направлений в спаме снова стала рубрика «Образование». На долю рекламы обучающих семинаров пришлось почти 60% всего спама. Остальные четыре тематических лидера лишь поменялись местами:

Пятерка лидирующих тематических категорий в спаме:

  • Образование 58,9% (+1,2%)
  • Недвижимость 7,2% (-0,8%)
  • Реклама спамерских услуг 5,9% (+3,3%)
  • Отдых и путешествия 5,2% (-0,9%)
  • Ремонт и благоустройство 5,1% (+0,7%)

Как видим, все представленные тематики относятся к русскоязычным рассылкам, процент которых в Рунете остается на очень высоком уровне. Большую часть мусорной корреспонденции составляет незапрошенная реклама от представителей малого и среднего бизнеса. В июне увеличилась доля саморекламы спамеров, что, безусловно, связано с летними отпусками многих заказчиков спама. О сокращении количества заказов от мелкого и среднего бизнеса говорит, в частности, значительное снижение доли тематики «Другие товары и услуги» (-8%). Высокой остается доля сезонных рассылок, предлагающих отдых и путешествия на период летних отпусков, а также реклама услуг по установке кондиционеров, составляющая большую часть тематики «Ремонт и благоустройство». Несмотря на низкую долю партнерского спама в Рунете, его доля в июне всё же  несколько увеличилась. Так, доля рекламы медикаментов — основного представителя этого вида рассылок — составила в июне 3,4%. Другой популярный партнерский спам — реклама реплик элитных товаров — набрал 1,5%.

Заключение

Вопреки, ожиданиям поддельные антивирусы вернулись в почтовый трафик ненадолго. Уже в июне ни один представитель этого семейства не вошел в TOP 10 вредоносных программ, задетектированных  почтовым антивирусом "ЛК".  В ближайшие месяцы аналитики прогнозируют всплеск фишинговых писем, эксплуатирующих новую социальную сеть от Google — Google+. Вступление в эту сеть в данный момент производится только по приглашениям, и злоумышленники могут воспользоваться желанием пользователей попасть в закрытое сообщество, распространяя в письмах с поддельными приглашениями как фишинговые ссылки, так и вредоносный код. Что касается тематических направлений в спаме, тут  ожидается продолжения традиционного для летнего сезона роста доли саморекламы спамеров. Появление в июньском спаме англоязычного партнерского спама с рекламой медикаментов и реплик элитных товаров позволяет предположить, что в июле доля этих рассылок еще возрастет. Рост доли англоязычных партнерских рассылок в летний период также связан с летними каникулами заказчиков спама. Высвободившиеся в отсутствии заказов мощности спамеры, как видно, тратят, в том числе, и на рассылку писем от партнерских программ.









Категория: Аналитика, тесты | Добавил: Administrator (17.07.2011)
Просмотров: 726 | Теги: microsoft, Google+, вредоносные файлы, спам, Rustock, Фишинг, Рассылка, ботнет | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]