Спам в третьем квартале 2010 г.: эпидемия вредоносных вложений
Согласно отчету «Лаборатории Касперского» по спам-активности в третьем квартале 2010 г., этот период ознаменовался несколькими неприятными для спамеров событиями. Одним из них стало закрытие двух десятков командных центров ботнета Pushdo/Cutwail, рассылающего около 10% мирового спама. Кроме того, в сентябре о своем закрытии объявила партнерская программа SpamIt, профильной деятельностью которой была рассылка фармацевтической рекламы.
Наименьшее количество спама в почтовом трафике (76,9%) зафиксировано 15 сентября. Наибольшее — 90,1% — 25 и 31 июля. Доля спама в почтовом трафике за третий квартал 2010 г. в среднем составила 82,3%. В рейтинге стран-распространителей спама традиционно лидируют США (12,9%), Индия (7,6%) и Вьетнам (5,1%). Великобритания, которая никогда не попадала даже в десятку лидеров по рассылке спама, оказалась сразу на четвертом месте, лишь немного не дотянув до третьего (4,9%). Четвертое место заняла и Россия с аналогичным показателем в 4,9%.
Список организаций, чаще всего атакуемых фишерами, по-прежнему открывает платежная система PayPal (56,5%). За ней следуют интернет-аукцион eBay (8,4%), социальная сеть Facebook (6,6%) и банк HSBC (5,7%). Пятерку неожиданно замыкает онлайн-игра World of Warcraft (3,4%), которая впервые поднялась так высоко. Компания Google, напротив, за третий квартала переместилась с пятой на седьмую строчку рейтинга (2,0%), отмечается в отчете «Лаборатории Касперского».
Главной тенденцией третьего квартала стало сближение вирусописателей и спам-индустрии: рекламные письма все чаще содержат вредоносные вложения и ссылки на зараженные страницы. Так, по итогам квартала доля такого спама выросла в два с лишним раза и составила 4,6% (против 1,9% во втором квартале). А в августе доля вредоносных сообщений в почте побила рекорд, превысив 6,3%. В начале сентября активность злоумышленников стала падать. Однако во второй половине месяца вновь были зафиксированы новые массированные вредоносные рассылки. Итоговый показатель сентября — 4,33% вредоносных писем в почте. Самый большой всплеск приходится на 20 сентября — более 4,5% всех писем с вредоносными вложениями было получено пользователями в этот день.
Свой вклад в подъем вредоносной активности 3, 9 и 19 августа внесли поддельные антивирусы (в частности, Trojan-Downloader.Win32.FraudLoad.xexa, на который пришлось 66% всех срабатываний почтового антивируса 5 августа) и несколько модификаций Trojan-Dropper.Win32.Zbot (ZeuS). Интересно, что почтовый антивирус детектировал в основном новые разновидности Zbot. За две с половиной недели, со 2 по 20 августа, по почте было распространено 36,5% всех вредоносных программ третьего квартала, подчеркнули в «Лаборатории Касперского».
В целом в отчетном квартале десятка наиболее распространенных в почте вредоносных программ выглядит следующим образом:
- Trojan-Spy.HTML.Fraud.gen (3,45%);
- Trojan-Downloader.Win32.FraudLoad.hbf (3,28%);
- Trojan-Downloader.Win32.Agent.eesv (3,13%);
- Trojan-Downloader.Win32.FraudLoad.xexa (2,48%);
- Packed.Win32.Katusha.o (2,45%);
- Trojan-Dropper.Win32.Zbot.cn (2,11%);
- Email-Worm.Win32.Mydoom.m (1,92%);
- Trojan-Downloader.JS.Iframe.bez (1,80%);
- Worm.Win32.Mabezat.b (1,74%);
- Trojan.Win32.Pakes.ogi (1,61%).
Первую строчку рейтинга занимает Trojan-Spy.HTML.Fraud.gen — завсегдатай рейтинга вредоносных программ. Это троян использует спуфинг-технологию и реализован в виде html-страницы. Пройдя по ссылке в письме, пользователь попадает на сайт — копию реального сайта банка или платежной системы, на котором требуется ввести логин и пароль. Введенные данные затем отправляются злоумышленникам. Отличие такой технологии от традиционного фишинга заключается в том, что в адресной строке браузера отобразится не реальный адрес сайта, на который попадает пользователь, а подставной адрес, копирующий адрес поддельного сайта, подчеркнули в «Лаборатории Касперского». Такая технология позволяет обмануть даже бдительных пользователей.
Trojan-Downloader.Win32.FraudLoad.hbf, проявивший высокую активность в самом конце сентября, а также упомянутый выше Trojan-Downloader.Win32.FraudLoad.xexa, заняли вторую и четвертую строчки рейтинга соответственно. Программы семейства Trojan-Downloader.Win32.FraudLoad устанавливают на компьютер пользователя лже-антивирус, с помощью которого мошенники вымогают деньги у своей жертвы.
Пятую строчку занял упаковщик Packed.Win32.Katusha.o, зачастую используемый злоумышленниками для упаковки тех же поддельных антивирусов и Zbot. На шестой строчке разместилась одна из «свежих» модификаций Trojan-Dropper.Win32.Zbot. Наиболее активно она распространялась в августе.
По информации «Лаборатории Касперского», в третьем квартале 2010 г. большая часть спамерских сообщений традиционно содержала plain- и html-части. Чуть меньше сообщений содержало только неотформатированный текст, еще меньше — только html-часть. Среди типов графических вложений на первое место вернулся формат image/jpeg. Не в последнюю очередь это обусловлено рассылками с саморекламой спамеров, где изображение складывалось из нескольких картинок в этом формате, расположенных вплотную одна к другой. Самым заметным изменением в распределении типов вложений в спамовых письмах можно назвать увеличение количества сообщений с вложениями в формате application/zip, говорится в отчете «Лаборатории Касперского». Обычно таких сообщений менее 0,5%. В прошедшем квартале их доля составила 2,6%. По мнению специалистов компании, такое большое число сообщений с zip-архивами объясняется массовостью рассылок вредоносных программ.
Примечательно, что графического спама становится меньше. Если в первом квартале 2010 г. его доля составляла 11,7%, во втором — 10,3%, то к третьему кварталу она сократилась до 8,4%. В то же время, технологией оформления текста в виде графического вложения стали пользоваться распространители вредоносных программ.
В третьем квартале 2010 г. спамеры активно подделывали свои письма под уведомления различных ресурсов, причем этот трюк был использован и во вредоносных рассылках. Зачастую письма были подделаны под уведомления администрации Twitter, Facebook, WindowsLive, MySpace и популярных онлайн-магазинов. Ссылки из этих писем вели на спам-сервера, с которых на компьютер пользователя подгружался бэкдор Bredolab, а через него - пакет различных троянских программ.
Первое место по количеству разосланных писем в третьем квартале 2010 г. занял спам, рекламирующий медикаменты (25%). Далее разместилась рубрика «Образование», доля которой в третьем квартале несколько снизилась (15%). Напротив, доля рекламы реплик элитных товаров, традиционно рассылаемой вместе с виагрой, выросла с 6,3% до 11%. Значительно (с 14% до 4%) уменьшилась по сравнению с предыдущим кварталом доля рубрики «Отдых и путешествия»: если в июле она составляла 6,4%, то в августе и сентябре не набрала и 3%. Доля «спама для взрослых» составила всего 2%.
© CNews