Методы обнаружения вирусов

Спам в июне 2012 года

Июнь в цифрах

  • Доля спама в почтовом трафике по сравнению с маем уменьшилась на 1,9% и составила в среднем 71,9%.
  • Доля фишинговых писем в почтовом потоке по сравнению с маем осталась неизменной и составила 0,01%.
  • В июне вредоносные файлы содержались в 3% всех электронных сообщений, что на 0,2% ниже показателя прошлого месяца.

Главные темы спама

Новое во вредоносном спаме

В своих отчетах мы часто обращаем внимание пользователей на новые приемы спамеров, распространяющих в своих рассылках вредоносный код. Мы уже подчеркивали, что именно вредоносный спам является самым опасным и наиболее динамичным видом спама. Злоумышленники часто применяют новые приемы социальной инженерии в таких рассылках. В июне арсенал спамеров вновь пополнился, и мы спешим рассказать о "новинках" нашим читателям.

В отпуск со зловредом

Весной мы прогнозировали, что в начале сезона отпусков станет больше спама, содержащего рекламу отдыха и путешествий. Обычно такие рассылки активируются в начале лета. К нашему удивлению, на сей раз этого не произошло. Однако не преминули воспользоваться горячим сезоном распространители вредоносного кода.

В марте мы уже писали о рассылке, подделанной под онлайн-регистрацию на рейс известной американской авиакомпании. В июне стали активно распространяться сообщения, подделанные под подтверждение бронирования отеля. Вредоносное вложение выдавалось за подробности брони.

 

Таким образом, в спаме в данный момент распространяется целый вредоносный "турпакет". И хотя данная рассылка выполнена довольно топорно, в отпускной сезон многие могут стать жертвами злоумышленников. Мы рекомендуем пользователям быть внимательными при онлайн-бронировании путешествий. Следует помнить, что ни один крупный сервис не присылает подтверждений в zip-архивах. Кроме того, если вы сомневаетесь в подлинности полученного сообщения, крупным компаниям всегда можно послать письмо, воспользовавшись формой обратной связи.

Фотография зловреда

Не так давно во вредоносном спаме был популярен следующий прием социальной инженерии: зловред распространялся в письме под видом фотографий желающей познакомиться девушки. Мы уже отмечали, что прием этот отошел на второй план и используется сейчас все реже. Однако привычка выдавать вложенную в письмо вредоносную программу за фотографию у спамеров сохранилась. Например, в июне мы встретили рассылку, в которой пользователю угрожают судебным разбирательством за то, что он выложил в сеть фотографии без разрешения их владельца. Фотографии, якобы, приложены к письму в zip-архиве.

 

Популярность социальных сетей привела к тому, что во вредоносном спаме встречается и другой вид поддельных фотографий: в тексте сообщения говорится о том, что кто-то выложил пикантные фотографии пользователя в одной из крупных социальных сетей. Пользователю предлагается ознакомиться с этими фотографиями, пройдя по ссылке, либо скачав вложенный в письмо архив.

Еще один популярный в последнее время прием с использованием вредоносных "фотографий" — это сообщение о штрафе за нарушение правил дорожного движения. К сообщению, под видом фотографии с камер видеонаблюдения, прилагается архив, содержащий вредоносную программу. Еще один вариант такого спама, — когда пользователю приходит письмо якобы от его друга, севшего за руль в нетрезвом виде, и получившего такую "открытку" по почте.

События месяца в спаме

Евро-спам

В число громких событий, использованных спамерами, разумеется, попал недавно закончившийся Чемпионат Европы по футболу. Этот праздник спорта длился весь июнь, а рассылки, эксплуатирующие его, продолжались с начала 2012 года.

Мы уже писали в блоге о "первых ласточках" соответствующей тематики. Напомним, что начался футбольный спам с предложений покупки билетов на это грандиозное событие. Когда же билеты закончились, спам наводнили предложения снять квартиру или комнату в отеле в одном из городов, принимающих Чемпионат Европы. Кроме того, в мае появились рассылки, предлагающие билеты на прямые трансляции матчей на больших экранах, установленных в разных городах Европы. Весной 2012 в почтовых потоках появились также нигерийские сообщения, сулящие выигрыш в тематической лотерее.

В июне спам-рассылки, посвященные Евро 2012, продолжались. Кроме уже упомянутых сообщений встречалась и реклама тематических футбольных сайтов, в том числе и сайтов, содержащих опцию футбол-онлайн.

МММ. Перезагрузка

В нашем блоге мы писали о том, что ярые сторонники МММ в конце июня разослали сообщения, рекламирующие новое детище Мавроди немецким пользователям. Этим подвиги МММовцев на поприще рассылки спама не ограничились. В июне мы наблюдали целую плеяду спам-рассылок соответствующей тематики. Очевидно, стимулом к активной рассылке мусорной почты послужил развал МММ 2011 и создание новой структуры — МММ 2012.

Все полученные нами в июне рассылки агитировали пользователей пополнить ряды вкладчиков МММ, в некоторых параллельно предлагались консультации по возникающим вопросам.

 

День независимости США

4 июля в США отмечается один из главных национальных праздников — День независимости. Как и любой другой западный праздник, он сопровождается шквалом рассылок, рекламирующих копии часов и различных аксессуаров известных марок, предлагаемых в качестве возможных подарков.

Кроме того, зафиксирован спам, призванный помочь американским гражданам выразить свои патриотический чувства — в сообщениях рекламировались флаги.

 

Статистический обзор

Страны — источники спама

Ниже представлен рейтинг стран — источников спама в русскоязычном сегменте интернета. ТОР 5 стран — источников спама, распространенного в русскоязычном сегменте интернета, не изменилась. Лидером осталась Индия, — более четверти всего спама распространенного в Рунете, происходило из этой азиатской страны (+7,1%). Далее следуют Вьетнам (+1,9%), Южная Корея (без изменений), Бразилия (-0,8%) и Россия (без изменений).

 
Страны — источники спама в русскоязычном сегменте интернета, июнь 2012 г. (TOP 20)

В целом, доли мусорной почты из стран, входящих в ТОР 20 источников спама в русскоязычном сегменте интернета, по сравнению с маем изменились мало — в основном, в пределах 1%.

Казахстан сместился с седьмого места на восьмое, несмотря на то что показатель этой страны изменился незначительно (-0,2%).

На одну строчку вниз переместился и мир овой лидер по распространению спама — Китай. Доля спама, распространенного в Рунете из этой страны, уменьшилась на 0,3%.

ТОР 3 стран — источников спама в общемировом масштабе — это Китай (23,4%), Индия (13,7%) и США (12,8%). Отметим, что бОльшая часть спама, распространенного из Китая, была получена пользователями в Азии и Западной Европе.

Вредоносные вложения в почте

В июне вредоносные файлы содержались в 3% всех электронных сообщений, что на 0,2% ниже показателя прошлого месяца.

Распределение срабатываний почтового антивируса по странам

 
Распределение срабатываний почтового антивируса по странам в июне 2012 г.

В рейтинге стран по срабатыванию почтового антивируса, как и предыдущие пять месяцев, лидируют США. В июне доля срабатываний Kaspersky Mail Antivirus на территории этой страны уменьшилась на 1,25%.

Вьетнам, располагавшийся в апреле на второй строчке рейтинга, а в мае на четвертой, в июне уступил еще две позиции, хотя доля срабатываний почтового антивируса на территории этой страны уменьшилась незначительно (-0,8%).

Германия, в мае неожиданно вырвавшаяся вперед в рейтинге и занявшая вторую строчку, не уступила своих позиций. 7,2% всех срабатываний почтового антивируса Касперского были зафиксированы на территории этой страны.

На третьей строчке — Великобритания, также сохранившая эту позицию с мая. На территории этого государства зафиксировано 6% всех срабатываний почтового антивируса.

Отметим, что доли срабатываний Kaspersky Mail Antivirus в Германии и Великобритании уменьшились на 2,43% и 2,95% соответственно. Изменения долей остальных стран рейтинга не превышают 2%.

ТОP 10 вредоносных программ, распространенных в почте

 
ТОP 10 вредоносных программ, распространенных в почте в июне 2012 г.

Доля детектирований Kaspersky Mail Antivirus, приходящихся на традиционного лидера нашего рейтинга — Trojan-Spy.HTML.Fraud.gen — по итогам июня превысила 10%. Таким образом можно смело говорить о том, что каждое десятое вредоносное сообщение было направлено на распространение фишинговых html-страниц, подделанных под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам.

На второй строчке рейтинга расположилась вредоносная программа-упаковщик Packed.Win32.Katusha.o. Упаковщики этого семейства часто попадают в наш рейтинг. Они используются для обхода детектирования антивирусными средствами других вредоносных программ и чаще всего содержат поддельные антивирусы.

В рейтинге наиболее часто детектируемых вредоносных программ по-прежнему наблюдается засилье почтовых червей, что, учитывая неконтролируемый механизм их самораспространения, неудивительно. Хотелось бы, однако, отметить, что наличие в спам-потоках писем, распространяющих таких "ветеранов" как Mydoom и NetSky, говорит о том, что множество компьютеров не имеет постоянной защиты, к тому же многие пользователи продолжают скачивать и запускать вложенные в письма вредоносные программы. С учетом того, что подавляющее большинство детектирований этих программ приходится на развивающиеся страны, нетрудно предположить, что пользователи этих стран менее осведомлены о правилах "гигиены" онлайн. Напомним, что упомянутые черви характеризуются двумя функциями — сбором почтовых адресов по зараженному компьютеру и рассылкой самих себя по почте. Их чуть более молодой "коллега", Bagle.gt, постоянно попадающий в наш рейтинг, также обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

Три программы — новичка нашего рейтинга относятся к семейству Trojan.Win32.Androm. Они заняли четвертое, пятое и восьмое места в десятке вредоносных программ, распространяемых через почту. Эти зловреды, установившись в систему пользователя, загружают из интернета другие вредоносные программы.

Фишинг

Доля фишинговых писем в почтовом потоке по сравнению с маем осталась неизменной и составила 0,01%.

 
Распределение TOP 100 организаций, атакованных фишерами, по категориям июнь 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

В прошлых месяцах мы предсказывали увеличение доли атак на социальные сети и онлайновые магазины на фоне уменьшения доли атак на финансовые организации, связывая это с началом школьных и студенческих каникул, а также с сезоном отпусков. В июне деловая активность заметно снижается, а у студентов и школьников появляется больше времени пользоваться интернетом, и они проводят его в социальных сетях, онлайн-играх, а также на сайтах интернет-магазинов, делая покупки.

В июне социальные сети, как и было предсказано, вернулись на первое место рейтинга организаций, наиболее интересных фишерам (25,2%). В фокусе внимания злоумышленников по-прежнему остается самая популярная соцсеть — Facebook.

Доля атак на интернет-магазины увеличилась на 2% еще в мае и в июне осталась на том же уровне. Доля атак на финансовые организации уменьшилась на 1%.

Хотелось бы отметить, что в июне среди наиболее часто атакованных IT-вендоров оказалась и наша компания — "Лаборатория Касперского". По всей видимости, злоумышленники пытались получить доступ к личным кабинетам наших пользователей, через которые они покупают наш продукт.

Тематические направления в спаме

 
Тематические категории спама в июне 2012 г.

Доля тематики "Образование" заметно уменьшилась (-5,1%) и составила менее четверти всех спам-сообщений в Рунете, вернувшись таким образом к апрельскому показателю.

Доля тематики "Услуги по ремонту и благоустройству" уменьшилась еще на 3%. В то же время доля рекламы недвижимости, занимающей второе место, несколько возросла (+0,8%).

Мы предполагали, что по итогам июня увеличатся показатели обеих этих тематик, связывая это с сезоном отпусков и жаркой порой, в которую традиционно активизируются рассылки, рекламирующие установку кондиционеров. Вероятно, пассивность распространителей рекламы бытовых услуг объясняется общим снижением бизнес-активности и не слишком жарким месяцем июнем, не способствующим большому спросу на кондиционеры.

Доля тематики "Отдых и путешествия" по итогам июня увеличилась (+1,7%), однако остается на низком уровне, нетипичном для сезона отпусков.

В целом, соотношение долей заказного (60%) и партнерского (30%) спама в Рунете практически не изменилось.

Заключение

Доля спама в почтовом трафике продолжает уменьшаться. Напомним, что по сравнению с маем она сократилась почти на 2 процента. Это снижение может носить сезонный характер — многие компьютеры, на которые установлены спам-боты, отключены, поскольку их владельцы отправились в отпуск. Однако не исключено, что мы имеем дело и с общей тенденцией к уменьшению количества спама, ведь в период спада бизнес-активности уменьшается и количество "чистых" писем. Дело в том, что если при уменьшении количества "чистых" писем количество спамерских сообщений остается неизменным, то доля спамерских писем к общему почтовому трафику увеличивается. Если же спамерских сообщений становится несколько меньше, то доля спама на фоне уменьшения количества чистой почты остается практически неизменной. Только очень значительное уменьшение количества мусорной почты может привести к заметному уменьшению ее доли в почтовом трафике.

Доля заказного спама в Рунете практически не уменьшилась по сравнению с прошлым месяцем, несмотря на то, что заметно сократилась доля спама образовательной тематики, обычно вносящего основной вклад в этот вид рассылок.

Мы хотим обратить внимание пользователей на то, что в период летних каникул основной целью фишеров становятся школьники и студенты, и соответственно сервисы, которыми они пользуются — социальные сети и интернет-магазины. Подростки должны быть осведомлены о том, какие опасности могут подстерегать их в сети и быть осторожными во время серфинга в интернете. Родителям вряд ли удастся уберечь от подрастающего поколения данные своих кредитных карточек. Необходимо, по крайней мере, убедиться, что подросток достаточно осведомлен о компьютерной безопасности, и, совершая покупки в интернет магазине по маминой или папиной карте, он не передаст ее данные злоумышленникам.

НОВОЕ НА САЙТЕ

15 февраля 2018 лета

Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Security Space для Android перед началом версии 12.1.1. Обновление связано с исправлением выявленных ошибок.

В рамках обновления были устр... Антивирус Dr.Web

8 февраля 2018 года

Информация о распространении троянца Android.CoinMine.15, знаменитого тоже под наименованием ADB.miner, возникла капельку дней вспять в бл... Горячая лента угроз и предупреждений о вирусной опасности!

8 февраля 2018 года

Информация о распространении троянца Android.CoinMine.15, популярного а уж уж а уж тоже под наименованием ADB.miner, возникла чуть-чуть дн... Вирусные новости

5 февраля 2018 года

Троянцы-энкодеры, шифрующие хранящиеся на зараженном устройстве файлы так будто требующие выкуп за них расшифровку, как так будто раньше воображают обстоятельную опасность. фирма «Доктор Веб» предостерегает юзеров о распространении еще... Горячая лента угроз и предупреждений о вирусной опасности!

5 февраля 2018 года

Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Security Space для BlackBerry перед началом версии 12.1.0. Обновление связано с добавлением новеньких активных полномочиях так что исправлением выявленных ошибо... Антивирус Dr.Web

5 февраля 2018 года

Компания «Доктор Веб» информирует об обновлении подключаемого модуля Dr.Web Link Checker для браузеров гугл Chrome, Safari так что Opera перед началом версии 3.9.14. Обновление связано с исправлением выявленных ошибок.Антивирус Dr.Web

5 февраля 2018 года

Троянцы-энкодеры, шифрующие хранящиеся на зараженном устройстве файлы так чисто требующие выкуп за них расшифровку, как так чисто раньше воображают нешуточную опасность. фирма «Доктор Веб» предостерегает юзеров о распространении еще од... Вирусные новости

1 февраля 2018 возраст

Компания «Доктор Веб» информирует об обновлении модуля drweb-cloudd (11.0.6-1801291925 для FreeBSD так что 11.0.6-1801291438 для Linux/Solaris) в составе продуктов Антивирус Dr.Web для Linux, Антивирус Dr.Web для почтовых серверов ... Антивирус Dr.Web

1 февраля 2018 годы

Компания «Доктор Веб» информирует о выпуске Dr.Web версии 11.0.5 для Microsoft Exchange Server. Обновление связано с внесением конфигураций следом выпуска январского обновления Windows KB4056893.

Обновлени... Антивирус Dr.Web

1 февраля 2018 года

Компания «Доктор Веб» информирует о выпуске Dr.Web Light 11.0.3 для Android. В освеженном продукте была исправлена выявленная оплошка так что изготовлены внутридомовые изменения.

В рамках обновления была устр... Антивирус Dr.Web