Методы обнаружения вирусов

Спам в феврале 2012 года

Февраль в цифрах

  • Доля спама в почтовом трафике по сравнению с январем увеличилась на 2,3% и составила в среднем 78,5%.
  • Доля фишинговых писем в почтовом потоке по сравнению с январем не изменилась и составила 0,02%.
  • В феврале вредоносные файлы содержались в 2,8% всех электронных сообщений, что на 1,5% меньше, чем в прошлом месяце.

Главные темы спама

Праздничный спам

В январском отчете мы уже писали о спаме, посвященном дню Святого Валентина, который появлялся в почтовом трафике. Тема таких спам-рассылок была также освещена и в нашем блоге. Добавить можно лишь то, что пикового значения доля спамерских «валентинок» достигла 12 февраля: 0,2% всех спамерских сообщений в этот день были посвящены дню всех влюбленных.

Однако праздничные спамерские сообщения в феврале были посвящены не только дню Святого Валентина. Масленица, Пасха, 23 февраля и 8 марта также не были проигнорированны спамерами.

В сообщениях, посвященных масленице, в основном предлагался праздничный туризм. Это традиционный спам, рассылаемый в преддверии проводов зимы, — предложения поучаствовать в масленичных гуляниях в исторических городах России.

Сообщения, эксплуатировавшие тему 23 февраля и 8 марта, разумеется, чаще всего рекламировали подарки к мужскому и женскому праздникам.

Все зафиксированные нами рассылки, посвященные этим праздникам, были на русском языке. Лишь одно сообщение, рекламировавшее виагру как подарок к 8 марта, было на английском.

 

Трудно сказать, какую цель пытались достичь авторы рассылки, предлагая англоязычной аудитории «мужские» таблетки в качестве подарка к женскому празднику, отмечаемому в основном в неанглоязычных странах. В тексте сообщения с темой «товары к 8 марта» нет и намека на содержание рекламируемого сайта. Непонятно также, почему для зашумления текста был использован фрагмент из романа Льва Толстого «Война и мир» на английском языке. По всей видимости, эту рассылку сочинил какой-то славянофил.

Спамерские сообщения, предлагающие товары к Пасхе, пока фиксируются только на английском языке. Это связано с тем, что западная Пасха в этом году празднуется на неделю раньше православной.

Политический спам

В феврале в Рунете было много политических рассылок, что не удивительно — не утихающие митинги по всей России и приближающиеся выборы президента накалили страсти.

В спаме по-прежнему встречались рассылки экстремистского характера, призывающие к свержению власти, агитация как «за», так и «против» тех или иных кандидатов, а также призывы выйти на митинги.

Интересно, что в спам-потоках появились рассылки, с помощью которых владельцы не самых популярных блогов пытаются привлечь к себе внимание. Текст таких сообщений призывает пользователей, заинтересованных в политических дискуссиях, перейти по ссылке на блог соответствующей тематики.

 

Почти до конца 2011 года основным видом политического спама были компромат на ту или иную партию или кандидата или, наоборот, агитация за таковых. Незадолго до начала массовых выступлений в России в декабре 2011 в Рунете гораздо популярнее стали попытки донести до получателя сообщения какую-либо мысль. Однако компромат и агитация в спаме все еще присутствует.

В украинской зоне интернета в феврале происходили любопытные события. В конце февраля многие пользователи интернета на Украине получили спамерское сообщение (а некоторые даже сразу несколько таких сообщений) следующего содержания:

 

Письмо представляет собой классический политический спам. По таким сообщениям всегда трудно понять, с какой целью они рассылались: была ли это кампания упоминаемой в сообщении политической партии или попытка недоброжелателей нанести удар по репутации партии или ее кандидата, связав их со спамом.

21 февраля на сайте Интернет-партии Украины появилось официальное сообщение: партия не рассылала спам и считает, что эта рассылка проведена исключительно с целью опорочить честное имя партии. В проведении спамерской рассылки партия обвинила небезызвестную организацию МММ Сергея Мавроди. В этом же сообщении утверждалось, что на сайт партии была проведена DDoS-атака.

Отметим, что спам рассылался с ботнета hlux. DDoS-атака также была зарегистрирована нашими специалистами, однако для ее проведения использовали другой ботнет.

Одной рассылкой дело, однако, не ограничилось. Начиная с 23 февраля, пользователи стали получать сообщения, текст которых в точности повторял опубликованное на сайте сообщение:

 

Эта рассылка окончательно спутала карты. Или Интернет-партия Украины решила клин клином выбить и на провокационную рассылку ответила рассылкой с опровержением. Или это с самого начала была акция Интернет-партии Украины, которая разослала агитационные письма, а затем обвинила в распространении спама МММ. Или МММ или другие недоброжелатели решили полностью дискредитировать партию, разослав спам, причастность к распространению которого ей будет сложно опровергнуть.

Статистический обзор

Страны — источники спама

 
Страны — источники спама в феврале 2012 г. (TOP 20)

TOP 20 стран — источников спама практически не изменился по сравнению с прошлым месяцем. Достаточно сказать, что верхние 12 строчек заняли те же страны, что и в январе, некоторые из них лишь поменялись местами. Доля всех стран, входящих в рейтинг, изменилась незначительно — в пределах 1,5%.

Лидером рейтинга по-прежнему остается Индия, доля которой составила 11,9% мирового спама (+0,4%). Доля Индонезии также незначительно увеличилась (+0,3%).

Бразилия и Корея, занимающие третью и четвертую строчки, второй месяц подряд идут вровень. Доля спама, распространенного с территории каждой из этих стран, уменьшилась чуть больше чем на 1%.

Россия заняла в феврале 14-ю строчку в рейтинге распространителей спама, с территории этой страны было распространено на 0,3% больше спама, чем в прошлом месяце.

Вредоносные вложения в почте

В феврале вредоносные файлы содержались в 2,8% всех электронных сообщений, что на 1,5% меньше, чем в прошлом месяце.

Распределение срабатываний почтового антивируса по странам

 
Распределение срабатываний почтового антивируса по странам в феврале 2012 г.

Соединенные Штаты Америки второй месяц подряд занимают первую строчку рейтинга стран по срабатыванию почтового антивируса, хотя доля срабатываний Kaspersky Mail Antivirus на территории США по сравнению с январем незначительно уменьшилась (-0,2%).

Доля срабатываний почтового антивируса в России уменьшилась еще на 2%, и страна покинула ТОР 10 стран по срабатываниям Kaspersky Mail Antivirus.

Как мы отмечали ранее, активность распространителей вредоносного спама имеет два вектора. Один — это рассылка вредоносных программ с целью получения персональных и финансовых данных пользователей. Второй — рассылка вредоносных программ, включающих компьютеры пользователей в ботнеты.

При распространении зловредов, собирающих данные, злоумышленников в большей степени интересуют развитые страны, где благосостояние пользователей выше и распространен интернет-банкинг. Зловреды, нацеленные на расширение ботсетей, распространяются в основном в развивающихся странах, где только малая часть компьютеров защищена антивирусными программами, а законодательство против спама и вредоносного ПО неразвито или отсутствует.

В настоящее время в спам-потоках преобладают зловреды, нацеленные на кражу финансовой и иной информации у пользователей. При этом программы-боты также продолжают рассылаться, преимущественно пользователям из стран Азии.

Такое распределение атак по регионам наблюдается на протяжении последних двух месяцев. Доля срабатываний почтового антивируса на территории всех стран, кроме России, в феврале изменилась незначительно, в пределах 1,5%.

ТОP 10 вредоносных программ, распространенных в почте

 
ТОP 10 вредоносных программ, распространенных в почте в феврале 2012 г.

Первые четыре строчки рейтинга занимают те же программы, что и в январе.

Более 16% всех детектирований приходится на бессменного лидера нашего рейтинга —Trojan-Spy.HTML.Fraud.gen. По сравнению с январем доля этого зловреда увеличилась на 2%. Напомним, что Trojan-Spy.HTML.Fraud.gen — это вредоносная программа, выполненная в виде html-странички, подделки под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Задача программы — передавать введенные на этой страничке данные злоумышленникам, что по сути является фишинговым приемом.

Шесть из десяти программ рейтинга вредоносных программ, задетектированных в почте, — это почтовые черви семейств Email-Worm.Win32.Mydoom, Email-Worm.Win32.NetSky и Email-Worm.Win32.Bagle.

Позиции Mydoom.m, Bagle.gt и NetSky.q по сравнению с январем не изменились — они расположились соответственно на втором, четвертом и шестом местах рейтинга. Еще два почтовых червя из семейства NetSky — NetSky.c и NetSky.ghc — заняли девятое и десятое места. Седьмую строчку занимает вторая вредоносная программа из семейства Mydoom — Mydoom.l.

Пять из перечисленных выше зловредов — программы семейства Mydoom и NetSky —выполняют только две функции: собирают электронные адреса с зараженных машин и рассылают по ним самих себя. Bagle.gt, помимо указанного функционала, обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

Фишинг

 
Распределение TOP 100 организаций, атакованных фишерами по категориям
Срабатывание антифишинга, февраль 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента Антифишинг в наших продуктах на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Рейтинг категорий организаций, наиболее интересных фишерам, по сравнению с январем практически не изменился.

Лидируют, как и ранее, финансовые организации. На сайты, используемые в ходе атак на эту категорию организаций, приходится почти четверть всех срабатываний антифишинга. Этот показатель практически не изменился по сравнению с январем.

На 3,5% увеличилась доля срабатываний антифишинга на сайтах, нацеленных на кражу регистрационных данных пользователей социальных сетей. Заметную роль в этом сыграло то, что по итогам февраля самой популярной целью фишеров стали пользователи Facebook. В то же время, доля срабатываний на сайтах категории «Онлайн-магазины, интернет-аукционы» уменьшилась на 3%. Здесь отличился популярный онлайн-магазин Amazon, бывший лидером в январе, а в феврале заметно сдавший свои позиции.

Доля остальных категорий мишеней фишеров изменилась по сравнению с прошлым месяцем незначительно — в пределах 1%.

Хотелось бы отметить, что в ТОР 100 ресурсов, чьи клиенты были атакованы фишерами, по итогам февраля вошли электронные открытки Hallmark, что связано с попыткой злоумышленников использовать этот бренд как приманку для распространения вредоносного кода в поздравлениях ко дню Святого Валентина.

Тематические направления в спаме

 
Тематические категории спама в феврале 2012 г.

Как мы и прогнозировали, доля партнерского спама в Рунете сохранилась в феврале на достаточно высоком уровне — около 38%. Более половины всего спама в Рунете — спам, заказанный малым и средним бизнесом с целью рекламы. 7,2% всех спамерских сообщений в феврале были саморекламой спамеров.

Спам «образовательной» тематики, рекламирующий тренинги и семинары, снова вырвался на первое место, хотя доля такого спама по сравнению с январем возросла незначительно (+1,1%). На втором месте фармацевтический спам, доля которого по итогам февраля составила почти 20% (-7,9%). Заметно возросла доля тематики «Недвижимость» (+3,7%), занявшей третье место.

Доля остальных тематик изменилась в пределах 2%.

Заключение

Ситуация в спаме, как и ожидалось, стабилизировалась. Довольно высокая доля партнерского спама в Рунете говорит об уменьшении активности коммерческих заказчиков — представителей малого и среднего бизнеса. О том же говорит и относительно невысокая доля спама в почтовом трафике. Хотя по сравнению с январем этот показатель вырос, не стоит забывать, что в январе на него в значительной степени повлияло затишье первых дней месяца.

В марте количество политического спама вряд ли пойдет на спад. Характер политических сообщений, которые мы фиксировали в прошлые месяцы, позволяет предположить, что по завершении выборов спамовых писем с агитационным содержанием меньше не станет.

Уменьшение доли спама с вредоносными вложениями, по всей видимости, явление временное. Маловероятно, что спамеры откажутся от участия в партнерских программах по распространению вредоносного кода, особенно в период, когда доля заказного спама в Рунете уменьшается. В то же время, нелишне отметить, что вредоносные программы в спаме распространяются не только в виде вложений в сообщениях, но и в виде вредоносных ссылок. Таким образом, уменьшение доли вредоносных вложений, зафиксированных в почте, не всегда указывает на уменьшение доли вредоносных рассылок как таковых.

НОВОЕ НА САЙТЕ

Компания «НОВИВИДЕО» уже более пятнадцати лет представлена на рынке современного оборудования для видеонаблюдения. Именно благодаря большому опыту работы, а также использованию современных технологий, она и может похвастаться огромным количеством довольных […]... Новости Безопастности

16 октября 2017 года

Бэкдорами общепринято величать вредные программы, могущие совершать поступающие от злоумышленников команды так насколько давать им же вероятность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» изучили по... Горячая лента угроз и предупреждений о вирусной опасности!

16 октября 2017 года

Бэкдорами общеустановлено именовать вредные программы, могущие выполнять поступающие от злоумышленников команды так как-либо давать им же вероятность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» обслед... Вирусные новости

12 октября 2017 года

Компания «Доктор Веб» уже публиковала материя о самых разных смешных артефактах, продающихся в российских интернет-магазинах, точно чу... Горячая лента угроз и предупреждений о вирусной опасности!

3 октября 2017 года

Компания «Доктор Веб» информирует об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino перед началом версии 11.0.3. Обновление связано с исправлением выявленной ошибки так что актуализацией документации администратора.

... Антивирус Dr.Web

2 октября 2017 года

Компания «Доктор Веб» воображает брошюру «Как раскопать антивирус. способ выбора денег антивирусной защиты». Брошюра адресована обладателям бизнеса так что ИТ-профессионалам, выбирающим надежную антивирусную защиту для собственной комп... Антивирус Dr.Web

29 сентября 2017 года

В сентябре несколько средств массовой информации сообщили о том, что киберпреступники стали активно использовать браузеры пользователей для несанкционированного майнинга (добычи) криптовалют. Наибольшей популярностью у злоумышленников пользуется... Вирусные новости

29 сентября 2017 года

В сентябре машистую слава приобрела группа уязвимостей BlueBorne в стеке протокола Bluetooth, коию выявили знатоки по информационной безопасности. Эти уязвимости дозволяют злодеям принять абсолютный контроль над Bluetooth-совместимыми устройства... Вирусные новости

28 сентября 2017 года

Компания «Доктор Веб» информирует об обновлении ингридиента Dr.Web File System Monitor (11.01.05.09130), драйвера Dr.Web Net Filter for Windows driver (11.1.5.09140), управляющего обслуживания Dr.Web Control Service (11.0.24.09210 та... Антивирус Dr.Web

ЧОП «Талион» работает с юридическими и физическими лицами. Мы обеспечим безопасность ваших квартир и частных домов, предприятий и офисов. Мы сохраним дело всей вашей жизни и имущество. Мы беремся за: […]