Сентябрь 2010: средняя доля спама в почтовом трафике составила 81,1%14.10.2010 08:33

Согласно отчету «Лаборатории Касперского» по спам-активности в сентябре 2010 г., средняя доля спама в почтовом трафике по сравнению с августом уменьшилась в этом месяце на 1,5% и составила 81,1%. Самый низкий показатель месяца был отмечен 15 сентября - 76,9%; больше всего спама пользователи получили 12 числа - 87,4 %.

В рейтинге стран-распространителей спама произошла маленькая революция – на первом месте оказались не Соединенные Штаты (на этот раз занявшие вторую строчку с показателем в 6,1%), а Индия - в сентябре с территории этой страны было разослано 6,7% всего спама. Третью строку заняла Бразилия (5,9%), обогнавшая Вьетнам (5,5%) и Великобританию (5,4%). Россия в этом списке занимает шестое место (4,9%).

В сентябре вредоносные вложения содержали 4,3% всех писем. Это на 2% меньше, чем соответствующий показатель в августе. Однако, несмотря на столь заметное уменьшение, процент вредоносных вложений в почте по-прежнему высок. В целом рейтинг топ-10 вредоносных программ, распространенных в почте в сентябре 2010 г., включает:

  1. Trojan-Downloader.Win32.FraudLoad.hbf,
  2. Trojan-Downloader.JS.Iframe.bez,
  3. Trojan-Clicker.HTML.Iframe.abn,
  4. Trojan-Spy.HTML.Fraud.gen,
  5. Trojan-Dropper.Win32.Agent.cxma,
  6. Trojan.Win32.Oficla.ju,
  7. Trojan.Win32.Oficla.iu,
  8. Trojan.Win32.Oficla.ma,
  9. Worm.Win32.Mabezat.b,
  10. Trojan.Win32.Oficla.lh

На первом месте в рейтинге расположился троян Trojan-Downloader.Win32.FraudLoad.hbf, проявивший высокую активность в самом конце сентября. Программы семейства FraudLoad устанавливают на компьютер пользователя поддельный антивирус, который вымогает деньги у жертвы. На долю этого зловреда в сентябре пришлось почти 12% всех срабатываний нашего почтового антивируса.

Далее на второй и третьей строчках - скриптовые трояны Trojan-Downloader.JS.Iframe.bez и Trojan-Clicker.HTML.Iframe.abn. Оба вредоносных объекта представляют собой HTML-страницу, содержащую сценарий, написанный на языке Javascript. Однако они имеют различный функционал: Trojan-Downloader.JS.Iframe.bez пытается без ведома пользователя загружать из Сети другие вредоносные или рекламные программы, или обновления к ним, и запускать их. Задача же Trojan-Clicker.HTML.Iframe.abn состоит в том, чтобы без ведома пользователя открывать интернет-страницы в браузере, «накручивая», таким образом, статистику посещаемости сайта. Хотя функционал Trojan-Clicker.HTML.Iframe не кажется столь опасным для системы, троян расходует трафик и позволяет злоумышленникам обогащаться за счет неправомерного использования пользовательских компьютеров. К тому же, открываемый трояном сайт может быть заражен другой, более опасной, вредоносной программой.

Четвертую строчку рейтинга занимает Trojan-Spy.HTML.Fraud.gen — троян, использующий спуфинг-технологию и реализованный в виде html-страницы. Пользователь, получающий этого зловреда в почтовом сообщении, видит фактически фишинговое письмо со ссылкой на поддельный сайт известного банка или платежной системы, на котором требуется ввести логин и пароль.

Значительную часть второй половины рейтинга занимают вредоносные программы семейства Oficla. Программы этого семейства загружают из Сети другие вредоносные или рекламные программы, или обновления к ним, и запускают их на компьютере пользователя.

В рейтинге наиболее популярных у спамеров тематик на первом месте оказалась реклама медицинских товаров и услуг (25,5%). Второе место поделили сразу две темы - «Реплики элитных товаров» и «Образование» (по 13,7%). Процент писем, рекламирующих спамерские услуги, к концу сентября стал постепенно сокращаться, однако среднемесячный показатель изменился менее, чем на полпроцента, составив 6,9%. Доля рубрики «Компьютерное мошенничество», включающей в себя как «нигерийские» письма, так и рассылку вредоносного кода и фишинг, по сравнению с августом уменьшилась почти вдвое - до 5,2%.

В отчете «Лаборатории Касперского» также отмечается наметившаяся тенденция к снижению доли атак на банк HSBC (5,1%) при увеличении доли атак на пользователей игры World of Warcraft (4,9%). А лидерами среди наиболее часто атакуемых организаций вновь стали порталы PayPal (59,8%) и eBay (9,2%). Прежний «любимчик» фишеров, ресурс Facebook, занял лишь пятое место (3,8%).

Одна из самых крупных вредоносных рассылок сентября пришлась на конец месяца. Речь идет об атаке на пользователей социальной сети LinkedIn. Злоумышленники рассылали письма со ссылками на программу ZeuS, находящуюся в фокусе внимания многих антивирусных компаний. Рассылки следовали одна за другой в конце сентября. Больше всего подобных писем наблюдалось 25, 27 и 29 сентября. Отдельные письма встречались также 28 и 30 числа.

Письма имели заголовки «LinkedIn Update», «LinkedIn Messages» и «LinkedIn Alert». В тексте письма сообщалось о том, что пользователь имеет два непрочитанных сообщения. При переходе по ссылке происходило заражение компьютера пользователя одной из модификаций Trojan-Spy.Win32.Zbot (ZeuS). Ссылки на «личные сообщения» вели либо на автоматически сгенерированные домены второго уровня в зоне .info, либо на взломанные домены (чаще всего в зоне .com), в этом случае ссылки заканчивались на «1.html».

Шумными событиями сентября стали аресты нескольких десятков граждан из восточной Европы, произведенные американскими и английскими служителями закона. Арестованным были предъявлены обвинения в использовании вредоносной программы ZeuS для собственного обогащения. Так, по данным «Лаборатории Касперского», за последние полтора года было украдено и обналичено порядка $70 млн. Большинство арестованных являлись так называемыми «дропами», пособниками в отмывании краденных денег. Злоумышленники обналичивали деньги с помощью поддельных кредитных карт, данные которых были получены с помощью «Зевса».

©  CNews