Методы обнаружения вирусов

Спам в феврале 2012 года

Февраль в цифрах

  • Доля спама в почтовом трафике по сравнению с январем увеличилась на 2,3% и составила в среднем 78,5%.
  • Доля фишинговых писем в почтовом потоке по сравнению с январем не изменилась и составила 0,02%.
  • В феврале вредоносные файлы содержались в 2,8% всех электронных сообщений, что на 1,5% меньше, чем в прошлом месяце.

Главные темы спама

Праздничный спам

В январском отчете мы уже писали о спаме, посвященном дню Святого Валентина, который появлялся в почтовом трафике. Тема таких спам-рассылок была также освещена и в нашем блоге. Добавить можно лишь то, что пикового значения доля спамерских «валентинок» достигла 12 февраля: 0,2% всех спамерских сообщений в этот день были посвящены дню всех влюбленных.

Однако праздничные спамерские сообщения в феврале были посвящены не только дню Святого Валентина. Масленица, Пасха, 23 февраля и 8 марта также не были проигнорированны спамерами.

В сообщениях, посвященных масленице, в основном предлагался праздничный туризм. Это традиционный спам, рассылаемый в преддверии проводов зимы, — предложения поучаствовать в масленичных гуляниях в исторических городах России.

Сообщения, эксплуатировавшие тему 23 февраля и 8 марта, разумеется, чаще всего рекламировали подарки к мужскому и женскому праздникам.

Все зафиксированные нами рассылки, посвященные этим праздникам, были на русском языке. Лишь одно сообщение, рекламировавшее виагру как подарок к 8 марта, было на английском.

 

Трудно сказать, какую цель пытались достичь авторы рассылки, предлагая англоязычной аудитории «мужские» таблетки в качестве подарка к женскому празднику, отмечаемому в основном в неанглоязычных странах. В тексте сообщения с темой «товары к 8 марта» нет и намека на содержание рекламируемого сайта. Непонятно также, почему для зашумления текста был использован фрагмент из романа Льва Толстого «Война и мир» на английском языке. По всей видимости, эту рассылку сочинил какой-то славянофил.

Спамерские сообщения, предлагающие товары к Пасхе, пока фиксируются только на английском языке. Это связано с тем, что западная Пасха в этом году празднуется на неделю раньше православной.

Политический спам

В феврале в Рунете было много политических рассылок, что не удивительно — не утихающие митинги по всей России и приближающиеся выборы президента накалили страсти.

В спаме по-прежнему встречались рассылки экстремистского характера, призывающие к свержению власти, агитация как «за», так и «против» тех или иных кандидатов, а также призывы выйти на митинги.

Интересно, что в спам-потоках появились рассылки, с помощью которых владельцы не самых популярных блогов пытаются привлечь к себе внимание. Текст таких сообщений призывает пользователей, заинтересованных в политических дискуссиях, перейти по ссылке на блог соответствующей тематики.

 

Почти до конца 2011 года основным видом политического спама были компромат на ту или иную партию или кандидата или, наоборот, агитация за таковых. Незадолго до начала массовых выступлений в России в декабре 2011 в Рунете гораздо популярнее стали попытки донести до получателя сообщения какую-либо мысль. Однако компромат и агитация в спаме все еще присутствует.

В украинской зоне интернета в феврале происходили любопытные события. В конце февраля многие пользователи интернета на Украине получили спамерское сообщение (а некоторые даже сразу несколько таких сообщений) следующего содержания:

 

Письмо представляет собой классический политический спам. По таким сообщениям всегда трудно понять, с какой целью они рассылались: была ли это кампания упоминаемой в сообщении политической партии или попытка недоброжелателей нанести удар по репутации партии или ее кандидата, связав их со спамом.

21 февраля на сайте Интернет-партии Украины появилось официальное сообщение: партия не рассылала спам и считает, что эта рассылка проведена исключительно с целью опорочить честное имя партии. В проведении спамерской рассылки партия обвинила небезызвестную организацию МММ Сергея Мавроди. В этом же сообщении утверждалось, что на сайт партии была проведена DDoS-атака.

Отметим, что спам рассылался с ботнета hlux. DDoS-атака также была зарегистрирована нашими специалистами, однако для ее проведения использовали другой ботнет.

Одной рассылкой дело, однако, не ограничилось. Начиная с 23 февраля, пользователи стали получать сообщения, текст которых в точности повторял опубликованное на сайте сообщение:

 

Эта рассылка окончательно спутала карты. Или Интернет-партия Украины решила клин клином выбить и на провокационную рассылку ответила рассылкой с опровержением. Или это с самого начала была акция Интернет-партии Украины, которая разослала агитационные письма, а затем обвинила в распространении спама МММ. Или МММ или другие недоброжелатели решили полностью дискредитировать партию, разослав спам, причастность к распространению которого ей будет сложно опровергнуть.

Статистический обзор

Страны — источники спама

 
Страны — источники спама в феврале 2012 г. (TOP 20)

TOP 20 стран — источников спама практически не изменился по сравнению с прошлым месяцем. Достаточно сказать, что верхние 12 строчек заняли те же страны, что и в январе, некоторые из них лишь поменялись местами. Доля всех стран, входящих в рейтинг, изменилась незначительно — в пределах 1,5%.

Лидером рейтинга по-прежнему остается Индия, доля которой составила 11,9% мирового спама (+0,4%). Доля Индонезии также незначительно увеличилась (+0,3%).

Бразилия и Корея, занимающие третью и четвертую строчки, второй месяц подряд идут вровень. Доля спама, распространенного с территории каждой из этих стран, уменьшилась чуть больше чем на 1%.

Россия заняла в феврале 14-ю строчку в рейтинге распространителей спама, с территории этой страны было распространено на 0,3% больше спама, чем в прошлом месяце.

Вредоносные вложения в почте

В феврале вредоносные файлы содержались в 2,8% всех электронных сообщений, что на 1,5% меньше, чем в прошлом месяце.

Распределение срабатываний почтового антивируса по странам

 
Распределение срабатываний почтового антивируса по странам в феврале 2012 г.

Соединенные Штаты Америки второй месяц подряд занимают первую строчку рейтинга стран по срабатыванию почтового антивируса, хотя доля срабатываний Kaspersky Mail Antivirus на территории США по сравнению с январем незначительно уменьшилась (-0,2%).

Доля срабатываний почтового антивируса в России уменьшилась еще на 2%, и страна покинула ТОР 10 стран по срабатываниям Kaspersky Mail Antivirus.

Как мы отмечали ранее, активность распространителей вредоносного спама имеет два вектора. Один — это рассылка вредоносных программ с целью получения персональных и финансовых данных пользователей. Второй — рассылка вредоносных программ, включающих компьютеры пользователей в ботнеты.

При распространении зловредов, собирающих данные, злоумышленников в большей степени интересуют развитые страны, где благосостояние пользователей выше и распространен интернет-банкинг. Зловреды, нацеленные на расширение ботсетей, распространяются в основном в развивающихся странах, где только малая часть компьютеров защищена антивирусными программами, а законодательство против спама и вредоносного ПО неразвито или отсутствует.

В настоящее время в спам-потоках преобладают зловреды, нацеленные на кражу финансовой и иной информации у пользователей. При этом программы-боты также продолжают рассылаться, преимущественно пользователям из стран Азии.

Такое распределение атак по регионам наблюдается на протяжении последних двух месяцев. Доля срабатываний почтового антивируса на территории всех стран, кроме России, в феврале изменилась незначительно, в пределах 1,5%.

ТОP 10 вредоносных программ, распространенных в почте

 
ТОP 10 вредоносных программ, распространенных в почте в феврале 2012 г.

Первые четыре строчки рейтинга занимают те же программы, что и в январе.

Более 16% всех детектирований приходится на бессменного лидера нашего рейтинга —Trojan-Spy.HTML.Fraud.gen. По сравнению с январем доля этого зловреда увеличилась на 2%. Напомним, что Trojan-Spy.HTML.Fraud.gen — это вредоносная программа, выполненная в виде html-странички, подделки под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Задача программы — передавать введенные на этой страничке данные злоумышленникам, что по сути является фишинговым приемом.

Шесть из десяти программ рейтинга вредоносных программ, задетектированных в почте, — это почтовые черви семейств Email-Worm.Win32.Mydoom, Email-Worm.Win32.NetSky и Email-Worm.Win32.Bagle.

Позиции Mydoom.m, Bagle.gt и NetSky.q по сравнению с январем не изменились — они расположились соответственно на втором, четвертом и шестом местах рейтинга. Еще два почтовых червя из семейства NetSky — NetSky.c и NetSky.ghc — заняли девятое и десятое места. Седьмую строчку занимает вторая вредоносная программа из семейства Mydoom — Mydoom.l.

Пять из перечисленных выше зловредов — программы семейства Mydoom и NetSky —выполняют только две функции: собирают электронные адреса с зараженных машин и рассылают по ним самих себя. Bagle.gt, помимо указанного функционала, обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

Фишинг

 
Распределение TOP 100 организаций, атакованных фишерами по категориям
Срабатывание антифишинга, февраль 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента Антифишинг в наших продуктах на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Рейтинг категорий организаций, наиболее интересных фишерам, по сравнению с январем практически не изменился.

Лидируют, как и ранее, финансовые организации. На сайты, используемые в ходе атак на эту категорию организаций, приходится почти четверть всех срабатываний антифишинга. Этот показатель практически не изменился по сравнению с январем.

На 3,5% увеличилась доля срабатываний антифишинга на сайтах, нацеленных на кражу регистрационных данных пользователей социальных сетей. Заметную роль в этом сыграло то, что по итогам февраля самой популярной целью фишеров стали пользователи Facebook. В то же время, доля срабатываний на сайтах категории «Онлайн-магазины, интернет-аукционы» уменьшилась на 3%. Здесь отличился популярный онлайн-магазин Amazon, бывший лидером в январе, а в феврале заметно сдавший свои позиции.

Доля остальных категорий мишеней фишеров изменилась по сравнению с прошлым месяцем незначительно — в пределах 1%.

Хотелось бы отметить, что в ТОР 100 ресурсов, чьи клиенты были атакованы фишерами, по итогам февраля вошли электронные открытки Hallmark, что связано с попыткой злоумышленников использовать этот бренд как приманку для распространения вредоносного кода в поздравлениях ко дню Святого Валентина.

Тематические направления в спаме

 
Тематические категории спама в феврале 2012 г.

Как мы и прогнозировали, доля партнерского спама в Рунете сохранилась в феврале на достаточно высоком уровне — около 38%. Более половины всего спама в Рунете — спам, заказанный малым и средним бизнесом с целью рекламы. 7,2% всех спамерских сообщений в феврале были саморекламой спамеров.

Спам «образовательной» тематики, рекламирующий тренинги и семинары, снова вырвался на первое место, хотя доля такого спама по сравнению с январем возросла незначительно (+1,1%). На втором месте фармацевтический спам, доля которого по итогам февраля составила почти 20% (-7,9%). Заметно возросла доля тематики «Недвижимость» (+3,7%), занявшей третье место.

Доля остальных тематик изменилась в пределах 2%.

Заключение

Ситуация в спаме, как и ожидалось, стабилизировалась. Довольно высокая доля партнерского спама в Рунете говорит об уменьшении активности коммерческих заказчиков — представителей малого и среднего бизнеса. О том же говорит и относительно невысокая доля спама в почтовом трафике. Хотя по сравнению с январем этот показатель вырос, не стоит забывать, что в январе на него в значительной степени повлияло затишье первых дней месяца.

В марте количество политического спама вряд ли пойдет на спад. Характер политических сообщений, которые мы фиксировали в прошлые месяцы, позволяет предположить, что по завершении выборов спамовых писем с агитационным содержанием меньше не станет.

Уменьшение доли спама с вредоносными вложениями, по всей видимости, явление временное. Маловероятно, что спамеры откажутся от участия в партнерских программах по распространению вредоносного кода, особенно в период, когда доля заказного спама в Рунете уменьшается. В то же время, нелишне отметить, что вредоносные программы в спаме распространяются не только в виде вложений в сообщениях, но и в виде вредоносных ссылок. Таким образом, уменьшение доли вредоносных вложений, зафиксированных в почте, не всегда указывает на уменьшение доли вредоносных рассылок как таковых.

НОВОЕ НА САЙТЕ

26 июня 2017 года

Компания «Доктор Веб» информирует об обновлении модуля обороны от эксплойтов Dr.Web Shellguard (11.01.09.06190) так что модуля самозащиты Dr.Web SelfPROtect (11.01.10.06210) в продуктах Dr.Web 11.0 для Windows, Dr.Web KATANA 1.0, Dr.Web ... Антивирус Dr.Web

26 июня 2017 года

Компания «Доктор Веб» информирует о выпуске плагина Dr.Web версии 11.0 для интернет-шлюзов Kerio, предназначенного для работы на персональных компьютерах под управлением Linux.

Новая версия поддерживает Kerio ... Антивирус Dr.Web

23 июня 2017 года

Вирусные аналитики корпорации «Доктор Веб» заприметили в каталоге гугл Play крошку потенциально небезопасных приложений, коие несут угрозу первостепенным образом юзерам на территории Украины. Эти программы дозволяют объегорить... Горячая лента угроз и предупреждений о вирусной опасности!

Нас продолжительно и настойчиво уговаривали в том, словно облака — это накрепко и удобно, а Linux — это круто. Казалось, словно выбор стоит среди практичным и еще больше практичным интерфейсом. Но вдруг — «получилось сколько все... Горячая лента угроз и предупреждений о вирусной опасности!

19 июня 2017 года

Специалисты корпорации «Доктор Веб» заприметили Android-троянца, коим вирусописатели управляют с применением протокола Telegram. данная вредная программа ворует секретную информацию так будто изготавливает команды злоумышленников.Горячая лента угроз и предупреждений о вирусной опасности!

19 июня 2017 года

Специалисты фирме «Доктор Веб» нашли Android-троянца, коим вирусописатели управляют с применением протокола Telegram. данная вредная программа ворует секретную информацию так точно выполняет команды злоумышленников.Вирусные новости

15 июня 2017 года

Троянцы-майнеры – это вредные программы, использующие вычислительные ресурсы инфицированного устройства для добычи (майнинга) криптовалют. Вирусные аналитики корпорации «Доктор Веб» изучали того троянца, могущего заражать компы под управ... Горячая лента угроз и предупреждений о вирусной опасности!

15 июня 2017 года

Троянцы-майнеры – это вредные программы, использующие вычислительные ресурсы инфицированного устройства для добычи (майнинга) криптовалют. Вирусные аналитики фирмы «Доктор Веб» изучали того троянца, могущего заражать компы под управление... Вирусные новости

13 июня 2017 года

Компания «Доктор Веб» информирует об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino перед началом версии 11.0.2. Обновление связано с добавлением новеньких активных способностей так что исправлением выявленных ... Антивирус Dr.Web

13 июня 2017 года

Компания «Доктор Веб» информирует об обновлении модуля Lua-Updater (11.0.21.06080), антируткитного модуля Dr.Web Anti-rootkit API (11.1.11.201706060), управляющего обслуживания Dr.Web Control Service (11.0.13.06051 так что 11.0.12.06061)... Антивирус Dr.Web