Те, кто следит за событиями в мире, и в частности в мире интернет- безопасности помнят, что в середине марта было объявлено о том, совместными усилиями сотрудников компании Microsoft и правоохранительных органов США был отключен крупнейший спам-ботнет Rustock. Rustock просуществовал на просторах интернета около пяти лет, а именно с 2006 года и, по разным оценкам экспертов, был ответственен за 30-40% всего мирового спама. О закрытии ботнета было сообщено 17 марта. Сама операция была проведена днем ранее — 16 числа. Эксперты «Лаборатории Касперского» наблюдали некоторое уменьшение объема спама с 17 по 21 марта. В этот период по сравнению со средним показателем первой половины марта процент спама в почте уменьшился на 3%. Если же говорить о количестве спамовых писем, то их стало меньше приблизительно на 15%. Однако уже с 22 числа объем спам-трафика снова начал расти и хуже того, возросло количество вирусов с спаме. Видимо, несмотря на внушительные размеры и мощность закрытого ботнета, опыт конца 2010 года позволил спамерам и владельцам ботсетей быстро перераспределить свои мощности. Тем не менее, действия правоохранительных органов по борьбе с ботнетами продолжают приносить свои плоды и радовать борцов со спамом.  Но обо всём по порядку.

Разрушительные землетрясения, цунами и последовавшая за ними катастрофа на атомной электростанции привлекли тревожное внимание всех. Люди во многих странах мира стремились помочь жителям Японии любыми доступными методами — будь то продовольствие, медикаменты и предметы первой необходимости или денежные средства для различных гуманитарных организаций. В интернете появилось множество сайтов с информацией о том, как и куда можно перечислить средства в помощь пострадавшим. Спамеры, конечно, сразу попытались «вписаться в тему» благотворительных инициатив. В спаме моментально появились мошеннические сообщения, предлагающие перевести деньги якобы на счет Красного Креста и других гуманитарных организаций.

Разумеется, пользователи, отправлявшие деньги на счета, указанные в подобного рода письмах, не помогали никому, кроме спамеров. Активно эксплуатировалась тема событий в Японии и в спамовых письмах, используемых для распространения вредоносного кода. Человеческое любопытство, как обычно, работало на злоумышленников: пользователям предлагалось ознакомиться с различными шокирующими подробностями или посмотреть видео с места действия.

Ситуация в Ливии также активно обсуждается всеми. И спамеры стали использовать тему вооруженного конфликта в мошеннических сообщениях. В спаме все чаще встречаются «нигерийские» письма якобы от членов правительства Ливии, стремящихся перевести свои миллионы из банков бунтующей страны, и сообщения, в которых, как и в случае с катастрофой в Японии, предлагается перечислить пожертвования для пострадавших. Не пропустили возможности воспользоваться интересом пользователей к драматическим событиям в Ливии и спамеры, распространяющие зловреды. Используя уже наработанные схемы, они рассылали письма с вредоносными ссылками якобы на «горячие» ливийские новости.

В "ливийских"  письмах обычно цитируются посты из различных блогов или статьи из прессы. Отметим, что написаны они на английском языке, а стало быть, рассылки нацелены не на ливиийцев. Такой спам пытается привлечь внимание к конфликту в Ливии пользователей за пределами воюющей страны — в США и странах Европы — и может рассылаться как сторонниками существующего в Ливии режима, так и его противниками.

Некоторые события в России также нашли свое отражение в спамерских сообщениях. В марте эксперты ЛК зафиксировали несколько рассылок, темой которых стал нашумевший в последнее время проект rospil. Письма в таких рассылках могли быть откровенно провокационного содержания, а могли просто копировать информацию с сайта проекта.

Подчеркнем, что такие сообщения рассылались не в легитимных рассылках, а именно в спаме. Например, анализ приведенного выше письма показал следующее:

Как всегда в подобных случаях, возникает вопрос: хотят ли сторонники проекта таким сомнительным способом сделать ему рекламу, или мы имеем дело с черным пиаром?

Самый низкий показатель месяца был зафиксирован 25 марта — 74,5%. Больше всего спама было получено пользователями 13 числа — 86,9%.

на втором графике, мы отобразили страны- источники. В марте лидером среди стран — источников спама снова стала Индия, с территории которой было распространено 11,42% (+2,59%) всей мусорной почты.

Вторую строчку рейтинга, вытеснив Россию со второй позиции на третью, заняла Бразилия с показателем 6,6% (на 2% больше, чем в феврале). Доля спама, распространенного с территории России, как и в феврале, составила 4,8%. Также практически неизменными остались доли спама, распространенного с территории Индонезии (4,3%) и Италии (4%), которые заняли соответственно четвертое и пятое места в рейтинге.

На 0,8% уменьшился процент спама, распространенного из Южной Кореи (3,3%). В рейтинге стран — источников спама эта страна в марте опустилась с пятого на восьмое место. Как следствие, на одну строчку вверх поднялись Великобритания (3,9%) и США (3,4%), которые заняли соответственно шестое и седьмое места. При этом доля спама, отправленного из этих стран, по сравнению с февралем изменилась незначительно.

Теперь вернёмся к тому, о чём мы начали говорить в самом начале, а именно, о содержании ВПО в спам- сообщениях. В марте вредоносные файлы содержались в 3,23% всех электронных сообщений, что на 0,05% больше, чем в предыдущем месяце. По сравнению с февралем произошли значительные изменения в распределении по странам срабатываний почтового антивируса.

Первое место по-прежнему осталось за Россией (12,7% вредоносных вложений), но второе заняли США (12,5%, на 1,9% больше, чем в предыдущем месяце). Процент срабатываний почтового антивируса в Штатах практически сравнялся с российским. На долю Великобритании, разместившейся на третьей позиции, пришлось 6,2% всех заблокированных писем с вредоносными вложениями — на 1,1% больше, чем в феврале. Индия (4,35%) и Вьетнам (5,61%), попадавшие в последние месяцы в TOP 5, в марте несколько сдали свои позиции. Индия сместилась с четвертой на шестую строчку рейтинга, а Вьетнам — с третьей на четвертую. На одну позицию вверх перешла Германия (5,4%). Положение Австралии (4,21%) в нашем рейтинге осталось неизменным. Италия (4,05%), которая в феврале не попала в TOP 10, в марте оказалась на восьмом месте. Испания (3,27%) поднялась с одиннадцатого места на девятое. Это ещё раз подтверждает тот факт, что несмотря на общее мировое снижение доли спама, количество вредоносного ПО продолжает расти.

Рейтинг наиболее часто детектируемых в почте вредоносных программ в марте выглядит следующим образом:

Более половины ТОР 10 вредоносных программ представлено семейством Trojan-Downloader.Win32.Deliver. Эти программы являются классическими троянцами — загрузчиками, устанавливающими на зараженный компьютер другие вредоносные программы без ведома пользователя. Еще две программы в приведённом ТОР 10 являются представителями семейства Trojan-Spy.Win32.SpyEyes. Зловреды этого семейства занимаются похищением конфиденциальных данных пользователя. Одна из модификаций Trojan-Spy.Win32.SpyEyes уже присутствовала в нашем рейтинге в феврале этого года. Первое место традиционно занимает Trojan-Spy.HTML.Fraud.gen.

Выше мы рассказывали, что спамеры использовали темы катастрофы в Японии и войны в Ливии в письмах, содержащих вредоносные ссылки или вложения. Некоторые спамеры эксплуатировали обе темы в одной рассылке: письма с «горячими новостями» о землетрясении в Японии и о проблемах в Ливии содержали одинаковые ссылки и были разосланы в одно и то же время.

Трудно не заметить, что письма созданы по одному шаблону. Забавно также то, что после вредоносной ссылки в тексте следует «копирайт», который меняется от письма к письму. В качестве обладателя «копирайта» указываются различные крупные IT-компании и интернет-ресурсы. Возможно, таким неуклюжим способом злоумышленники надеялись обойти простейшие спам-фильтры. На компьютер пользователя, прошедшего по ссылке, при помощи Java-эксплойтов устанавливалось вредоносное программное обеспечение.

Доля фишинговых писем в почтовом потоке уменьшилась по сравнению с февралем на 0,01% и составила 0,02%.

В марте в ТОР 10 наиболее часто атакованных фишерами организаций с большим отрывом лидирует PayPal. За ним следует интернет-аукцион eBay. Социальные сети Facebook, Habbo и популярная онлайн-игра World of Warcraft также остаются в числе любимых мишеней фишеров. Половина рейтинга мишеней фишинг-атак опять представлена онлайн-сервисами. При этом банки фишеры стали атаковать реже — системы онлайн-банкинга располагаются в основном в нижней части рейтинга.

Теперь о тематике спама. Из приведённого ниже графика, вы можете увидеть, как распределилась доля спама по тематической принадлежности.

В марте в Рунете значительно возросла доля русскоязычного спама. Такой спам большей частью представлен рассылками, рекламирующими товары и услуги компаний малого и среднего бизнеса. Четыре из пяти лидирующих в марте тематических категорий являются русскоязычными и представляют собой рекламные объявления небольших компаний. Мы составили TOP 5 лидирующих тематических категорий в спаме и выглядит она так:

• Образование — 42,1% (+6,7%)
• Отдых и путешествия — 7,2 (+2,7%)
• Транспорт — 7% (+3,5%)
• Интерьер — 5,7% (+4%)
• Медикаменты; товары/услуги для здоровья — 4,9% (-7,1%)

Значительно увеличилась доля лидера нашего рейтига — рекламы различных семинаров (+6,7%). Одновременно увеличилась и доля рассылок, рекламирующих отдых и путешествия. Рост количества такого спама во многом связан с приближением майских праздников. Спамерские сообщения, рекламирующие различные медикаменты, в марте заняли лишь пятую строчку рейтинга. Их доля значительно уменьшилась по сравнению с февралем. Подавляющее большинство таких сообщений — англоязычные.

Заключение

В марте правоохранительные органы США вновь нанесли удар по ботсетям, что привело к кратковременному уменьшению объема спама. Несмотря на это, средний процент спама в марте увеличился по сравнению с аналогичным показателям февраля. Как и прогнозировали аналитики в январском отчете, среднемесячный объем спама продолжает увеличиваться и имеет все шансы достигнуть значений лета 2010 года. Вопреки ожиданиям, США не вошли в ТОР 5 стран — источников спама. Доля спама, распространенного с территории этой страны, практически не изменилась по сравнению с февралем. Однако интересно отметить повышенный интерес к США как к цели для вирусных рассылок. Это может означать, что усилия злоумышленников по-прежнему направлены на воссоздание ботнетов в этой стране. Так же отметим, что в марте в Рунете стало намного меньше англоязычного спама. Возможно, российские спамеры решили, что в России значительно эффективнее распространять русскоязычный спам, чем спам на английском языке, рекламирующий товары, не пользующиеся у получателей спросом. Однако такие изменения могут быть связаны и с закрытием ботнета Rustock, с которого англоязычный партнерский спам распространялся по всему миру.