Методы обнаружения вирусов

Спам в марте 2013

Март в цифрах

  • Доля спама в почтовом трафике в марте снизилась на 1% и составила 70,1%.
  • Доля фишинговых писем в почтовом потоке по сравнению с февралем увеличилась вдвое и составила 0,006%
  • Вредоносные вложения содержались в 4% всех электронных сообщений, что на 1,2% выше показателя прошлого месяца

Особенности месяца

В марте количество спамерских писем, эксплуатирующих тему праздников, пошло на спад. Однако в спам-трафике Рунета мы все еще фиксировали рассылки, посвященные Масленице и Международному женскому дню (8 марта).

Праздничный спам

В приуроченном к Масленице спаме традиционно рассылались предложения совершить праздничный тур или тематическую экскурсию. Кроме того, нами была зафиксирована рассылка с предложением услуг по созданию сайтов, оформленная в теме этого праздника.

 

В марте количество спам-сообщений, использующих тему Международного женского дня, сократилось, однако в начале месяца мы зафиксировали несколько рассылок с традиционной для этого праздника рекламой цветочных букетов и именных сувениров.

 

Кроме того, мы обнаружили несколько англоязычных спам-рассылок, приуроченных к празднованию Пасхи. В России в этом году Пасха приходится на 5 мая, и мы ожидаем, что русскоязычный «пасхальный» спам появится в апреле.

«Нигерийцы» и события в Венесуэле

Одним из главных политических событий марта стала смерть президента Венесуэлы. Уго Чавес 14 лет бессменно руководил страной и был весьма одиозной политической фигурой. Шумиха вокруг его смерти не утихает. Уже в начале марта нами были зарегистрированы так называемые «нигерийские письма» на английском и немецком языках, эксплуатирующие интерес пользователей к событиям в Венесуэле.

Одно из мошеннических писем было разослано от имени начальника морского порта Венесуэлы, который якобы просил помочь ему сохранить деньги, полученные от продажи дизельного топлива Южному Судану. При этом в первом же письме мошенники не обещают адресату конкретную сумму за помощь, их цель на начальном этапе – заинтересовать получателя и заставить его ответить на письмо. И только в ходе дальнейшей переписки ему предлагается денежное вознаграждение.

 

В другой рассылке распространялось письмо якобы от начальника службы безопасности и по совместительству близкого друга Уго Чавеса. Как всегда, «нигерийские» мошенники не ограничивают полет своей фантазии: «друг» имеет доступ к деньгам, которые покойный президент хранил на банковском счету своей тайной возлюбленной, и теперь готов предложить получателю письма 25% от общей суммы за помощь в выводе средств.

В обоих случаях главной целью мошенников было вовлечь пользователя в переписку, чтобы ввести его в заблуждение и выманить у него деньги, например под предлогом оплаты каких-либо услуг, способствующих получению им мифических миллионов.

Географическое распределение источников спама

По итогам марта 2013 года среди стран — источников спама, распространяемого по всему миру, на первое место вновь вышел Китай (25,8%). Доля спама, рассылаемого из США, незначительно увеличилась (17,3%), и теперь страна занимает второе место в общем зачете. В целом из этих двух стран в марте было разослано около 43% мирового спама.

 
Страны — источники спама в мире

Третье место, как и в феврале, занимает Южная Корея (9,8%), доля которой в марте уменьшилась на 3,8%. Сохранили свои места в первой пятерке Тайвань (5%) и Индия (3,4%). А вот Россия (2,4%) потеряла почти 1% и передвинулась в рейтинге с 7-го на 10-е место. Германия (2,7%), занимавшая ранее 10-ю строчку, по итогам марта прибавила около 1% и заняла 8-е место.

Ситуация со спам-потоками в Рунете по итогам марта выглядит следующим образом:

 
Страны – источники спама в Рунете

Индия потеряла лидирующую позицию среди стран – источников спама в Рунете и заняла второе место в рейтинге. Показатель этой страны уменьшился почти вдвое и составил 9,1%. На освободившееся 1-е место с 3-ей позиции поднялся Тайвань – его результат 10,7%, что на 1,6% больше по сравнению с февралем. На третье место вышел Вьетнам (8,1%), несмотря на то что его показатель снизился на 0,3%.

Доля спама из Германии (7,9%) в Рунете увеличилась на 2,3%, и в результате страна заняла 4-е место в рейтинге. Вклад США в спам-потоки Рунета увеличился на 3%, и страна поднялась с 7-го на 5-е место с показателем 5,9%. На 6-е место опустилась Италия (5,6%), которая в феврале занимала вторую строчку рейтинга, ее показатель уменьшился более чем вдвое.

Россия (4,7%) в марте потеряла около 1% и спустилась на 8-ю строчку.

 
Регионы – источники спама

Среди регионов лидером по распространению спама остается Азия (54%). В первую тройку, как и в феврале, вошли Северная Америка (17,8%) и Восточная Европа (10,2%). За ними с небольшим отрывом следует Западная Европа (9,4%).

Вредоносные вложения в спаме

В марте 2013 года доля писем с вредоносными вложениями составила 4% от мирового почтового трафика. Это на 1,2% пункта больше, чем в прошлом месяце.

 
TOP 10 вредоносных программ, распространявшихся по электронной почте

На первом месте по-прежнему находится вредоносная программа Trojan-Spy.html.Fraud.gen (6,9%), однако ее доля по сравнению с прошлым месяцем уменьшилась на 4,1% пункта. Напомним, что этот троянец представляет собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Если пользователь вводит свои данные в предложенные поля и нажимает на кнопку отправления, его личная информация попадает к мошенникам.

На второе место вышел Trojan.win32.Bublik.aknd. Эта вредоносная программа собирает с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Кроме того, она может просматривать формы в браузерах Mozilla Firefox и Google Chrome в поисках сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.

На третьем месте находится вредоносная программа Email-Worm.Win32.Bagle.gt. Почтовые черви часто попадают в TOP-10, так как их основной функционал – рассылать свои копии по контактам в адресной книге пользователя. Черви семейства Bagle могут связываться с командным центром и устанавливать на зараженный компьютер другие вредоносные программы.

Помимо прочего, в первую десятку в этом месяце вошли вредоносные программы семейства Trojan-Ransom, вымогающие у пользователей деньги за доступ к операционной системе или программам (обычно требуется отправить платное SMS). Обнаруженные нами модификации троянской программы Trojan-Ransom.Win32.Blocker блокируют работу операционной системы и вешают на Рабочем столе баннер с условиями разблокировки. Мы хотим напомнить читателям, что не следует идти на поводу у киберпреступников и платить злоумышленникам деньги. Чтобы разблокировать компьютер, воспользуйтесь нашим бесплатным сервисом: sms.kaspersky.ru.

Распределение срабатываний почтового антивируса по странам

 
Распределение срабатываний почтового антивируса по странам

Внезапно поднявшаяся в феврале на 1-е место Италия (6,6%) вновь уступила лидирующую позицию США (13,6%). Интересно, что в марте пользователи из США получали, помимо ворующих пароли Trojan-Spy.html.Fraud.gen и Trojan.win32.Bublik.aknd, множество других нацеленных на пароли троянцев семейства Trojan-PSW.Win32.Tepfer. На 2-м месте по-прежнему Германия (11,1%), за месяц ее доля практически не изменилась. А вот на 3-е место с 5-го поднялась Австралия (7%) – ее доля увеличилась на 1,3%. В целом распределение срабатываний по странам поменялось незначительно.

После некоторого затишья злоумышленники, распространяющие вредоносные программы по электронной почте, возобновили рассылку писем – подделок под уведомление о бронировании отелей и авиабилетов. В частности, в марте нами была зарегистрирована новая рассылка подделок под уведомление о бронировании номера в Atlantic Hotel. В письме, написанном от лица менеджера отеля, злоумышленники благодарили получателя за бронирование и сообщали, что ожидают его приезда в отель 20 марта 2013 года.

 

Предполагается, что заинтригованный получатель письма откроет приложенный к письму архив, якобы содержащий подтверждение бронирования номера, и запустит исполняемый файл AtlanticHotel Booking Confirmation.doc.exe. В результате произойдет заражение компьютера вредоносной программой, детектируемой «Лабораторией Касперского» как Trojan-Ransom.Win32.Blocker.awbi. Данный троянец широко используется для вымогания денежных средств или финансовой информации.

Также мошенники рассылали письма с вредоносными вложениями под видом уведомления о бронировании авиабилетов. Так, мы обнаружили письма-подделки, рассылаемые от имени онлайн-сервиса Delta.com. В письме злоумышленники благодарили за выбор сервиса бронирования авиабилетов и сообщали, что требования к багажу и порядок регистрации могут различаться в зависимости от аэропорта и авиаперевозчика, поэтому получатель должен открыть приложенный к письму электронный билет и внимательно прочитать его.

 

На самом деле во вложении находился исполняемый файл eTicket and Receipt.pdf.exe, детектируемый «Лабораторией Касперского» как Backdoor.Win32.ZAccess.bmdt.Это вредоносное ПО используется злоумышленниками для получения удаленного доступа к компьютеру жертвы с целью кражи персональной информации, включения компьютера в ботнет и т.д.

Помимо подделок под уведомление о бронировании номера отеля или авиабилетов в марте для обмана пользователей спамеры использовали имя австралийской телекоммуникационной компании TPG Telecom. В поддельном письме сообщалось, что баланс мобильного телефона получателя был меньше 5 долларов, но компания предоставила кредит, и теперь баланс телефона составляет 20 долларов. А более подробную информацию о состоянии счета получатель письма мог узнать, открыв вложенный файл.

 

Во вложенном zip-архиве содержался файл TGP-Account-Details.doc.exe, детектируемый «Лабораторией Касперского» как троянская программа-шпион Trojan-Spy.Win32.Zbot.jqye. Это одна из разновидностей знаменитого трояца ZeuS, предназначенная для похищения конфиденциальной информации пользователя.

Фишинг

В марте доля фишинговых писем в глобальном почтовом потоке увеличилась вдвое и составила 0,006%.

 
Распределение TOP 100 организаций, атакованных фишерами, по категориям*

*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

По итогам марта социальные сети продолжают удерживать лидирующую позицию по количеству фишинговых атак, их показатель уменьшился на 4,3% и составил 34,5%. В первую тройку также вошли финансовые и платежные организации (17,4%) и поисковые системы (14,9%), которые занимают вторую и третью строчку соответственно.

Четвертую позицию сохранили ИТ-вендоры (9,9%). Замыкают первую пятерку телефонные и интернет провайдеры (8,9%), ранее занимавшие 7-е место, — их показатель увеличился на 3,5%.

В марте нами было получено любопытное фишинговое письмо на китайском языке, якобы отправленное известным китайским сетевым изданием sina.com.cn. В письме фишеры прибегли к популярной легенде о том, что аккаунт пользователя на сайте издания плохо защищен и для обеспечения безопасности получателю письма необходимо перейти по ссылке и обновить данные аккаунта. Кликнув по указанной в письме мошеннической ссылке, жертва попадает на поддельную страницу, где ее просят ввести логин и пароль для доступа к аккаунту. В результате в руки мошенников попадают персональные данные пользователя, а украденный аккаунт в дальнейшем может быть использован для рассылки спама от имени жертвы.

 

Интересно, что в письме мошенники предлагают пользователю написать в службу поддержки или позвонить по указанному телефону в случае возникновения каких-либо сомнений или вопросов. Данный прием используется для убеждения получателя в легитимности письма.

Заключение

В марте общая доля спама незначительно уменьшилась, а спамеры продолжили эксплуатировать тематику праздников для рекламы различных товаров и услуг. В апреле мы ожидаем уменьшения количества спама, использующего эту тематику, но в то же время весьма вероятно появление русскоязычного «пасхального» спама. Одним из заметных событий марта стало появление «нигерийских писем», использующих интерес пользователей к событиям в Венесуэле.

Как и в феврале, большая часть спама распространяется по миру из США и Китая – в марте эти две страны стали источником примерно 43% нежелательных сообщений. В спам-потоках Рунета произошли значительные изменения: вдвое упали показатели Индии и Италии, двух главных источников спама в феврале.

Рейтинг рассылаемых по почте вредоносных программ в марте отличался разнообразием: компанию вложенным в письма фишинговым страницам составили бэкдоры, почтовые черви и даже троянцы-вымогатели. Но 1-е место с большим отрывом по-прежнему занимает Trojan-Spy.html.Fraud.gen.

Количество фишинговых писем увеличилось вдвое, однако в первой тройке атакованных фишерами организаций существенных изменений не произошло. Как и в прошлом месяце, около трети всех атак были нацелены на пользователей социальных сетей, а в первую тройку мишеней фишеров вошли поисковые системы и финансовые организации.

НОВОЕ НА САЙТЕ