Спам в феврале 2012 года
Февраль в цифрах
- Доля спама в почтовом трафике по сравнению с январем увеличилась на 2,3% и составила в среднем 78,5%.
- Доля фишинговых писем в почтовом потоке по сравнению с январем не изменилась и составила 0,02%.
- В феврале вредоносные файлы содержались в 2,8% всех электронных сообщений, что на 1,5% меньше, чем в прошлом месяце.
Главные темы спама
Праздничный спам
В январском отчете мы уже писали о спаме, посвященном дню Святого Валентина, который появлялся в почтовом трафике. Тема таких спам-рассылок была также освещена и в нашем
Однако праздничные спамерские сообщения в феврале были посвящены не только дню Святого Валентина. Масленица, Пасха, 23 февраля и 8 марта также не были проигнорированны спамерами.
В сообщениях, посвященных масленице, в основном предлагался праздничный туризм. Это традиционный спам, рассылаемый в преддверии проводов зимы, — предложения поучаствовать в масленичных гуляниях в исторических городах России.
Сообщения, эксплуатировавшие тему 23 февраля и 8 марта, разумеется, чаще всего рекламировали подарки к мужскому и женскому праздникам.
Все зафиксированные нами рассылки, посвященные этим праздникам, были на русском языке. Лишь одно сообщение, рекламировавшее виагру как подарок к 8 марта, было на английском.
Трудно сказать, какую цель пытались достичь авторы рассылки, предлагая англоязычной аудитории «мужские» таблетки в качестве подарка к женскому празднику, отмечаемому в основном в неанглоязычных странах. В тексте сообщения с темой «товары к 8 марта» нет и намека на содержание рекламируемого сайта. Непонятно также, почему для зашумления текста был использован фрагмент из романа Льва Толстого «Война и мир» на английском языке. По всей видимости, эту рассылку сочинил какой-то славянофил.
Спамерские сообщения, предлагающие товары к Пасхе, пока фиксируются только на английском языке. Это связано с тем, что западная Пасха в этом году празднуется на неделю раньше православной.
Политический спам
В феврале в Рунете было много политических рассылок, что не удивительно — не утихающие митинги по всей России и приближающиеся выборы президента накалили страсти.
В спаме по-прежнему встречались рассылки экстремистского характера, призывающие к свержению власти, агитация как «за», так и «против» тех или иных кандидатов, а также призывы выйти на митинги.
Интересно, что в спам-потоках появились рассылки, с помощью которых владельцы не самых популярных блогов пытаются привлечь к себе внимание. Текст таких сообщений призывает пользователей, заинтересованных в политических дискуссиях, перейти по ссылке на блог соответствующей тематики.
Почти до конца 2011 года основным видом политического спама были компромат на ту или иную партию или кандидата или, наоборот, агитация за таковых. Незадолго до начала массовых выступлений в России в декабре 2011 в Рунете гораздо популярнее стали попытки донести до получателя сообщения какую-либо мысль. Однако компромат и агитация в спаме все еще присутствует.
В украинской зоне интернета в феврале происходили любопытные события. В конце февраля многие пользователи интернета на Украине получили спамерское сообщение (а некоторые даже сразу несколько таких сообщений) следующего содержания:
Письмо представляет собой классический политический спам. По таким сообщениям всегда трудно понять, с какой целью они рассылались: была ли это кампания упоминаемой в сообщении политической партии или попытка недоброжелателей нанести удар по репутации партии или ее кандидата, связав их со спамом.
21 февраля на сайте Интернет-партии Украины появилось официальное сообщение: партия не рассылала спам и считает, что эта рассылка проведена исключительно с целью опорочить честное имя партии. В проведении спамерской рассылки партия обвинила небезызвестную организацию МММ Сергея Мавроди. В этом же сообщении утверждалось, что на сайт партии была проведена DDoS-атака.
Отметим, что спам рассылался с ботнета hlux. DDoS-атака также была зарегистрирована нашими специалистами, однако для ее проведения использовали другой ботнет.
Одной рассылкой дело, однако, не ограничилось. Начиная с 23 февраля, пользователи стали получать сообщения, текст которых в точности повторял опубликованное на сайте сообщение:
Эта рассылка окончательно спутала карты. Или Интернет-партия Украины решила клин клином выбить и на провокационную рассылку ответила рассылкой с опровержением. Или это с самого начала была акция Интернет-партии Украины, которая разослала агитационные письма, а затем обвинила в распространении спама МММ. Или МММ или другие недоброжелатели решили полностью дискредитировать партию, разослав спам, причастность к распространению которого ей будет сложно опровергнуть.
Статистический обзор
Страны — источники спама
Страны — источники спама в феврале 2012 г. (TOP 20)
TOP 20 стран — источников спама практически не изменился по сравнению с прошлым месяцем. Достаточно сказать, что верхние 12 строчек заняли те же страны, что и в январе, некоторые из них лишь поменялись местами. Доля всех стран, входящих в рейтинг, изменилась незначительно — в пределах 1,5%.
Лидером рейтинга по-прежнему остается Индия, доля которой составила 11,9% мирового спама (+0,4%). Доля Индонезии также незначительно увеличилась (+0,3%).
Бразилия и Корея, занимающие третью и четвертую строчки, второй месяц подряд идут вровень. Доля спама, распространенного с территории каждой из этих стран, уменьшилась чуть больше чем на 1%.
Россия заняла в феврале 14-ю строчку в рейтинге распространителей спама, с территории этой страны было распространено на 0,3% больше спама, чем в прошлом месяце.
Вредоносные вложения в почте
В феврале вредоносные файлы содержались в 2,8% всех электронных сообщений, что на 1,5% меньше, чем в прошлом месяце.
Распределение срабатываний почтового антивируса по странам
Распределение срабатываний почтового антивируса по странам в феврале 2012 г.
Соединенные Штаты Америки второй месяц подряд занимают первую строчку рейтинга стран по срабатыванию почтового антивируса, хотя доля срабатываний Kaspersky Mail Antivirus на территории США по сравнению с январем незначительно уменьшилась (-0,2%).
Доля срабатываний почтового антивируса в России уменьшилась еще на 2%, и страна покинула ТОР 10 стран по срабатываниям Kaspersky Mail Antivirus.
Как мы отмечали ранее, активность распространителей вредоносного спама имеет два вектора. Один — это рассылка вредоносных программ с целью получения персональных и финансовых данных пользователей. Второй — рассылка вредоносных программ, включающих компьютеры пользователей в ботнеты.
При распространении зловредов, собирающих данные, злоумышленников в большей степени интересуют развитые страны, где благосостояние пользователей выше и распространен интернет-банкинг. Зловреды, нацеленные на расширение ботсетей, распространяются в основном в развивающихся странах, где только малая часть компьютеров защищена антивирусными программами, а законодательство против спама и вредоносного ПО неразвито или отсутствует.
В настоящее время в спам-потоках преобладают зловреды, нацеленные на кражу финансовой и иной информации у пользователей. При этом программы-боты также продолжают рассылаться, преимущественно пользователям из стран Азии.
Такое распределение атак по регионам наблюдается на протяжении последних двух месяцев. Доля срабатываний почтового антивируса на территории всех стран, кроме России, в феврале изменилась незначительно, в пределах 1,5%.
ТОP 10 вредоносных программ, распространенных в почте
ТОP 10 вредоносных программ, распространенных в почте в феврале 2012 г.
Первые четыре строчки рейтинга занимают те же программы, что и в январе.
Более 16% всех детектирований приходится на бессменного лидера нашего рейтинга —Trojan-Spy.HTML.Fraud.gen. По сравнению с январем доля этого зловреда увеличилась на 2%. Напомним, что Trojan-Spy.HTML.Fraud.gen — это вредоносная программа, выполненная в виде html-странички, подделки под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Задача программы — передавать введенные на этой страничке данные злоумышленникам, что по сути является фишинговым приемом.
Шесть из десяти программ рейтинга вредоносных программ, задетектированных в почте, — это почтовые черви семейств Email-Worm.Win32.Mydoom, Email-Worm.Win32.NetSky и Email-Worm.Win32.Bagle.
Позиции Mydoom.m, Bagle.gt и NetSky.q по сравнению с январем не изменились — они расположились соответственно на втором, четвертом и шестом местах рейтинга. Еще два почтовых червя из семейства NetSky — NetSky.c и NetSky.ghc — заняли девятое и десятое места. Седьмую строчку занимает вторая вредоносная программа из семейства Mydoom — Mydoom.l.
Пять из перечисленных выше зловредов — программы семейства Mydoom и NetSky —выполняют только две функции: собирают электронные адреса с зараженных машин и рассылают по ним самих себя. Bagle.gt, помимо указанного функционала, обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.
Фишинг
Распределение TOP 100 организаций, атакованных фишерами по категориям
Срабатывание антифишинга, февраль 2012 года
Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента Антифишинг в наших продуктах на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.
Рейтинг категорий организаций, наиболее интересных фишерам, по сравнению с январем практически не изменился.
Лидируют, как и ранее, финансовые организации. На сайты, используемые в ходе атак на эту категорию организаций, приходится почти четверть всех срабатываний антифишинга. Этот показатель практически не изменился по сравнению с январем.
На 3,5% увеличилась доля срабатываний антифишинга на сайтах, нацеленных на кражу регистрационных данных пользователей социальных сетей. Заметную роль в этом сыграло то, что по итогам февраля самой популярной целью фишеров стали пользователи Facebook. В то же время, доля срабатываний на сайтах категории «Онлайн-магазины, интернет-аукционы» уменьшилась на 3%. Здесь отличился популярный онлайн-магазин Amazon, бывший лидером в январе, а в феврале заметно сдавший свои позиции.
Доля остальных категорий мишеней фишеров изменилась по сравнению с прошлым месяцем незначительно — в пределах 1%.
Хотелось бы отметить, что в ТОР 100 ресурсов, чьи клиенты были атакованы фишерами, по итогам февраля вошли электронные открытки Hallmark, что связано с попыткой злоумышленников использовать этот бренд как приманку для распространения вредоносного кода в поздравлениях ко дню Святого Валентина.
Тематические направления в спаме
Тематические категории спама в феврале 2012 г.
Как мы и прогнозировали, доля партнерского спама в Рунете сохранилась в феврале на достаточно высоком уровне — около 38%. Более половины всего спама в Рунете — спам, заказанный малым и средним бизнесом с целью рекламы. 7,2% всех спамерских сообщений в феврале были саморекламой спамеров.
Спам «образовательной» тематики, рекламирующий тренинги и семинары, снова вырвался на первое место, хотя доля такого спама по сравнению с январем возросла незначительно (+1,1%). На втором месте фармацевтический спам, доля которого по итогам февраля составила почти 20% (-7,9%). Заметно возросла доля тематики «Недвижимость» (+3,7%), занявшей третье место.
Доля остальных тематик изменилась в пределах 2%.
Заключение
Ситуация в спаме, как и ожидалось, стабилизировалась. Довольно высокая доля партнерского спама в Рунете говорит об уменьшении активности коммерческих заказчиков — представителей малого и среднего бизнеса. О том же говорит и относительно невысокая доля спама в почтовом трафике. Хотя по сравнению с январем этот показатель вырос, не стоит забывать, что в январе на него в значительной степени повлияло затишье первых дней месяца.
В марте количество политического спама вряд ли пойдет на спад. Характер политических сообщений, которые мы фиксировали в прошлые месяцы, позволяет предположить, что по завершении выборов спамовых писем с агитационным содержанием меньше не станет.
Уменьшение доли спама с вредоносными вложениями, по всей видимости, явление временное. Маловероятно, что спамеры откажутся от участия в партнерских программах по распространению вредоносного кода, особенно в период, когда доля заказного спама в Рунете уменьшается. В то же время, нелишне отметить, что вредоносные программы в спаме распространяются не только в виде вложений в сообщениях, но и в виде вредоносных ссылок. Таким образом, уменьшение доли вредоносных вложений, зафиксированных в почте, не всегда указывает на уменьшение доли вредоносных рассылок как таковых.
НОВОЕ НА САЙТЕ
Главная
Методы обнаружения вирусов
Классификация антивирусов
Недостатки
Новости антивирусов
Антивирус Касперского
Антивирус Dr.Web
Антивирус Nod32
Антивирус Panda
Антивирус Avira
Антивирус Avast
Антивирус AVG
Вирусные новости
Горячая лента угроз и предупреждений о вирусной опасности!
Лента уязвимостей
Новости Безопастности
Вирусный Лист
Аналитические статьи
Каталог
Спам в июле 2011 года
Обзор DDoS-атак во втором квартале 2011 года
Спам во втором квартале 2011
Развитие информационных угроз во втором квартале 2011 года
Обзор вирусной активности - июль 2011
Наборы эксплойтов в первой половине 2011 года
Спам в июне 2011 года
Обзор вирусной активности - июнь 2011
Дети онлайн: техника безопасности
TDL4 - Top Bot
Спам в мае 2011 года
Землетрясение в Японии - хронология IT-угроз
Спам в первом квартале 2011
Спам в апреле 2011 года
Развитие информационных угроз в первом квартале 2011 года
Спам в марте 2011 года
«Рекламный» ботнет
Обзор вирусной активности - март 2011
Спам и закон: осеннее противостояние
Мобильная вирусология, часть 4
Планета, захваченная спамерами
MYBIOS. Возможно ли заразить BIOS?
Спам в августе 2011 года
Обзор вирусной активности - август 2011
ZeuS-in-the-Mobile - факты и догадки
Обзор вирусной активности - сентябрь 2011
Спам в сентябре 2011 года
Спам в третьем квартале 2011
Обзор вирусной активности - октябрь 2011
Развитие информационных угроз в третьем квартале 2011 года
Спам в октябре 2011 года
Головы Гидры. Вредоносное ПО для сетевых устройств
Легальные буткиты
Онлайн-платежи - удобно и безопасно
Обзор вирусной активности - ноябрь 2011
Троянцы-вымогатели
Спам в ноябре 2011 года
Stuxnet/Duqu: эволюция драйверов
Спам в декабре 2011 года
Поздравляем, вы выиграли! или Что скрывается за лотереями в интернете
Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году
Kaspersky Security Bulletin. Основная статистика за 2011 год
Kaspersky Security Bulletin. Спам в 2011 году
Спам в январе 2012 года
DDoS-атаки второго полугодия 2011 года
Мобильная вирусология, часть 5
Обзор вирусной активности - февраль 2012
Спам в феврале 2012 года
Спам в марте 2012 года
Обзор вирусной активности, март 2012
Анатомия Flashfake. Часть I
Спам в первом квартале 2012
Спам в апреле 2012 года
Развитие информационных угроз в первом квартале 2012 года
Обзор вирусной активности - апрель 2012
Анатомия Flashfake. Часть II
Спам в мае 2012 года
XPAJ. Исследование буткита под Windows x64
Спам в июне 2012 года
Развитие информационных угроз во втором квартале 2012 года
Спам в июле 2012 года
Спам во втором квартале 2012
География киберпреступлений. Западная Европа и Северная Америка
Спам в августе 2012 года
«Этот сайт может причинить вред вашему компьютеру». Как распознать и предотвратить заражение веб-сайтов
Спам в сентябре 2012 года
Безопасность ключевых систем информационной инфраструктуры: точка доверия
Развитие информационных угроз в третьем квартале 2012 года
Спам в третьем квартале 2012
Спам в октябре 2012
Kaspersky Security Bulletin 2012. Кибероружие
Kaspersky Security Bulletin 2012. Основная статистика за 2012 год
Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году
Спам в ноябре 2012
Информационная безопасность в 2030 году: прежними останутся только люди
Спам в 2012 году
Спам в декабре 2012
Нигерийское наследство ждет вас
Отчет «Лаборатории Касперского»: оценка уровня опасности уязвимостей в ПО
«Операция Абабиль»: итоги
«Медовые ловушки» в интернете
Контроль запуска программ как залог безопасности сети. Часть 1
Контроль запуска программ как залог безопасности сети. Часть 2
Спам в январе 2013
Мобильная вирусология, часть 6
Спам в феврале 2013
Winnti. Это вам не игрушки
Анализ Winnti 1.0
Спам в марте 2013
Spyware. HackingTeam
Спам в первом квартале 2013
Развитие информационных угроз в первом квартале 2013 года
Спам в апреле 2013
Спам в мае 2013
Перенаправления в спаме
Спам в июне 2013
Спам во втором квартале 2013
Развитие информационных угроз во втором квартале 2013 года
Anti-decompiling techniques in malicious Java Applets
The curious case of a CVE-2012-0158 exploit
Spam in Q2 2013
Spam in June 2013
Redirects in Spam
Spam in May 2013
Spam in April 2013
IT Threat Evolution: Q1 2013
Spam in Q1 2013
Spyware. HackingTeam
Spam in March 2013
Spam in February 2013
Mobile Malware Evolution: Part 6
Spam in January 2013
Application Control: the key to a secure network. Part 1
Application Control: the key to a secure network - Part 2
Honey traps on the Internet
Kaspersky Lab report: Evaluating the threat level of software vulnerabilities
Spam in December 2012
Kaspersky Security Bulletin: Spam Evolution 2012
Спам в июле 2013
Как закрыть черную дыру?
DDoS-атаки первого полугодия 2013 года
Операция «Kimsuky»: северокорейская разведдеятельность?
Защита от виртуальных грабителей
Спам в августе 2013
PAC - файл автоконфигурации проблем
Проигрыш обеспечен, или настоящее лицо фальшивой Фортуны
Спам в первом квартале 2014
Спам в марте 2014
Развитие информационных угроз в первом квартале 2014 года
Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО
Финансовые киберугрозы в 2013 году. Часть 1: фишинг
BitGuard: система принудительного поиска
Спам в феврале 2014
Мобильные угрозы - 2013
Спам в январе 2014
Угроза из BIOS
Спам-кредиторы: кража данных, троянцы и другие особенности «дешевых» займов
Kaspersky Security Bulletin. Спам в 2013 году
Спам в декабре 2013
Спам в ноябре 2013
Kaspersky Security Bulletin 2013. Развитие угроз в 2013 году
Kaspersky Security Bulletin 2013. Корпоративные угрозы
Kaspersky Security Bulletin 2013. Основная статистика за 2013 год
Kaspersky Security Bulletin 2013. Прогнозы
Новая угроза для онлайн-банка
Спам в апреле 2014
Дети в Сети: формула безопасности
Обманщики в социальных сетях
Многофункциональный DDoS-троянец под Linux
Спам в мае 2014