Методы обнаружения вирусов

Спам в июне 2012 года

Июнь в цифрах

  • Доля спама в почтовом трафике по сравнению с маем уменьшилась на 1,9% и составила в среднем 71,9%.
  • Доля фишинговых писем в почтовом потоке по сравнению с маем осталась неизменной и составила 0,01%.
  • В июне вредоносные файлы содержались в 3% всех электронных сообщений, что на 0,2% ниже показателя прошлого месяца.

Главные темы спама

Новое во вредоносном спаме

В своих отчетах мы часто обращаем внимание пользователей на новые приемы спамеров, распространяющих в своих рассылках вредоносный код. Мы уже подчеркивали, что именно вредоносный спам является самым опасным и наиболее динамичным видом спама. Злоумышленники часто применяют новые приемы социальной инженерии в таких рассылках. В июне арсенал спамеров вновь пополнился, и мы спешим рассказать о "новинках" нашим читателям.

В отпуск со зловредом

Весной мы прогнозировали, что в начале сезона отпусков станет больше спама, содержащего рекламу отдыха и путешествий. Обычно такие рассылки активируются в начале лета. К нашему удивлению, на сей раз этого не произошло. Однако не преминули воспользоваться горячим сезоном распространители вредоносного кода.

В марте мы уже писали о рассылке, подделанной под онлайн-регистрацию на рейс известной американской авиакомпании. В июне стали активно распространяться сообщения, подделанные под подтверждение бронирования отеля. Вредоносное вложение выдавалось за подробности брони.

 

Таким образом, в спаме в данный момент распространяется целый вредоносный "турпакет". И хотя данная рассылка выполнена довольно топорно, в отпускной сезон многие могут стать жертвами злоумышленников. Мы рекомендуем пользователям быть внимательными при онлайн-бронировании путешествий. Следует помнить, что ни один крупный сервис не присылает подтверждений в zip-архивах. Кроме того, если вы сомневаетесь в подлинности полученного сообщения, крупным компаниям всегда можно послать письмо, воспользовавшись формой обратной связи.

Фотография зловреда

Не так давно во вредоносном спаме был популярен следующий прием социальной инженерии: зловред распространялся в письме под видом фотографий желающей познакомиться девушки. Мы уже отмечали, что прием этот отошел на второй план и используется сейчас все реже. Однако привычка выдавать вложенную в письмо вредоносную программу за фотографию у спамеров сохранилась. Например, в июне мы встретили рассылку, в которой пользователю угрожают судебным разбирательством за то, что он выложил в сеть фотографии без разрешения их владельца. Фотографии, якобы, приложены к письму в zip-архиве.

 

Популярность социальных сетей привела к тому, что во вредоносном спаме встречается и другой вид поддельных фотографий: в тексте сообщения говорится о том, что кто-то выложил пикантные фотографии пользователя в одной из крупных социальных сетей. Пользователю предлагается ознакомиться с этими фотографиями, пройдя по ссылке, либо скачав вложенный в письмо архив.

Еще один популярный в последнее время прием с использованием вредоносных "фотографий" — это сообщение о штрафе за нарушение правил дорожного движения. К сообщению, под видом фотографии с камер видеонаблюдения, прилагается архив, содержащий вредоносную программу. Еще один вариант такого спама, — когда пользователю приходит письмо якобы от его друга, севшего за руль в нетрезвом виде, и получившего такую "открытку" по почте.

События месяца в спаме

Евро-спам

В число громких событий, использованных спамерами, разумеется, попал недавно закончившийся Чемпионат Европы по футболу. Этот праздник спорта длился весь июнь, а рассылки, эксплуатирующие его, продолжались с начала 2012 года.

Мы уже писали в блоге о "первых ласточках" соответствующей тематики. Напомним, что начался футбольный спам с предложений покупки билетов на это грандиозное событие. Когда же билеты закончились, спам наводнили предложения снять квартиру или комнату в отеле в одном из городов, принимающих Чемпионат Европы. Кроме того, в мае появились рассылки, предлагающие билеты на прямые трансляции матчей на больших экранах, установленных в разных городах Европы. Весной 2012 в почтовых потоках появились также нигерийские сообщения, сулящие выигрыш в тематической лотерее.

В июне спам-рассылки, посвященные Евро 2012, продолжались. Кроме уже упомянутых сообщений встречалась и реклама тематических футбольных сайтов, в том числе и сайтов, содержащих опцию футбол-онлайн.

МММ. Перезагрузка

В нашем блоге мы писали о том, что ярые сторонники МММ в конце июня разослали сообщения, рекламирующие новое детище Мавроди немецким пользователям. Этим подвиги МММовцев на поприще рассылки спама не ограничились. В июне мы наблюдали целую плеяду спам-рассылок соответствующей тематики. Очевидно, стимулом к активной рассылке мусорной почты послужил развал МММ 2011 и создание новой структуры — МММ 2012.

Все полученные нами в июне рассылки агитировали пользователей пополнить ряды вкладчиков МММ, в некоторых параллельно предлагались консультации по возникающим вопросам.

 

День независимости США

4 июля в США отмечается один из главных национальных праздников — День независимости. Как и любой другой западный праздник, он сопровождается шквалом рассылок, рекламирующих копии часов и различных аксессуаров известных марок, предлагаемых в качестве возможных подарков.

Кроме того, зафиксирован спам, призванный помочь американским гражданам выразить свои патриотический чувства — в сообщениях рекламировались флаги.

 

Статистический обзор

Страны — источники спама

Ниже представлен рейтинг стран — источников спама в русскоязычном сегменте интернета. ТОР 5 стран — источников спама, распространенного в русскоязычном сегменте интернета, не изменилась. Лидером осталась Индия, — более четверти всего спама распространенного в Рунете, происходило из этой азиатской страны (+7,1%). Далее следуют Вьетнам (+1,9%), Южная Корея (без изменений), Бразилия (-0,8%) и Россия (без изменений).

 
Страны — источники спама в русскоязычном сегменте интернета, июнь 2012 г. (TOP 20)

В целом, доли мусорной почты из стран, входящих в ТОР 20 источников спама в русскоязычном сегменте интернета, по сравнению с маем изменились мало — в основном, в пределах 1%.

Казахстан сместился с седьмого места на восьмое, несмотря на то что показатель этой страны изменился незначительно (-0,2%).

На одну строчку вниз переместился и мир овой лидер по распространению спама — Китай. Доля спама, распространенного в Рунете из этой страны, уменьшилась на 0,3%.

ТОР 3 стран — источников спама в общемировом масштабе — это Китай (23,4%), Индия (13,7%) и США (12,8%). Отметим, что бОльшая часть спама, распространенного из Китая, была получена пользователями в Азии и Западной Европе.

Вредоносные вложения в почте

В июне вредоносные файлы содержались в 3% всех электронных сообщений, что на 0,2% ниже показателя прошлого месяца.

Распределение срабатываний почтового антивируса по странам

 
Распределение срабатываний почтового антивируса по странам в июне 2012 г.

В рейтинге стран по срабатыванию почтового антивируса, как и предыдущие пять месяцев, лидируют США. В июне доля срабатываний Kaspersky Mail Antivirus на территории этой страны уменьшилась на 1,25%.

Вьетнам, располагавшийся в апреле на второй строчке рейтинга, а в мае на четвертой, в июне уступил еще две позиции, хотя доля срабатываний почтового антивируса на территории этой страны уменьшилась незначительно (-0,8%).

Германия, в мае неожиданно вырвавшаяся вперед в рейтинге и занявшая вторую строчку, не уступила своих позиций. 7,2% всех срабатываний почтового антивируса Касперского были зафиксированы на территории этой страны.

На третьей строчке — Великобритания, также сохранившая эту позицию с мая. На территории этого государства зафиксировано 6% всех срабатываний почтового антивируса.

Отметим, что доли срабатываний Kaspersky Mail Antivirus в Германии и Великобритании уменьшились на 2,43% и 2,95% соответственно. Изменения долей остальных стран рейтинга не превышают 2%.

ТОP 10 вредоносных программ, распространенных в почте

 
ТОP 10 вредоносных программ, распространенных в почте в июне 2012 г.

Доля детектирований Kaspersky Mail Antivirus, приходящихся на традиционного лидера нашего рейтинга — Trojan-Spy.HTML.Fraud.gen — по итогам июня превысила 10%. Таким образом можно смело говорить о том, что каждое десятое вредоносное сообщение было направлено на распространение фишинговых html-страниц, подделанных под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам.

На второй строчке рейтинга расположилась вредоносная программа-упаковщик Packed.Win32.Katusha.o. Упаковщики этого семейства часто попадают в наш рейтинг. Они используются для обхода детектирования антивирусными средствами других вредоносных программ и чаще всего содержат поддельные антивирусы.

В рейтинге наиболее часто детектируемых вредоносных программ по-прежнему наблюдается засилье почтовых червей, что, учитывая неконтролируемый механизм их самораспространения, неудивительно. Хотелось бы, однако, отметить, что наличие в спам-потоках писем, распространяющих таких "ветеранов" как Mydoom и NetSky, говорит о том, что множество компьютеров не имеет постоянной защиты, к тому же многие пользователи продолжают скачивать и запускать вложенные в письма вредоносные программы. С учетом того, что подавляющее большинство детектирований этих программ приходится на развивающиеся страны, нетрудно предположить, что пользователи этих стран менее осведомлены о правилах "гигиены" онлайн. Напомним, что упомянутые черви характеризуются двумя функциями — сбором почтовых адресов по зараженному компьютеру и рассылкой самих себя по почте. Их чуть более молодой "коллега", Bagle.gt, постоянно попадающий в наш рейтинг, также обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

Три программы — новичка нашего рейтинга относятся к семейству Trojan.Win32.Androm. Они заняли четвертое, пятое и восьмое места в десятке вредоносных программ, распространяемых через почту. Эти зловреды, установившись в систему пользователя, загружают из интернета другие вредоносные программы.

Фишинг

Доля фишинговых писем в почтовом потоке по сравнению с маем осталась неизменной и составила 0,01%.

 
Распределение TOP 100 организаций, атакованных фишерами, по категориям июнь 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

В прошлых месяцах мы предсказывали увеличение доли атак на социальные сети и онлайновые магазины на фоне уменьшения доли атак на финансовые организации, связывая это с началом школьных и студенческих каникул, а также с сезоном отпусков. В июне деловая активность заметно снижается, а у студентов и школьников появляется больше времени пользоваться интернетом, и они проводят его в социальных сетях, онлайн-играх, а также на сайтах интернет-магазинов, делая покупки.

В июне социальные сети, как и было предсказано, вернулись на первое место рейтинга организаций, наиболее интересных фишерам (25,2%). В фокусе внимания злоумышленников по-прежнему остается самая популярная соцсеть — Facebook.

Доля атак на интернет-магазины увеличилась на 2% еще в мае и в июне осталась на том же уровне. Доля атак на финансовые организации уменьшилась на 1%.

Хотелось бы отметить, что в июне среди наиболее часто атакованных IT-вендоров оказалась и наша компания — "Лаборатория Касперского". По всей видимости, злоумышленники пытались получить доступ к личным кабинетам наших пользователей, через которые они покупают наш продукт.

Тематические направления в спаме

 
Тематические категории спама в июне 2012 г.

Доля тематики "Образование" заметно уменьшилась (-5,1%) и составила менее четверти всех спам-сообщений в Рунете, вернувшись таким образом к апрельскому показателю.

Доля тематики "Услуги по ремонту и благоустройству" уменьшилась еще на 3%. В то же время доля рекламы недвижимости, занимающей второе место, несколько возросла (+0,8%).

Мы предполагали, что по итогам июня увеличатся показатели обеих этих тематик, связывая это с сезоном отпусков и жаркой порой, в которую традиционно активизируются рассылки, рекламирующие установку кондиционеров. Вероятно, пассивность распространителей рекламы бытовых услуг объясняется общим снижением бизнес-активности и не слишком жарким месяцем июнем, не способствующим большому спросу на кондиционеры.

Доля тематики "Отдых и путешествия" по итогам июня увеличилась (+1,7%), однако остается на низком уровне, нетипичном для сезона отпусков.

В целом, соотношение долей заказного (60%) и партнерского (30%) спама в Рунете практически не изменилось.

Заключение

Доля спама в почтовом трафике продолжает уменьшаться. Напомним, что по сравнению с маем она сократилась почти на 2 процента. Это снижение может носить сезонный характер — многие компьютеры, на которые установлены спам-боты, отключены, поскольку их владельцы отправились в отпуск. Однако не исключено, что мы имеем дело и с общей тенденцией к уменьшению количества спама, ведь в период спада бизнес-активности уменьшается и количество "чистых" писем. Дело в том, что если при уменьшении количества "чистых" писем количество спамерских сообщений остается неизменным, то доля спамерских писем к общему почтовому трафику увеличивается. Если же спамерских сообщений становится несколько меньше, то доля спама на фоне уменьшения количества чистой почты остается практически неизменной. Только очень значительное уменьшение количества мусорной почты может привести к заметному уменьшению ее доли в почтовом трафике.

Доля заказного спама в Рунете практически не уменьшилась по сравнению с прошлым месяцем, несмотря на то, что заметно сократилась доля спама образовательной тематики, обычно вносящего основной вклад в этот вид рассылок.

Мы хотим обратить внимание пользователей на то, что в период летних каникул основной целью фишеров становятся школьники и студенты, и соответственно сервисы, которыми они пользуются — социальные сети и интернет-магазины. Подростки должны быть осведомлены о том, какие опасности могут подстерегать их в сети и быть осторожными во время серфинга в интернете. Родителям вряд ли удастся уберечь от подрастающего поколения данные своих кредитных карточек. Необходимо, по крайней мере, убедиться, что подросток достаточно осведомлен о компьютерной безопасности, и, совершая покупки в интернет магазине по маминой или папиной карте, он не передаст ее данные злоумышленникам.

НОВОЕ НА САЙТЕ

26 июня 2017 года

Компания «Доктор Веб» информирует об обновлении модуля обороны от эксплойтов Dr.Web Shellguard (11.01.09.06190) так что модуля самозащиты Dr.Web SelfPROtect (11.01.10.06210) в продуктах Dr.Web 11.0 для Windows, Dr.Web KATANA 1.0, Dr.Web ... Антивирус Dr.Web

26 июня 2017 года

Компания «Доктор Веб» информирует о выпуске плагина Dr.Web версии 11.0 для интернет-шлюзов Kerio, предназначенного для работы на персональных компьютерах под управлением Linux.

Новая версия поддерживает Kerio ... Антивирус Dr.Web

23 июня 2017 года

Вирусные аналитики корпорации «Доктор Веб» заприметили в каталоге гугл Play крошку потенциально небезопасных приложений, коие несут угрозу первостепенным образом юзерам на территории Украины. Эти программы дозволяют объегорить... Горячая лента угроз и предупреждений о вирусной опасности!

Нас продолжительно и настойчиво уговаривали в том, словно облака — это накрепко и удобно, а Linux — это круто. Казалось, словно выбор стоит среди практичным и еще больше практичным интерфейсом. Но вдруг — «получилось сколько все... Горячая лента угроз и предупреждений о вирусной опасности!

19 июня 2017 года

Специалисты корпорации «Доктор Веб» заприметили Android-троянца, коим вирусописатели управляют с применением протокола Telegram. данная вредная программа ворует секретную информацию так будто изготавливает команды злоумышленников.Горячая лента угроз и предупреждений о вирусной опасности!

19 июня 2017 года

Специалисты фирме «Доктор Веб» нашли Android-троянца, коим вирусописатели управляют с применением протокола Telegram. данная вредная программа ворует секретную информацию так точно выполняет команды злоумышленников.Вирусные новости

15 июня 2017 года

Троянцы-майнеры – это вредные программы, использующие вычислительные ресурсы инфицированного устройства для добычи (майнинга) криптовалют. Вирусные аналитики корпорации «Доктор Веб» изучали того троянца, могущего заражать компы под управ... Горячая лента угроз и предупреждений о вирусной опасности!

15 июня 2017 года

Троянцы-майнеры – это вредные программы, использующие вычислительные ресурсы инфицированного устройства для добычи (майнинга) криптовалют. Вирусные аналитики фирмы «Доктор Веб» изучали того троянца, могущего заражать компы под управление... Вирусные новости

13 июня 2017 года

Компания «Доктор Веб» информирует об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino перед началом версии 11.0.2. Обновление связано с добавлением новеньких активных способностей так что исправлением выявленных ... Антивирус Dr.Web

13 июня 2017 года

Компания «Доктор Веб» информирует об обновлении модуля Lua-Updater (11.0.21.06080), антируткитного модуля Dr.Web Anti-rootkit API (11.1.11.201706060), управляющего обслуживания Dr.Web Control Service (11.0.13.06051 так что 11.0.12.06061)... Антивирус Dr.Web