Методы обнаружения вирусов

Спам в марте 2013

Март в цифрах

  • Доля спама в почтовом трафике в марте снизилась на 1% и составила 70,1%.
  • Доля фишинговых писем в почтовом потоке по сравнению с февралем увеличилась вдвое и составила 0,006%
  • Вредоносные вложения содержались в 4% всех электронных сообщений, что на 1,2% выше показателя прошлого месяца

Особенности месяца

В марте количество спамерских писем, эксплуатирующих тему праздников, пошло на спад. Однако в спам-трафике Рунета мы все еще фиксировали рассылки, посвященные Масленице и Международному женскому дню (8 марта).

Праздничный спам

В приуроченном к Масленице спаме традиционно рассылались предложения совершить праздничный тур или тематическую экскурсию. Кроме того, нами была зафиксирована рассылка с предложением услуг по созданию сайтов, оформленная в теме этого праздника.

 

В марте количество спам-сообщений, использующих тему Международного женского дня, сократилось, однако в начале месяца мы зафиксировали несколько рассылок с традиционной для этого праздника рекламой цветочных букетов и именных сувениров.

 

Кроме того, мы обнаружили несколько англоязычных спам-рассылок, приуроченных к празднованию Пасхи. В России в этом году Пасха приходится на 5 мая, и мы ожидаем, что русскоязычный «пасхальный» спам появится в апреле.

«Нигерийцы» и события в Венесуэле

Одним из главных политических событий марта стала смерть президента Венесуэлы. Уго Чавес 14 лет бессменно руководил страной и был весьма одиозной политической фигурой. Шумиха вокруг его смерти не утихает. Уже в начале марта нами были зарегистрированы так называемые «нигерийские письма» на английском и немецком языках, эксплуатирующие интерес пользователей к событиям в Венесуэле.

Одно из мошеннических писем было разослано от имени начальника морского порта Венесуэлы, который якобы просил помочь ему сохранить деньги, полученные от продажи дизельного топлива Южному Судану. При этом в первом же письме мошенники не обещают адресату конкретную сумму за помощь, их цель на начальном этапе – заинтересовать получателя и заставить его ответить на письмо. И только в ходе дальнейшей переписки ему предлагается денежное вознаграждение.

 

В другой рассылке распространялось письмо якобы от начальника службы безопасности и по совместительству близкого друга Уго Чавеса. Как всегда, «нигерийские» мошенники не ограничивают полет своей фантазии: «друг» имеет доступ к деньгам, которые покойный президент хранил на банковском счету своей тайной возлюбленной, и теперь готов предложить получателю письма 25% от общей суммы за помощь в выводе средств.

В обоих случаях главной целью мошенников было вовлечь пользователя в переписку, чтобы ввести его в заблуждение и выманить у него деньги, например под предлогом оплаты каких-либо услуг, способствующих получению им мифических миллионов.

Географическое распределение источников спама

По итогам марта 2013 года среди стран — источников спама, распространяемого по всему миру, на первое место вновь вышел Китай (25,8%). Доля спама, рассылаемого из США, незначительно увеличилась (17,3%), и теперь страна занимает второе место в общем зачете. В целом из этих двух стран в марте было разослано около 43% мирового спама.

 
Страны — источники спама в мире

Третье место, как и в феврале, занимает Южная Корея (9,8%), доля которой в марте уменьшилась на 3,8%. Сохранили свои места в первой пятерке Тайвань (5%) и Индия (3,4%). А вот Россия (2,4%) потеряла почти 1% и передвинулась в рейтинге с 7-го на 10-е место. Германия (2,7%), занимавшая ранее 10-ю строчку, по итогам марта прибавила около 1% и заняла 8-е место.

Ситуация со спам-потоками в Рунете по итогам марта выглядит следующим образом:

 
Страны – источники спама в Рунете

Индия потеряла лидирующую позицию среди стран – источников спама в Рунете и заняла второе место в рейтинге. Показатель этой страны уменьшился почти вдвое и составил 9,1%. На освободившееся 1-е место с 3-ей позиции поднялся Тайвань – его результат 10,7%, что на 1,6% больше по сравнению с февралем. На третье место вышел Вьетнам (8,1%), несмотря на то что его показатель снизился на 0,3%.

Доля спама из Германии (7,9%) в Рунете увеличилась на 2,3%, и в результате страна заняла 4-е место в рейтинге. Вклад США в спам-потоки Рунета увеличился на 3%, и страна поднялась с 7-го на 5-е место с показателем 5,9%. На 6-е место опустилась Италия (5,6%), которая в феврале занимала вторую строчку рейтинга, ее показатель уменьшился более чем вдвое.

Россия (4,7%) в марте потеряла около 1% и спустилась на 8-ю строчку.

 
Регионы – источники спама

Среди регионов лидером по распространению спама остается Азия (54%). В первую тройку, как и в феврале, вошли Северная Америка (17,8%) и Восточная Европа (10,2%). За ними с небольшим отрывом следует Западная Европа (9,4%).

Вредоносные вложения в спаме

В марте 2013 года доля писем с вредоносными вложениями составила 4% от мирового почтового трафика. Это на 1,2% пункта больше, чем в прошлом месяце.

 
TOP 10 вредоносных программ, распространявшихся по электронной почте

На первом месте по-прежнему находится вредоносная программа Trojan-Spy.html.Fraud.gen (6,9%), однако ее доля по сравнению с прошлым месяцем уменьшилась на 4,1% пункта. Напомним, что этот троянец представляет собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Если пользователь вводит свои данные в предложенные поля и нажимает на кнопку отправления, его личная информация попадает к мошенникам.

На второе место вышел Trojan.win32.Bublik.aknd. Эта вредоносная программа собирает с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Кроме того, она может просматривать формы в браузерах Mozilla Firefox и Google Chrome в поисках сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.

На третьем месте находится вредоносная программа Email-Worm.Win32.Bagle.gt. Почтовые черви часто попадают в TOP-10, так как их основной функционал – рассылать свои копии по контактам в адресной книге пользователя. Черви семейства Bagle могут связываться с командным центром и устанавливать на зараженный компьютер другие вредоносные программы.

Помимо прочего, в первую десятку в этом месяце вошли вредоносные программы семейства Trojan-Ransom, вымогающие у пользователей деньги за доступ к операционной системе или программам (обычно требуется отправить платное SMS). Обнаруженные нами модификации троянской программы Trojan-Ransom.Win32.Blocker блокируют работу операционной системы и вешают на Рабочем столе баннер с условиями разблокировки. Мы хотим напомнить читателям, что не следует идти на поводу у киберпреступников и платить злоумышленникам деньги. Чтобы разблокировать компьютер, воспользуйтесь нашим бесплатным сервисом: sms.kaspersky.ru.

Распределение срабатываний почтового антивируса по странам

 
Распределение срабатываний почтового антивируса по странам

Внезапно поднявшаяся в феврале на 1-е место Италия (6,6%) вновь уступила лидирующую позицию США (13,6%). Интересно, что в марте пользователи из США получали, помимо ворующих пароли Trojan-Spy.html.Fraud.gen и Trojan.win32.Bublik.aknd, множество других нацеленных на пароли троянцев семейства Trojan-PSW.Win32.Tepfer. На 2-м месте по-прежнему Германия (11,1%), за месяц ее доля практически не изменилась. А вот на 3-е место с 5-го поднялась Австралия (7%) – ее доля увеличилась на 1,3%. В целом распределение срабатываний по странам поменялось незначительно.

После некоторого затишья злоумышленники, распространяющие вредоносные программы по электронной почте, возобновили рассылку писем – подделок под уведомление о бронировании отелей и авиабилетов. В частности, в марте нами была зарегистрирована новая рассылка подделок под уведомление о бронировании номера в Atlantic Hotel. В письме, написанном от лица менеджера отеля, злоумышленники благодарили получателя за бронирование и сообщали, что ожидают его приезда в отель 20 марта 2013 года.

 

Предполагается, что заинтригованный получатель письма откроет приложенный к письму архив, якобы содержащий подтверждение бронирования номера, и запустит исполняемый файл AtlanticHotel Booking Confirmation.doc.exe. В результате произойдет заражение компьютера вредоносной программой, детектируемой «Лабораторией Касперского» как Trojan-Ransom.Win32.Blocker.awbi. Данный троянец широко используется для вымогания денежных средств или финансовой информации.

Также мошенники рассылали письма с вредоносными вложениями под видом уведомления о бронировании авиабилетов. Так, мы обнаружили письма-подделки, рассылаемые от имени онлайн-сервиса Delta.com. В письме злоумышленники благодарили за выбор сервиса бронирования авиабилетов и сообщали, что требования к багажу и порядок регистрации могут различаться в зависимости от аэропорта и авиаперевозчика, поэтому получатель должен открыть приложенный к письму электронный билет и внимательно прочитать его.

 

На самом деле во вложении находился исполняемый файл eTicket and Receipt.pdf.exe, детектируемый «Лабораторией Касперского» как Backdoor.Win32.ZAccess.bmdt.Это вредоносное ПО используется злоумышленниками для получения удаленного доступа к компьютеру жертвы с целью кражи персональной информации, включения компьютера в ботнет и т.д.

Помимо подделок под уведомление о бронировании номера отеля или авиабилетов в марте для обмана пользователей спамеры использовали имя австралийской телекоммуникационной компании TPG Telecom. В поддельном письме сообщалось, что баланс мобильного телефона получателя был меньше 5 долларов, но компания предоставила кредит, и теперь баланс телефона составляет 20 долларов. А более подробную информацию о состоянии счета получатель письма мог узнать, открыв вложенный файл.

 

Во вложенном zip-архиве содержался файл TGP-Account-Details.doc.exe, детектируемый «Лабораторией Касперского» как троянская программа-шпион Trojan-Spy.Win32.Zbot.jqye. Это одна из разновидностей знаменитого трояца ZeuS, предназначенная для похищения конфиденциальной информации пользователя.

Фишинг

В марте доля фишинговых писем в глобальном почтовом потоке увеличилась вдвое и составила 0,006%.

 
Распределение TOP 100 организаций, атакованных фишерами, по категориям*

*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

По итогам марта социальные сети продолжают удерживать лидирующую позицию по количеству фишинговых атак, их показатель уменьшился на 4,3% и составил 34,5%. В первую тройку также вошли финансовые и платежные организации (17,4%) и поисковые системы (14,9%), которые занимают вторую и третью строчку соответственно.

Четвертую позицию сохранили ИТ-вендоры (9,9%). Замыкают первую пятерку телефонные и интернет провайдеры (8,9%), ранее занимавшие 7-е место, — их показатель увеличился на 3,5%.

В марте нами было получено любопытное фишинговое письмо на китайском языке, якобы отправленное известным китайским сетевым изданием sina.com.cn. В письме фишеры прибегли к популярной легенде о том, что аккаунт пользователя на сайте издания плохо защищен и для обеспечения безопасности получателю письма необходимо перейти по ссылке и обновить данные аккаунта. Кликнув по указанной в письме мошеннической ссылке, жертва попадает на поддельную страницу, где ее просят ввести логин и пароль для доступа к аккаунту. В результате в руки мошенников попадают персональные данные пользователя, а украденный аккаунт в дальнейшем может быть использован для рассылки спама от имени жертвы.

 

Интересно, что в письме мошенники предлагают пользователю написать в службу поддержки или позвонить по указанному телефону в случае возникновения каких-либо сомнений или вопросов. Данный прием используется для убеждения получателя в легитимности письма.

Заключение

В марте общая доля спама незначительно уменьшилась, а спамеры продолжили эксплуатировать тематику праздников для рекламы различных товаров и услуг. В апреле мы ожидаем уменьшения количества спама, использующего эту тематику, но в то же время весьма вероятно появление русскоязычного «пасхального» спама. Одним из заметных событий марта стало появление «нигерийских писем», использующих интерес пользователей к событиям в Венесуэле.

Как и в феврале, большая часть спама распространяется по миру из США и Китая – в марте эти две страны стали источником примерно 43% нежелательных сообщений. В спам-потоках Рунета произошли значительные изменения: вдвое упали показатели Индии и Италии, двух главных источников спама в феврале.

Рейтинг рассылаемых по почте вредоносных программ в марте отличался разнообразием: компанию вложенным в письма фишинговым страницам составили бэкдоры, почтовые черви и даже троянцы-вымогатели. Но 1-е место с большим отрывом по-прежнему занимает Trojan-Spy.html.Fraud.gen.

Количество фишинговых писем увеличилось вдвое, однако в первой тройке атакованных фишерами организаций существенных изменений не произошло. Как и в прошлом месяце, около трети всех атак были нацелены на пользователей социальных сетей, а в первую тройку мишеней фишеров вошли поисковые системы и финансовые организации.

НОВОЕ НА САЙТЕ

28 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении обслуживания перехвата трафика Dr.Web Net filtering Service (11.1.11.04270) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленной ошибки.

В осв... Антивирус Dr.Web

28 апреля 2017 года

В апреле случилось стократ событий, связанных с информационной безопасностью. В начале месяца киберпреступники организовали вредоносную рассылку, с поддержкой коей разносился многокомпонентный троянец. Он специализирован для кражи с инфицированного п... Вирусные новости

28 апреля 2017 года

В апреле был найден Android-троянец, предназначенный для кибершпионажа. тоже в прошедшем месяце в каталоге гугл Play было выявлено чуточку банкеров, созданных для похищения секретной инфы так что кражи средств со счетов. один-одинехонек троянец бы... Вирусные новости

26 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении агента SpIDer Agent for Windows (11.0.12.04210), управляющего обслуживания Dr.Web Control Service (11.0.12.03240), сканера Dr.Web Scanner SE (11.0.8.04130), обслуживания перехвата трафика... Антивирус Dr.Web

20 апреля 2017 года

Компания «Доктор Веб» предостерегает об обнаружении новейшей уязвимости в пользующемся популярностью офисном пакете Microsoft Office. Она дозволяет злодеям загружать на атакуемый комп исполняемые файлы.

Уязви... Горячая лента угроз и предупреждений о вирусной опасности!

20 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении ингридиента Dr.Web Enterprise Agent for Windows setup (11.0.3.04181) в продукте Dr.Web Desktop Security Suite с способностью централизованного управления (группа продуктов Dr.Web Enterpri... Антивирус Dr.Web

20 апреля 2017 года

Компания «Доктор Веб» предостерегает об обнаружении новейшей уязвимости в известном офисном пакете Microsoft Office. Она дает возможность злодеям загружать на атакуемый комп исполняемые файлы.

Уязвимость выяв... Вирусные новости

20 апреля 2017 года

Специалисты корпорации «Доктор Веб» изучали троянца Trojan.DownLoader23.60762, могущего грабить логины так что пароли... Горячая лента угроз и предупреждений о вирусной опасности!

20 апреля 2017 года

Специалисты корпорации «Доктор Веб» обследовали троянца Trojan.DownLoader23.60762, могущего тянуть логины так что пар... Вирусные новости

19 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении модуля самозащиты Dr.Web SelfPROtect (11.01.09.04140) так ровно Thunderstorm Cloud Client SDK (11.0.1.09294) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленн... Антивирус Dr.Web