Спам-активность в первом квартале 2011 г.: спамеры восстанавливают утраченные позиции
«Лаборатория Касперского» опубликовала отчет о деятельности спамеров в первом квартале 2011 г. По заключению экспертов, злоумышленники стремительно восстанавливают свои позиции, утраченные после закрытия ряда крупных ботнетов в конце 2010 г. По данным компании, в течение первых трех месяцев нового года доля почтового мусора неуклонно росла. В итоге количество спама в первом квартале в среднем составило 78,6%, что на 1,4% больше, чем в конце 2010 г., но все же на 6,5% ниже, чем год назад. Тем не менее, при сохранении данной тенденции уже в следующем квартале количество спама может достичь 80%, считают в «Лаборатории Касперского». Наименьшее количество спама в почте было отмечено 5 января: 60,7%. Больше всего спама — 87,7% — наблюдалось 23 января.
В числе важнейших событий квартала — закрытие 16 марта командных центров ботнета Rustock, старого и очень сложно устроенного ботнета, одного из лидеров в рассылке спама. Однако данный факт не повлиял серьезно на спам-трафик, как это было в прошлом году после закрытия Pushdo/Cutwail и Bredolab: количество спама сократилось всего на 2-3% и всего на несколько дней.
Новыми плацдармами для спамеров все чаще становятся страны со слабо развитым законодательством в области борьбы с киберпреступлениями. Именно туда злоумышленники стараются переносить ботнеты. Таким образом, снижение удельного веса в спам-расслыках стран Восточной и Западной Европы (-5,64% и -2,36% соответственно) частично компенсируется увеличением доли африканского континента, которая достигла 3,50%, обогнав США и Канаду. Ранее доля государств Африки в глобальном спам-трафике не превышала одного процента, говорится в сообщении «Лаборатории Касперского».
В первом квартале 2011 г. доли стран-источников спама распределились довольно ровно, без существенного отрыва от соседей. При этом ни одна страна не перешла отметку 10%:
Страны-источники спама в первом квартале 2011 г.
Лидером двадцатки стала Индия, которая с потерей США своих позиций легко заняла первое место. На втором и третьем месте Россия и Бразилия, занимавшие в прошлом квартале, соответственно, второе и шестое места. Доля Бразилии не просто заметно выросла по сравнению с прошлым кварталом, она росла в течение всего квартала и составила в марте 6,63% от всего рассылаемого спама. США, которые после закрытия командных центов ботнетов заняли в прошлом квартале лишь 20 место, восстанавливают свои позиции. В первом квартале из США было разослано 2,97% всего спама, что вывело эту страну на 11 место.
Короткие письма размером менее 5КБ по-прежнему лидируют в спаме. При этом почти 30% спама составляют письма размером не более 1КБ. Как правило, такие письма представляют собой короткую рекламную фразу и ссылку на сайт, отметили в «Лаборатории Касперского». Примечательно, что популярны были и длинные письма, размером 50КБ и более — их доля составила 20,73%. Обычно доля таких писем не превышает 5% от общего объема спама. В основном это письма с различными вложениями, с помощью которых спамеры предполагали обойти защиту фильтров.
Наиболее многочисленными в первом квартале были письма, рекламирующие различные курсы, семинары и тренинги. На втором месте оказалась рубрика «Медикаменты», на третьем — самореклама спамеров:
Распределение тематических категорий спама в первом квартале 2011 г.
В первом квартале 2011 г. доля писем, содержавших вредоносные вложения, в среднем составила 3,05%. С января по март доля спама с вредоносными вложениями увеличилась почти на 0,5%. Что касается распределения по странам, то в первом квартале 2011 г. оно выглядит следующим образом:
Распределение срабатываний почтового антивируса по странам в первом квартале 2011 г.
Как видно на графике, наибольшее количество срабатываний почтового антивируса пришлось на Россию (13%). Соединенные Штаты заняли вторую строчку — на эту страну пришлось 10,44% всех срабатываний. Третья и четвертая строчки заняты Вьетнамом (6,96%) и Индией (5,99%) соответственно.
В рейтинге наиболее часто блокировавшихся почтовым антивирусом программ первое место по традиции занимает Trojan-Spy.HTML.Fraud.gen. Эта троянская программа выполнена в виде html-страницы, напоминающей регистрационную форму банков или других онлайн-сервисов. Регистрационные данные, введенные в такую «форму», будут отправлены злоумышленникам. В целом рейтинг топ-10 вредоносных программ в почте по итогам первого квартала 2011 г. выглядит следующим образом:
- Trojan-Spy.HTML.Fraud.gen 16,64%
- Email-Worm.Win32.Mydoom.m 4,39%
- Worm.Win32.Mabezat.b 4,10%
- Email-Worm.Win32.NetSky.q 2,16%
- Email-Worm.Win32.Bagle.gt 1,91%
- Email-Worm.Win32.Agent.gnd 1,79%
- Trojan-Spy.Win32.SpyEyes.fpv 1,35%
- Exploit.HTML.Iframe.FileDownload 1,28%
- Trojan-Downloader.Win32.Deliver.a 1,11%
- Trojan-Ransom.Win32.PornoBlocker.efo 1,09%
Самым заметным семейством в рейтинге стали почтовые черви — четыре из десяти вредоносных программ в топ-10 относятся именно к ним. Основным функционалом подобных программ является сканирование системы на предмет обнаружения электронных адресов и дальнейшая рассылка себя по ним. Этими нехитрыми действиями ограничивается функционал вредоносных программ Email-Worm.Win32.Mydoom.m и Email-Worm.Win32.NetSky.q. Более сложным функционалом обладают почтовые черви Email-Worm.Win32.Agent.gnd и Email-Worm.Win32.Bagle.gt. Помимо сбора электронных адресов и рассылки себя посредством электронной почты, эти вредоносные программы при попадании на компьютер инсталлируют в систему другие вредоносные программы. Интересно, что при этом Email-Worm.Win32.Agent.gnd инсталлирует в систему в основном троянские программы-загрузчики, которые немедленно пытаются получить доступ к определенным интернет-ресурсам, с которых происходит загрузка других вредоносных программ, тогда как Email-Worm.Win32.Bagle.gt самостоятельно обращается к определенным страницам в интернете для скачивания с них вредоносных программ.
Кроме того, в топ-10 первого квартала попала шпионская программа Trojan-Spy.Win32.SpyEyes.fpv. Зловреды этого семейства занимаются похищением конфиденциальных данных пользователя. Еще одна программа, вошедшая в топ-10 — Trojan-Downloader.Win32.Deliver.а. Зловреды этого семейства составляли половину топ-10 программ, заблокированных почтовым антивирусом в марте. Эта вредоносная программа является классическим трояном-загрузчиком, устанавливающим на зараженный компьютер другие вредоносные программы без ведома пользователя.
По данным «Лаборатории Касперского», доля фишинга в первом квартале 2011 г. была крайне мала и в среднем составила 0,03%. Интересно, что процент фишинговых писем в почте практически не менялся в течение квартала. Первые два месяца он держался на отметке 0,03%. В марте он уменьшился до 0,02%.
Два лидера в рейтинге наиболее часто атакованных организаций в отчетном квартале остались неизменными — это платежная система PayPal и интернет-аукцион eBay. На третьей строчке расположилась социальная сеть Habbo, незначительно обогнавшая Facebook по уровню своей популярности у фишеров, а бывший в лидерах банк HSBC занял пятую строчку. Популярная онлайн-игра World of Warcraft по-прежнему находится под пристальным вниманием фишеров, однако в первом квартале 2011 г. этот ресурс занял лишь седьмую строчку, пропустив вперед банки Chase и Stantander.
© CNews