Методы обнаружения вирусов

Спам в январе 2013

Январь в цифрах

  • Доля спама в почтовом трафике в январе уменьшилась на 7,7% и составила 58,3%.
  • Доля фишинговых писем в почтовом потоке по сравнению с декабрем уменьшилась вдвое и составила 0,003%.
  • Вредоносные вложения содержались в 3% писем — это на 0,15% меньше, чем в прошлом месяце.

Главные события месяца

Праздники

В январе интернет наводнили многочисленные рассылки, эксплуатирующие тему предстоящих праздников. Хотя в России день святого Валентина достаточно популярен, все же большинство рассылок на русском языке были посвящены более традиционным праздникам — 23 февраля и 8 марта.

Традиционно спамеры рассылали предложения о покупке цветов и различных «мужских» сувениров. Возросло количество писем с туристическими и развлекательными предложениями в честь предстоящих праздников.

 

 

В преддверии дня святого Валентина в спаме на английском языке были зарегистрированы ставшие уже традиционными для предпраздничных периодов рассылки «цветочных» партнерок.

 

Подарки с индивидуальной символикой и надписями, в последнее время активно предлагаемые в спам-рассылках, в январе были приурочены ко дню всех влюбленных.

 

Даже в рассылках с привычными предложениями кредитов, рекламой таблеток для похудения и реплик элитных товаров спамеры ставили «праздничные» темы писем в поле Subject.

 

From China with spam

Китай давно удерживает лидирующие позиции в списке стран — источников распространения спама. Спамовые письма из Китая с предложениями о бизнес-сотрудничестве заполонили интернет. Компании из Поднебесной продают игрушки, кепки с фонариками, компьютерную технику, предоставляют транспортные услуги. Характерной чертой таких писем является приветствие без личного обращения к адресату.

В январе мы получили подобное письмо из Китая, пришедшее на адрес «Лаборатории Касперского», с предложением о продаже компьютерной техники. Отправитель ссылается на страничку официального сайта компании, посвященную антивирусному продукту для системы Android. В письме приводятся все контактные данные отправителя.

 

Это письмо выглядит как хороший шаблон, отправитель только меняет адресата и ссылку на страницу официального сайта получателя.

Географическое распределение источников спама

По итогам января среди стран — источников спама, распространяемого по всему миру, по-прежнему лидируют Китай (28,8%) и США (19,3%). Доля спама, рассылаемого из Китая, уменьшилась на 5,4%, тогда как процент спама, распространяемого из США, увеличился на 3,7%. В целом из этих двух стран в январе было разослано 48,1% мирового спама.

 
Страны — источники спама в мире

В лидирующую тройку неожиданно вошла Южная Корея (+4,1%), Индия спустилась на 5-е место (-1,7%).

Россия в рейтинге поднялась на одну строчку вверх (+1,8%) и по итогам января заняла четвертое место.

Германия, занимавшая в декабре 7-ю строчку, в январе опустилась сразу на 17-е место с показателем 0,9%, хотя процент спама, распространенного из этой страны, изменился не столь значительно (-1,5%).

В Рунете произошли существенные изменения.

 
Страны — источники спама в Рунете

Лидером в январе стала Россия, ее показатель увеличился на 5,9% и составил 13,5%. Почти на столько же процентных пунктов уменьшился вклад в спам-потоки Индии (-5,8%), которая в результате спустилась на 4-е место.

Доля спама, попавшего в Рунет из США, увеличилась почти втрое (+7%), в результате эта страна поднялась с 8-го на 2-е место, потеснив с него Вьетнам (-4,4%).

Доля спама из Германии в Рунете, как и в мире, значительно уменьшилась (-5,6%), теперь страна занимает 14-ю строчку, выбыв из пятерки лидеров.

Среди регионов лидером по распространению спама остается Азия (50,9%). В первую тройку, как и в декабре, вошли Северная Америка и Западная Европа.

 
Регионы — источники спама

Вредоносные вложения в почте

Хотя доля спама в почтовом трафике в январе уменьшилась, количество рассылок с вредоносными вложениями остается весьма высоким. В январе вредоносные вложения содержались в 3% писем — это на 0,15% меньше, чем в прошлом месяце.

 
TOP 10 вредоносных программ, распространявшихся в почте

Среди зловредов, чаще всего распространяемых в почте, в январе на место лидера вернулся Trojan-Spy.HTML.Fraud.gen. Напомним, в прошлом году эта вредоносная программа долго держалась на первой строчке TOP 10, но в сентябре она резко сдала позиции и даже не вошла в первую десятку. Этот троянец занимается похищением данных онлайн-банкинга, которые киберпреступники используют для кражи денег с пользовательских счетов.

В TOP 10 есть еще две вредоносные программы, нацеленные на кражу пользовательских паролей. Они относятся к семейству Tepfer и находятся на девятом и десятом местах чарта.

Второе и третье места заняли почтовые черви. Mydoom просто распространяет себя по контактам пользователей и предназначен для сбора почтовых адресов, тогда как Bagle помимо этого может подгружать на компьютер пользователя другие вредоносные программы.

4-е, 5-е и 7-е места занимают вредоносные программы семейства Andromeda. Их цель — закачать на компьютер пользователя другие вредоносные программы, после чего оригинальный файл удаляется.

 
Распределение срабатываний почтового антивируса по странам

Что касается стран, куда направлялись письма с вредоносными вложениями, то в целом существенных изменений в распределении вредоносных рассылок по странам не наблюдается.

На первом месте по-прежнему США. Это неудивительно, ведь США лидирует и по количеству интернет-пользователей. К тому же многие вредоносные программы нацелены на кражу паролей от онлайн-банкинга, который в США весьма развит и популярен.

Продолжаются рассылки вредоносных писем, подделанных под уведомления различных сервисов. В январе под удар спамеров вновь попал популярный сервис по бронированию авиабилетов Lufthansa.com. В фальшивом письме, якобы пришедшем с адреса online@booking-lufthansa.com, содержался вредоносный zip-архив с файлом Flugscheindetails.PDF.exe, детектируемый «Лабораторией Касперского» как Trojan-Downloader.Win32.Andromeda.ply. Отметим, что в январе троянец занял 12-е место в топе вредоносных программ, распространяемых в почте.

 

Поддельными сообщениями сервисов злоумышленники не ограничиваются. Так, одно из вредоносных писем содержало якобы подписанный перечень заказанных товаров, а на самом деле это был вредоносный zip-архив с файлом January Order.scr. «Лаборатория Каперского» детектирует этот файл как Trojan-Spy.Win32.Zbot.hviq.

 

Фишинг

Доля фишинговых писем в почтовом потоке снизилась вдвое и составила 0,003%.

 
Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента Антифишинг на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, будь то ссылка в спамовом письме или в интернете.

За прошедший месяц произошли существенные изменения в лидирующей пятерке категорий организаций, атакованных фишерами.

Социальные сети сохранили лидирующую позицию по количеству фишинговых атак, при этом их показатель вырос на 9,71% и составил 39,62%.

Доля фишинговых атак на поисковики (+3,6%) и IT-вендоров (+1,2%) также увеличилась. Поисковики занимают по итогам января вторую строчку рейтинга.

Существенно уменьшилась доля атак на онлайн-магазины и интернет-аукционы (-5,8%), финансовые и платежные организации (-7%).

Фишеры продолжают использовать подделки под рассылки от популярных сервисов, которые, видимо, оказались достаточно эффективными. Осенью мы писали о поддельных сообщениях от booking.com с вредоносными вложениями. В январе была зафиксирована новая волна фишинговых рассылок от имени известного сайта по бронированию отелей. На этот раз фишеры пытались выманить у пользователей данные кредитной карты.

В письме сообщалось, что введенные данные карты были отклонены. Если пользователь не введет правильные данные, то, согласно условиям резервирования, указанным на сайте, будет снята комиссия за отмену бронирования или предоплата. Фишеры прибегают к старому, но действенному способу, запугивая своих потенциальных жертв. Казалось бы, постоянные клиенты сайта booking.com сразу должны понять, что это блеф, однако в отношении многих из них этот способ оказывается эффективным.

 

Внимательный пользователь мог обратить внимание на то, что адрес отправителя этого письма никак не связан с названием компании, от имени которой было послано сообщение.

Банковский фишинг по-прежнему очень распространен в интернете. Традиционное сообщение о превышении количества попыток входа в аккаунт и необходимости установки дополнительной защиты активно используется спамерами для направления пользователей на фишинговые страницы и кражи номеров и паролей кредитных карт клиентов. Вот одно из таких писем:

 

В данном письме, в отличие от приведенного выше письма от имени booking.com, в поле From копируется реальный адрес банка <Informationen@postbank.de>, что может помочь злоумышленникам ввести получателя письма в заблуждение.

Заключение

В январе общая доля спама, как и прогнозировалось, уменьшилась, что объясняется новогодним затишьем в первые дни января.

Уже в середине месяца появились рассылки, эксплуатирующие предстоящие праздники 8 марта, 23 февраля и день святого Валентина. Эти рассылки не так многочисленны, как предновогодние, но не уступают по разнообразию предлагаемых товаров и услуг.

Ежегодные спамерские «валентинки» — письма с вредоносными вложениями, замаскированные под открытки к празднику, — в январе в спам-трафике отсутствовали: традиционно пик рассылок вредоносных «валентинок» приходится на начало февраля.

Сохраняется тенденция к снижению в спам-потоках количества фишинговых и вредоносных писем, однако популярность сервисов по бронированию билетов и отелей по-прежнему активно используется злоумышленниками для кражи информации о платежных картах получателей.

НОВОЕ НА САЙТЕ

28 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении обслуживания перехвата трафика Dr.Web Net filtering Service (11.1.11.04270) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленной ошибки.

В осв... Антивирус Dr.Web

28 апреля 2017 года

В апреле случилось стократ событий, связанных с информационной безопасностью. В начале месяца киберпреступники организовали вредоносную рассылку, с поддержкой коей разносился многокомпонентный троянец. Он специализирован для кражи с инфицированного п... Вирусные новости

28 апреля 2017 года

В апреле был найден Android-троянец, предназначенный для кибершпионажа. тоже в прошедшем месяце в каталоге гугл Play было выявлено чуточку банкеров, созданных для похищения секретной инфы так что кражи средств со счетов. один-одинехонек троянец бы... Вирусные новости

26 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении агента SpIDer Agent for Windows (11.0.12.04210), управляющего обслуживания Dr.Web Control Service (11.0.12.03240), сканера Dr.Web Scanner SE (11.0.8.04130), обслуживания перехвата трафика... Антивирус Dr.Web

20 апреля 2017 года

Компания «Доктор Веб» предостерегает об обнаружении новейшей уязвимости в пользующемся популярностью офисном пакете Microsoft Office. Она дозволяет злодеям загружать на атакуемый комп исполняемые файлы.

Уязви... Горячая лента угроз и предупреждений о вирусной опасности!

20 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении ингридиента Dr.Web Enterprise Agent for Windows setup (11.0.3.04181) в продукте Dr.Web Desktop Security Suite с способностью централизованного управления (группа продуктов Dr.Web Enterpri... Антивирус Dr.Web

20 апреля 2017 года

Компания «Доктор Веб» предостерегает об обнаружении новейшей уязвимости в известном офисном пакете Microsoft Office. Она дает возможность злодеям загружать на атакуемый комп исполняемые файлы.

Уязвимость выяв... Вирусные новости

20 апреля 2017 года

Специалисты корпорации «Доктор Веб» изучали троянца Trojan.DownLoader23.60762, могущего грабить логины так что пароли... Горячая лента угроз и предупреждений о вирусной опасности!

20 апреля 2017 года

Специалисты корпорации «Доктор Веб» обследовали троянца Trojan.DownLoader23.60762, могущего тянуть логины так что пар... Вирусные новости

19 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении модуля самозащиты Dr.Web SelfPROtect (11.01.09.04140) так ровно Thunderstorm Cloud Client SDK (11.0.1.09294) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленн... Антивирус Dr.Web