Спам-активность во втором квартале 2011: новая жизнь зомби-сетей и спам в «облаках»
«Лаборатория Касперского» опубликовала отчет о деятельности спамеров во втором квартале 2011 г. Эксперты отмечают новый виток развития ботнетов после закрытия самых крупных из них и констатируют, что стран, не захваченных «ботоводами», попросту не осталось. В прошедшем квартале наибольшее количество срабатываний почтового антивируса вновь зафиксировано в России, а спамерам пришлись по душе «облачные» сервисы.
Так, доля спама в почтовом потоке во втором квартале в среднем составила 82,5%, что на 3,9% превышает показатель первого квартала и на 0,3% — прошлого года. Наибольший процент спама — 91,4% — был отмечен 29 мая, наименьший показатель — 72,2% — зафиксирован 1 апреля.
По оценке экспертов «Лаборатории Касперского», мощности зомби-сетей, закрытых в прошлом году и в начале текущего года, постепенно восстанавливаются, поскольку спамеры научились жить по новым правилам. Однако распределение по странам зомби-машин, с которых рассылается спам, становится другим. Так, наиболее активно во втором квартале 2011 г. спам рассылался из развивающихся стран: Индии (+4,26%), Бразилии (+3,14%), Индонезии (+1,66%) и Южной Кореи (+1,02%).
Страны — источники спама во втором квартале 2011 г.
Лидером по рассылке спама опять стала Индия. Ее доля увеличилась более чем на 4% и достигла 14,06%. В прошлом квартале на эту страну пришлось 5,99% срабатываний нашего почтового антивируса, что немало. Доля Бразилии продолжала расти в течение всего первого полугодия 2011 г. и в июне достигла 9,56%, что по итогам квартала вывело страну на второе место в списке стран, откуда идет рассылка спама, с показателем 8,94%. Также стоит отметить заметное увеличение доли Перу (+2,4%), переместившейся на шестое место с показателем 3,13%. В прошлом квартале эта страна даже не входила в двадцатку, говорится в отчете «Лаборатории Касперского».
В то же время на 2,75% уменьшилась доля России (3,05%,). Страна, находившаяся по итогам первого квартала на втором месте, во втором квартале оказалась на седьмой строчке рейтинга. По мнению экспертов «Лаборатории Касперского», это довольно неожиданный результат, так как Россия была и остается лидером по срабатыванию почтового антивируса. Объяснений тому, что Россия опустилась на пять строчек в рейтинге стран–источников спама, может быть два: либо российские пользователи научились лучше защищать свои компьютеры, не позволяя злоумышленникам подключать их к бот-сетям, либо ботнеты все же создаются, но используются для других целей (для DDoS-атак), полагают в компании.
Из США, где осенью 2010 г. была проведена серия мероприятий по борьбе с ботнетами, спама рассылается по-прежнему мало: в этом квартале страна заняла лишь 16-ю позицию (1,99%, -1,01%).
Среди регионов лидерами по рассылке спама стали Азия (+8,22%) и Латинская Америка (+5,55%). Вместе эти регионы ответственны более чем за 60% рассылаемого спама. Как пояснили в «Лаборатории Касперского», спамеры стараются организовать новые ботнеты в менее защищенных (законодательно, технически и т.д.) регионах. Азия и Латинская Америка, безусловно, относятся к таким регионам. В то же время, существенно уменьшилась доля Восточной Европы (-8,45%). Однако, по предположениям «Лаборатории Касперского», в дальнейшем она будет расти: это удобный регион с точки зрения соотношения уровня компьютеризации и наличия законов, так что спамеры с большой вероятностью будут создавать там ботнеты для рассылки спама.
Регионы — источники спама во втором квартале 2011 г.
После закрытия гигантских ботнетов спам в разных частях мира стал существенно различаться. В России, например, практически исчез «партнерский» спам. Так, ранее лидировавший спам медицинской направленности (типичный представитель «партнерского» спама) по итогам квартала занял лишь восьмую строчку рейтинга (1,8% всего спама). В настоящий момент абсолютное большинство спамовых писем в Рунете представляет собой рекламу услуг и товаров мелких и средних компаний. А самой популярной тематикой по-прежнему является «Образование» — спам, рекламирующий различные семинары и тренинги.
Процентное соотношение тематик спама в Рунете во втором квартале 2011 г.
Отметим, что с уходом партнерского спама изменилось и соотношение языков в спам-почте — практически весь англоязычный спам в Рунете был «партнерским», и теперь подавляющее большинство спамовых писем в Рунете — на русском языке. В то же время, пользователям Западной Европы и Америки по-прежнему приходит много «партнерского» спама, однако реплики элитных товаров рекламируются в нем сейчас более активно, нежели «Медикаменты». Кроме того, во франкоязычном спаме встречается много «нигерийских» мошеннических писем, сообщили в «Лаборатории Касперского».
В прошедшем квартале эксперты «Лаборатории Касперского» также наблюдали новый этап эволюции спама. Спамерам пришлись по душе «облачные» сервисы: часть их писем содержит ссылки на различные сервисы Google, в которых, в свою очередь, размещена ссылка на рекламный сайт или непосредственно фишинговая страница. Такой подход вызывает больше доверия у пользователя, так как страница находится на известном ресурсе — например, на GoogleDocs, а соединение происходит через поддерживающий шифрование протокол https.
Во втором квартале 2011 г. доля писем, содержавших вредоносные вложения, увеличилась на 0,81% и в среднем составила 3,86%. Распределение срабатываний почтового антивируса «Лаборатории Касперского» по странам в отчетном квартале выглядело следующим образом:
Первая тройка стран рейтинга осталась без изменений по сравнению с первым кварталом 2011 г. Наибольшее количество срабатываний почтового антивируса пришлось на Россию (12,5%). На втором месте — США (12,21%), по сравнению с первым кварталом доля срабатываний почтового антивируса в этой стране увеличилась на 1,8%. На третьей строчке — Вьетнам, на долю которого пришлось 7,43% всех срабатываний почтового антивируса (+0,46%).
Индия, в первом квартале занимавшая четвертую строчку рейтинга, сдала позиции и к середине года заняла лишь восьмое место. На территории этой страны было зафиксировано 4,66% срабатываний почтового антивируса, что на 1,33% меньше, чем в прошлом квартале.
«Лаборатория Касперского» также составила рейтинг топ-10 наиболее часто детектируемых почтовым антивирусом компании программ:
Топ-10 вредоносных программ в почте во втором квартале 2011 г.
Четыре из десяти наиболее часто детектируемых программ — это почтовые черви. Напомним, что функционал почтовых червей Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Mydoom.l и Email-Worm.Win32.Netsky.q ограничен сбором с компьютера почтовых адресов (которые червь передает злоумышленнику) и рассылкой по ним самого себя. Четвертый почтовый червь, вошедший в топ-10 — Email-Worm.Win32.Bagle.gt — обладает более сложным функционалом. Помимо сбора электронных адресов и рассылки самого себя, он может загружать на компьютер пользователя другие вредоносные программы.
Первое место в рейтинге занимает Trojan-Spy.HTML.Fraud.gen. Этот зловред выполнен в виде html-страницы, копирующей регистрационную форму онлайн-банкингов или других интернет-сервисов. Регистрационные данные, введенные в такую «форму», будут отправлены злоумышленникам. Еще одна программа из топ-10, нацеленная на кражу финансовых данных пользователей — это Trojan.HTML.Fraud.fc. Она обладает точно таким же функционалом, как и Trojan-Spy.HTML.Fraud.gen, и также выполнена в виде HTML-страницы. Мишенью Trojan.HTML.Fraud.fc являются бразильские пользователи, поскольку выполнен он в виде формы регистрации одного из крупных бразильских банков.
В топ-10 также попал зловред Packed.Win32.Katusha.n — вредоносная программа, использующаяся для упаковки другого вредоносного ПО, нередко — для упаковки поддельных антивирусов.
Доля фишинга во втором квартале 2011 г. по-прежнему исключительно мала — 0,023% от почтового трафика. Лишь в апреле она была несколько больше — 0,03%. Пара лидеров в рейтинге наиболее часто атакованных фишерами организаций в отчетном квартале осталась неизменной — это платежная система PayPal (+11,21%) и интернет-аукцион eBay (-2,89%). Третью строчку в рейтинге занял банк Santander, на долю которого пришлось 5,31% всех фишинговых атак, что на 1,9% больше, чем в прошлом квартале. Социальные сети Habbo (-0,53%) и Facebook (-0,3%) по-прежнему интересны фишерам. Они занимают четвертую и пятую строчки рейтинга соответственно.
Во втором квартале 2011 г. популярная онлайн-игра World of Warcraft (1,96%) пережила меньше фишинговых атак, чем в первом (-0,94%). Однако в десятке наиболее часто атакованных организаций появилась еще одна онлайновая ролевая игра — Runescape. Эта бесплатная игра обогнала WoW по количеству атак и заняла в рейтинге «Лаборатории Касперского» шестую строчку (2,62%).
© CNews
