Методы обнаружения вирусов

Спам в феврале 2012 года

Февраль в цифрах

  • Доля спама в почтовом трафике по сравнению с январем увеличилась на 2,3% и составила в среднем 78,5%.
  • Доля фишинговых писем в почтовом потоке по сравнению с январем не изменилась и составила 0,02%.
  • В феврале вредоносные файлы содержались в 2,8% всех электронных сообщений, что на 1,5% меньше, чем в прошлом месяце.

Главные темы спама

Праздничный спам

В январском отчете мы уже писали о спаме, посвященном дню Святого Валентина, который появлялся в почтовом трафике. Тема таких спам-рассылок была также освещена и в нашем блоге. Добавить можно лишь то, что пикового значения доля спамерских «валентинок» достигла 12 февраля: 0,2% всех спамерских сообщений в этот день были посвящены дню всех влюбленных.

Однако праздничные спамерские сообщения в феврале были посвящены не только дню Святого Валентина. Масленица, Пасха, 23 февраля и 8 марта также не были проигнорированны спамерами.

В сообщениях, посвященных масленице, в основном предлагался праздничный туризм. Это традиционный спам, рассылаемый в преддверии проводов зимы, — предложения поучаствовать в масленичных гуляниях в исторических городах России.

Сообщения, эксплуатировавшие тему 23 февраля и 8 марта, разумеется, чаще всего рекламировали подарки к мужскому и женскому праздникам.

Все зафиксированные нами рассылки, посвященные этим праздникам, были на русском языке. Лишь одно сообщение, рекламировавшее виагру как подарок к 8 марта, было на английском.

 

Трудно сказать, какую цель пытались достичь авторы рассылки, предлагая англоязычной аудитории «мужские» таблетки в качестве подарка к женскому празднику, отмечаемому в основном в неанглоязычных странах. В тексте сообщения с темой «товары к 8 марта» нет и намека на содержание рекламируемого сайта. Непонятно также, почему для зашумления текста был использован фрагмент из романа Льва Толстого «Война и мир» на английском языке. По всей видимости, эту рассылку сочинил какой-то славянофил.

Спамерские сообщения, предлагающие товары к Пасхе, пока фиксируются только на английском языке. Это связано с тем, что западная Пасха в этом году празднуется на неделю раньше православной.

Политический спам

В феврале в Рунете было много политических рассылок, что не удивительно — не утихающие митинги по всей России и приближающиеся выборы президента накалили страсти.

В спаме по-прежнему встречались рассылки экстремистского характера, призывающие к свержению власти, агитация как «за», так и «против» тех или иных кандидатов, а также призывы выйти на митинги.

Интересно, что в спам-потоках появились рассылки, с помощью которых владельцы не самых популярных блогов пытаются привлечь к себе внимание. Текст таких сообщений призывает пользователей, заинтересованных в политических дискуссиях, перейти по ссылке на блог соответствующей тематики.

 

Почти до конца 2011 года основным видом политического спама были компромат на ту или иную партию или кандидата или, наоборот, агитация за таковых. Незадолго до начала массовых выступлений в России в декабре 2011 в Рунете гораздо популярнее стали попытки донести до получателя сообщения какую-либо мысль. Однако компромат и агитация в спаме все еще присутствует.

В украинской зоне интернета в феврале происходили любопытные события. В конце февраля многие пользователи интернета на Украине получили спамерское сообщение (а некоторые даже сразу несколько таких сообщений) следующего содержания:

 

Письмо представляет собой классический политический спам. По таким сообщениям всегда трудно понять, с какой целью они рассылались: была ли это кампания упоминаемой в сообщении политической партии или попытка недоброжелателей нанести удар по репутации партии или ее кандидата, связав их со спамом.

21 февраля на сайте Интернет-партии Украины появилось официальное сообщение: партия не рассылала спам и считает, что эта рассылка проведена исключительно с целью опорочить честное имя партии. В проведении спамерской рассылки партия обвинила небезызвестную организацию МММ Сергея Мавроди. В этом же сообщении утверждалось, что на сайт партии была проведена DDoS-атака.

Отметим, что спам рассылался с ботнета hlux. DDoS-атака также была зарегистрирована нашими специалистами, однако для ее проведения использовали другой ботнет.

Одной рассылкой дело, однако, не ограничилось. Начиная с 23 февраля, пользователи стали получать сообщения, текст которых в точности повторял опубликованное на сайте сообщение:

 

Эта рассылка окончательно спутала карты. Или Интернет-партия Украины решила клин клином выбить и на провокационную рассылку ответила рассылкой с опровержением. Или это с самого начала была акция Интернет-партии Украины, которая разослала агитационные письма, а затем обвинила в распространении спама МММ. Или МММ или другие недоброжелатели решили полностью дискредитировать партию, разослав спам, причастность к распространению которого ей будет сложно опровергнуть.

Статистический обзор

Страны — источники спама

 
Страны — источники спама в феврале 2012 г. (TOP 20)

TOP 20 стран — источников спама практически не изменился по сравнению с прошлым месяцем. Достаточно сказать, что верхние 12 строчек заняли те же страны, что и в январе, некоторые из них лишь поменялись местами. Доля всех стран, входящих в рейтинг, изменилась незначительно — в пределах 1,5%.

Лидером рейтинга по-прежнему остается Индия, доля которой составила 11,9% мирового спама (+0,4%). Доля Индонезии также незначительно увеличилась (+0,3%).

Бразилия и Корея, занимающие третью и четвертую строчки, второй месяц подряд идут вровень. Доля спама, распространенного с территории каждой из этих стран, уменьшилась чуть больше чем на 1%.

Россия заняла в феврале 14-ю строчку в рейтинге распространителей спама, с территории этой страны было распространено на 0,3% больше спама, чем в прошлом месяце.

Вредоносные вложения в почте

В феврале вредоносные файлы содержались в 2,8% всех электронных сообщений, что на 1,5% меньше, чем в прошлом месяце.

Распределение срабатываний почтового антивируса по странам

 
Распределение срабатываний почтового антивируса по странам в феврале 2012 г.

Соединенные Штаты Америки второй месяц подряд занимают первую строчку рейтинга стран по срабатыванию почтового антивируса, хотя доля срабатываний Kaspersky Mail Antivirus на территории США по сравнению с январем незначительно уменьшилась (-0,2%).

Доля срабатываний почтового антивируса в России уменьшилась еще на 2%, и страна покинула ТОР 10 стран по срабатываниям Kaspersky Mail Antivirus.

Как мы отмечали ранее, активность распространителей вредоносного спама имеет два вектора. Один — это рассылка вредоносных программ с целью получения персональных и финансовых данных пользователей. Второй — рассылка вредоносных программ, включающих компьютеры пользователей в ботнеты.

При распространении зловредов, собирающих данные, злоумышленников в большей степени интересуют развитые страны, где благосостояние пользователей выше и распространен интернет-банкинг. Зловреды, нацеленные на расширение ботсетей, распространяются в основном в развивающихся странах, где только малая часть компьютеров защищена антивирусными программами, а законодательство против спама и вредоносного ПО неразвито или отсутствует.

В настоящее время в спам-потоках преобладают зловреды, нацеленные на кражу финансовой и иной информации у пользователей. При этом программы-боты также продолжают рассылаться, преимущественно пользователям из стран Азии.

Такое распределение атак по регионам наблюдается на протяжении последних двух месяцев. Доля срабатываний почтового антивируса на территории всех стран, кроме России, в феврале изменилась незначительно, в пределах 1,5%.

ТОP 10 вредоносных программ, распространенных в почте

 
ТОP 10 вредоносных программ, распространенных в почте в феврале 2012 г.

Первые четыре строчки рейтинга занимают те же программы, что и в январе.

Более 16% всех детектирований приходится на бессменного лидера нашего рейтинга —Trojan-Spy.HTML.Fraud.gen. По сравнению с январем доля этого зловреда увеличилась на 2%. Напомним, что Trojan-Spy.HTML.Fraud.gen — это вредоносная программа, выполненная в виде html-странички, подделки под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Задача программы — передавать введенные на этой страничке данные злоумышленникам, что по сути является фишинговым приемом.

Шесть из десяти программ рейтинга вредоносных программ, задетектированных в почте, — это почтовые черви семейств Email-Worm.Win32.Mydoom, Email-Worm.Win32.NetSky и Email-Worm.Win32.Bagle.

Позиции Mydoom.m, Bagle.gt и NetSky.q по сравнению с январем не изменились — они расположились соответственно на втором, четвертом и шестом местах рейтинга. Еще два почтовых червя из семейства NetSky — NetSky.c и NetSky.ghc — заняли девятое и десятое места. Седьмую строчку занимает вторая вредоносная программа из семейства Mydoom — Mydoom.l.

Пять из перечисленных выше зловредов — программы семейства Mydoom и NetSky —выполняют только две функции: собирают электронные адреса с зараженных машин и рассылают по ним самих себя. Bagle.gt, помимо указанного функционала, обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

Фишинг

 
Распределение TOP 100 организаций, атакованных фишерами по категориям
Срабатывание антифишинга, февраль 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента Антифишинг в наших продуктах на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Рейтинг категорий организаций, наиболее интересных фишерам, по сравнению с январем практически не изменился.

Лидируют, как и ранее, финансовые организации. На сайты, используемые в ходе атак на эту категорию организаций, приходится почти четверть всех срабатываний антифишинга. Этот показатель практически не изменился по сравнению с январем.

На 3,5% увеличилась доля срабатываний антифишинга на сайтах, нацеленных на кражу регистрационных данных пользователей социальных сетей. Заметную роль в этом сыграло то, что по итогам февраля самой популярной целью фишеров стали пользователи Facebook. В то же время, доля срабатываний на сайтах категории «Онлайн-магазины, интернет-аукционы» уменьшилась на 3%. Здесь отличился популярный онлайн-магазин Amazon, бывший лидером в январе, а в феврале заметно сдавший свои позиции.

Доля остальных категорий мишеней фишеров изменилась по сравнению с прошлым месяцем незначительно — в пределах 1%.

Хотелось бы отметить, что в ТОР 100 ресурсов, чьи клиенты были атакованы фишерами, по итогам февраля вошли электронные открытки Hallmark, что связано с попыткой злоумышленников использовать этот бренд как приманку для распространения вредоносного кода в поздравлениях ко дню Святого Валентина.

Тематические направления в спаме

 
Тематические категории спама в феврале 2012 г.

Как мы и прогнозировали, доля партнерского спама в Рунете сохранилась в феврале на достаточно высоком уровне — около 38%. Более половины всего спама в Рунете — спам, заказанный малым и средним бизнесом с целью рекламы. 7,2% всех спамерских сообщений в феврале были саморекламой спамеров.

Спам «образовательной» тематики, рекламирующий тренинги и семинары, снова вырвался на первое место, хотя доля такого спама по сравнению с январем возросла незначительно (+1,1%). На втором месте фармацевтический спам, доля которого по итогам февраля составила почти 20% (-7,9%). Заметно возросла доля тематики «Недвижимость» (+3,7%), занявшей третье место.

Доля остальных тематик изменилась в пределах 2%.

Заключение

Ситуация в спаме, как и ожидалось, стабилизировалась. Довольно высокая доля партнерского спама в Рунете говорит об уменьшении активности коммерческих заказчиков — представителей малого и среднего бизнеса. О том же говорит и относительно невысокая доля спама в почтовом трафике. Хотя по сравнению с январем этот показатель вырос, не стоит забывать, что в январе на него в значительной степени повлияло затишье первых дней месяца.

В марте количество политического спама вряд ли пойдет на спад. Характер политических сообщений, которые мы фиксировали в прошлые месяцы, позволяет предположить, что по завершении выборов спамовых писем с агитационным содержанием меньше не станет.

Уменьшение доли спама с вредоносными вложениями, по всей видимости, явление временное. Маловероятно, что спамеры откажутся от участия в партнерских программах по распространению вредоносного кода, особенно в период, когда доля заказного спама в Рунете уменьшается. В то же время, нелишне отметить, что вредоносные программы в спаме распространяются не только в виде вложений в сообщениях, но и в виде вредоносных ссылок. Таким образом, уменьшение доли вредоносных вложений, зафиксированных в почте, не всегда указывает на уменьшение доли вредоносных рассылок как таковых.

НОВОЕ НА САЙТЕ

8 августа 2017 года

Компания «Доктор Веб» информирует об обновлении управляющего обслуживания Dr.Web Control Service (11.0.18.07311) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0 так что Dr.Web Enterprise Security Suite 10.1, а уж тоже (11... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» сообщает о завершении инспекционного контроля для сертифицированной в ФСТЭК России версии Dr.Web Enterprise Security Suite (сертификат соответствия от 27 января 2016 г. № 3509). Эта процедура была направлена на ис... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» информирует об обновлении дарового деньги аварийного восстановления так что исцеления ПК – Dr.Web LiveDisk 9.0.

Реализовано поправка проблемы, приводившей на неких системах под управле... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» информирует о окончании инспекционного контроля для сертифицированной в ФСТЭК нашей родины версии Dr.Web Enterprise Security Suite (сертификат соответствия от 27 января 2016 г. № 3509). данная процедура была ориен... Антивирус Dr.Web

2 августа 2017 года

Специалисты корпорации «Доктор Веб» отмечают, ровно в вебе участились случаи распространения фишинговых писем, кои преступники рассылают якобы от имени отечественного регистратора доменов, корпорации «Региональный Сетевой Информационны... Горячая лента угроз и предупреждений о вирусной опасности!

2 августа 2017 года

Компания «Доктор Веб» информирует об обновлении брандмауэра Dr.Web Firewall (11.1.6.07100), драйвера Dr.Web Firewall Driver (11.01.06.07110) так что агента SpIDer Agent for Windows (11.0.17.07240) в продуктах Dr.Web Security Space 11.0... Антивирус Dr.Web

1 августа 2017 года

Компания «Доктор Веб» информирует о начале деяния новеньких правил блокировки так что подмены пиратских главных файлов в отношении продуктов Dr.Web.

В июле эксперты фирмы «Доктор Веб» нашли на нескольких моделях Android-смартфонов предустановленного троянца, коего преступники ввели в системную библиотеку. данная вредная программа проникала в процессы приложений так чисто могла неприметно скачивать ... Вирусные новости

31 июля 2017 года

Главное

Как правило, в середине годы нечасто происходят значимые события в сфере информационной безопасности, но современный июль предстал исключением из этого правила. В начале месяца эксперты фирмы «Доктор Веб» заприметили в прило... Вирусные новости

Пройдя впечатляюще долгий путь самосовершенствования, «БИЗНЕС ИНСАЙТ» готовы сделать исключительное предложение: все, кто изъявляет желание, имеют превосходную возможность обогатиться новыми знаниями в бизнес-школе клубного типа. В настоящее время «БИЗНЕС ИНСАЙТ» […] Новости Безопастности