Методы обнаружения вирусов

Спам во втором квартале 2013

Квартал в цифрах

  • Доля спама в почтовом трафике увеличилась по сравнению с первым кварталом на 4,2% и составила 70,7%.
  • Доля фишинговых писем в почтовом потоке уменьшилась на 0,0016% и составила 0,0024%.
  • Вредоносные вложения содержались в 2,3% всех электронных сообщений, что на 1% меньше показателя предыдущего квартала.

Методы и трюки

Разные виды спама приносят спамерам разный доход. Обычная рассылка рекламы малого бизнеса принесет спамеру одни деньги. Реклама виагры, когда спамеру платят за каждого клиента, который прошел по ссылке из его письма и купил таблетки, – другие. Но самым прибыльным считается вредоносный спам: за каждый зараженный компьютер спамер получает существенно больше, чем за проданную таблетку. Спамеры напрямую заинтересованы в том, чтобы вредоносная программа попала на компьютер, возможно именно поэтому в таком спаме они чаще прибегают к разным уловкам и социальной инженерии.

Вредоносные письма для корпоративных пользователей

Много писем с вредоносными вложениями в этом квартале было адресовано корпоративным пользователям.

Абсолютно все подобные письма были замаскированы под автоматические письма: сообщения о недоставке или получении письма, о пришедшем факсе или скане.

В таких письмах нет типичных приемов социальной инженерии - угроз или заманивания пользователя крупными суммами, которые он может получить, открыв вложение. Однако именно это делает такие письма менее подозрительными. Злоумышленники рассчитывают на то, что сотрудник компании не обратит внимание на детали, примет такое письмо за настоящее и откроет вложенный файл с вредоносной программой.

Это письмо, якобы от почтового сервера, имитирует сообщение о недоставке отправленного письма (Not Delivery Report).

 

Письмо пришло якобы от MAILER-DAEMON того домена, на котором располагается почта адресата, и выглядело как стандартное сообщение о недоставке. По всем вопросам предлагалось писать на адрес postmaster@<userdomain>. При этом во вложении находился исполняемый файл (под разными именами: instruction.exe, mail.scr и другие), детектируемый «Лабораторией Касперского» как Email-Worm.Win32.Mydoom.m.

Кроме того, много вредоносных писем были подделкой под автоматическое сообщение сканера или факса о новом пришедшем документе.

 

 

Разумеется, вложения в них тоже содержали различные вредоносные программы. Интересно, что много подделок было под сообщения от устройств HP и сервиса JConnect, весьма популярных в бизнес-сегменте, — а письма были посланы на корпоративные адреса, а не на бесплатную почту. Действительно, письмо с большей вероятностью вызовет доверие у пользователя, если компания, в которой он работает, пользуется техникой или услугами этой фирмы.

Ну и, конечно, излюбленный прием спамеров – затронуть тему безопасности. Одна из рассылок имитировала сообщение от Citigroup о получении зашифрованного письма.

 

Во вложении вместо письма находился троянец, детектируемый «Лабораторией Касперского» как Trojan-PSW.Win23.Tepfer.nblo.

Подобные письма выглядят обычными и не вызывают подозрения, особенно у погруженного в свою работу сотрудника компании. Подозрение может вызвать лишь исполняемое вложение, увидев которое, многие пользователи насторожатся.

Отметим, что вредоносные программы, нацеленные на корпоративных пользователей, распространяются разными способами. Сотрудникам компаний надо помнить, что вредоносный код может содержаться и в офисных документах, и быть внимательными с письмами с любыми вложениями.

Письма от «популярных ресурсов»

Мы неоднократно писали про письма, имитирующие уведомления от социальных сетей, магазинов, сообщения от авиакомпаний и т.д. Таких писем по-прежнему очень много. Отметим, что к числу магазинов, уведомления от которых подделывали спамеры, присоединился Walmart.

 

В поддельных письмах сообщалось о покупке, якобы сделанной в магазине. Все ссылки в письмах вели на взломанные сайты, перенаправляющие пользователя на вредоносный сайт с эксплойтами.

Вредоносные открытки

Раньше открытки с вредоносными вложениями рассылались злоумышленниками во время каждого праздника, но последнее время они практически не встречаются. Однако в этом квартале мы вновь увидели вредоносные рассылки подобного рода, эксплуатирующие известность крупнейшего в Америке производителя открыток Hallmark:

 

Вложение детектировалось «Лабораторией Касперского» как Trojan.Win32.Buzus.liez.

Мусорный текст

Кроме вредоносных открыток в этом квартале мы увидели еще одно «хорошо забытое старое». В первом квартале 2013 года одним из трюков спамеров был «белый текст» - случайный текст, добавленный внизу письма, а цветом совпадающий с цветом фона. В этом квартале спамеры использовали практически тот же трюк: добавляли случайный текст, однако на этот раз они даже не делали его невидимым, а просто отделяли от основного текста большим количеством переносов строки. Все тексты были взяты из различных новостных лент. Так, если в начале письма пользователь видел яркую картинку с предложением приобрести какой-либо товар или услугу, то, прокрутив письмо до конца вниз, он обнаруживал набранный мелким шрифтом фрагмент текста про Уго Чавеса, Бостонский марафон или войну в Корее.

 

 

Статистика

Доля спама

Доля спама в почтовом трафике во втором квартале составила 70,7%. Это на 4,2% больше, чем в предыдущем квартале. Однако такое увеличение нельзя считать тенденцией: показатель первого квартала был ниже исключительно за счет невысокого процента спама в январе  (58,3%). Все остальные месяцы процент спама в почтовом трафике был близок к отметке 70.

 
Доля спама в почтовом трафике,  первое полугодие 2013 г.

Такие малые колебания процента спама в почтовом трафике могут говорить о некоторой стабилизации после резких взлетов и падений последних лет.

Страны – источники спама

 
Распределение источников спама по странам, второй квартал 2013 г.

Лидеры среди стран – источников спама остались прежними, хотя доли рассылаемой оттуда мусорной почты немного уменьшились: это Китай (-1,2%), США (-0,9%) и Южная Корея (-3%).

Немного увеличилась доля спама, рассылаемого из Тайваня (+1,6%) и Вьетнама (+1,1%), которые по итогам второго квартала вышли на 4-е и 5-е места соответственно.

Интереснее обстоит дело с некоторыми бывшими союзными республиками. В трех из них – на Украине, в Казахстане  и Белоруссии – резко увеличилась доля исходящего спама, из-за чего во втором квартале они попали на 6-ю, 7-ю и 8-ю строчки в ТОP 20 стран - источников спама, обогнав Россию. Мы хотим отметить, что не только одновременно увеличились доли этих стран, но и динамика роста была очень похожей, с пиком в мае.

 
Изменение процента спама, рассылаемого из Белоруссии, Украины и Казахстана, первое полугодие 2013 г.

Это может говорить об организации новых ботнетов в этих странах или о зараженных веб-хостингах, с которых рассылается спам.

Интересно, что в разные регионы спам идет совершенно из разных стран. Так, в Европу очень много спама приходит из Южной Кореи (47,9%), при этом доля спама, рассылаемого из Кореи в другие регионы, очень мала. Из Китая спам рассылается преимущественно в регион APAC (64% регионального спама), а также в США (21,2%), при этом  в Европу и Россию спам из Китая практически не попадает. Из США наибольшее количество спама распространяется внутри региона (51,6% регионального спама). В Россию спам попадает из Тайваня (12,2%), Вьетнама(9,4%) и с Украины (9%).

Регионы - источники спама

 
Распределение источников спама по регионам, второй  квартал 2013 г.

Что касается регионов, места в рейтинге остались неизменными с прошлого квартала, однако доли отдельных регионов все же изменились. На 4,5% увеличилась доля Азии – лидера в рассылке спама. На 2,6% увеличилась доля Восточной Европы  – во многом за счет резкого увеличения доли Украины и Белоруссии в рассылке спама.

Почти в 2 раза уменьшились показатели Западной Европы (-3,7%) и Латинской Америки (-2,4%). Доля последней достигла абсолютного минимума. Напомню, что еще два года назад регион Латинская Америка занимал второе место по рассылке спама. Немного уменьшилась и доля остальных регионов: Ближнего Востока (-0,2%), Африки (-0,6%) и Австралии&Океании (-0,04%).

Размеры спамовых писем

 
Размеры спамовых писем, второй квартал 2013 г.

В спаме по-прежнему преобладают очень короткие письма, размер которых не превышает 1Kb. Количество таких писем во втором квартале увеличилось по сравнению c первым на 4,8% и составило 73,8% всех спамовых сообщений. Интересно также небольшое увеличение (+0,94%) доли писем размера от 50Kb до 100Kb. Такой размер имеют преимущественно письма с вложениями, в том числе вредоносными.

Вредоносные вложения в почте

Количество писем с вредоносными вложениями уменьшилось по сравнению с предыдущим кварталом на 1% и составило 2,3% почтового трафика.

 
ТОP 10 вредоносных программ, распространенных в почте, второй квартал 2013 г.

Наиболее популярной вредоносной программой в почте оказался, как и в предыдущем квартале, Trojan-Spy.HTML.Fraud.gen. Напомним, эта программа, выполненная в виде html-странички, имитирует регистрационную форму сервиса онлайн-банкинга. Она используется фишерами для хищения финансовой информации пользователей.

На втором месте, как и в первом квартале, находится почтовый червь Email-Worm.Win32.Bagle.gt, который, в отличие от других червей, может не только рассылать свои копии по контактам адресной книги пользователя, но и принимать удаленные команды на установку других вредоносных программ.

На третьем месте — одна из модификаций известной шпионской программы ZeuS/Zbot — Trojan-Spy.Win32.Zbot.lbda. Целью программ ZeuS/Zbot является кража различной конфиденциальной информации с компьютеров пользователей, включая данные кредитных карт.

На четвертом месте Trojan-PSW.Win32.Tepfer.hjva. Программы такого типа созданы для кражи паролей к пользовательским аккаунтам.

Далее в списке идут несколько почтовых червей и еще две модификации троянца-шпиона ZeuS/Zbot. Кроме того, в десятку вошел бэкдор Backdoor.Win32.Androm.pta. Вредоносные программы такого типа позволяют злоумышленнику незаметно управлять зараженным компьютером, например загружать на него другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и т.д. Кроме того, нередко зараженные такими программами компьютеры становятся частью ботнета.

Отметим, что некоторые вредоносные программы имеют много модификаций, хотя действия их при этом практически не отличаются. Поэтому мы публикуем также график наиболее популярных семейств: он лучше отражает картину распределения вредоносных вложений в почте.

 
ТОP 10 семейств вредоносных программ, распространенных в почте, второй квартал 2013 г.

Более 40% вредоносных программ, рассылаемых в письмах, так или иначе занимаются кражей персональной информации пользователей, в том числе финансовой.

В списке стран, куда чаще всего направлена вредоносная почта, произошли некоторые изменения.

 
Распределение срабатываний почтового антивируса по странам, второй квартал 2013 г.

США, хоть и с чуть уменьшившейся долей (-1,2%), остаются на первом месте. А на второе место с седьмого (!) поднялась Россия (+8,3%), процент срабатываний почтового антивируса здесь увеличился в несколько раз. Такой скачок произошел за счет июня, когда доля срабатываний почтового антивируса в России достигла 29,3%. Наиболее распространенными в России вредоносными семействами оказались Net-Worm.Win32.Kolab и Trojan-GameThief.Win32.Magania. Kolab – семейство вредоносных программ с функционалом бэкдора, препятствующих действию антивирусов и получающих удаленные команды от злоумышленника. Программы семейства Magania созданы для кражи логинов и паролей от онлайн-игры Maple Story, но имеют и функционал червя (распространяются через флешки).

В результате резкого роста показателей России Германия сместилась со второго места на третье (-1,9%). Индия и Австралия остались на тех же местах рейтинга, однако доля рассылаемых туда вредоносных писем стала несколько меньше: на 0,9% в Индии и на 1,1% в Австралии. Доля срабатывания почтового антивируса в остальных странах изменилась незначительно.

Фишинг

Доля фишинговых писем в почтовом потоке во втором квартале уменьшилась на 0,0016% и составила 0,0024%.

 
Распределение TOP 100 организаций, атакованных фишерами*, по категориям, второй квартал 2013 г.

*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

В целом распределение организаций, атакованных фишерами, не сильно отличается от предыдущего квартала. На 3,3% снизилось количество атак на социальные сети. Доля атак на финансовые организации увеличилась на 1,2%, в результате чего они заняли второе место в рейтинге.

На 1,8% увеличилась доля атак на провайдеров, на 2% — на электронную почту. Отметим, что квартальное повышение фишинговых атак на электронную почту связано с резким ростом количества атак в июне, доля которых составила 13,2%. Доля атак на остальные организации изменилась менее чем на 1%.

Все чаще фишеры предпочитают не полагаться на человеческий фактор и не ждать, пока пользователь сам введет данные. Вместо этого злоумышленники посылают вредоносные письма с программами-троянцами, которые воруют логин и пароль пользователя, в том числе от аккаунтов онлайн-банкинга.

Вредоносные вложения могут содержать не только многочисленные подделки под формы фейсбука и других популярных ресурсов, но и письма якобы от банка.

 

Данное письмо выполнено неаккуратно (заметны вставленные ряды синонимов - характерный результат ошибки спамерской программы). В остальном оно не выглядит подозрительно для пользователя. Даже вложенный файл – не .exe или .exe в виде архива, которые большинство пользователей сразу распознают как подозрительные. Но в невинном doc-файле содержится эксплойт, детектируемый «Лабораторией Касперского» как Exploit.MSWord.Agent.dj, который, используя уязвимость, может пробить защиту компьютера и загрузить на него вредоносные программы, занимающиеся кражей персональных данных пользователей.

Заключение

С февраля 2013 года доля спама в почтовом трафике остается практически неизменной. Это первый такой длительный период стабилизации: последние несколько лет этот показатель сильно колебался. Скорее всего, в дальнейшем доля спама останется на этом же уровне.

Среди стран – источников спама произошли изменения: существенно увеличилась доля спама, рассылаемого с Украины, из Белоруссии и Казахстана. Такой скачок говорит о новых ботнетах или зараженных веб-хостингах на территории этих стран. Именно с хостингов в последнее время рассылается все больше и больше спама.

Среди зловредов, распространяемых через почту, преобладают семейства, целью которых является кража данных для доступа к аккаунтам пользователя (логинов и паролей), в частности доступа к онлайн-банкингу. Значительно увеличилось число писем с вредоносными вложениями, которые адресованы пользователям в России.

Последнее время спамеры распространяют письма с вредоносными вложениями, которые подделаны под сообщения сервера о недоставке. Нередко встречаются и подделки под уведомления с известных ресурсов со ссылками на вредоносные сайты. Мы рекомендуем пользователям быть очень аккуратными даже с теми письмами, которые кажутся вам легитимными. 

НОВОЕ НА САЙТЕ

8 августа 2017 года

Компания «Доктор Веб» информирует об обновлении управляющего обслуживания Dr.Web Control Service (11.0.18.07311) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0 так что Dr.Web Enterprise Security Suite 10.1, а уж тоже (11... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» сообщает о завершении инспекционного контроля для сертифицированной в ФСТЭК России версии Dr.Web Enterprise Security Suite (сертификат соответствия от 27 января 2016 г. № 3509). Эта процедура была направлена на ис... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» информирует об обновлении дарового деньги аварийного восстановления так что исцеления ПК – Dr.Web LiveDisk 9.0.

Реализовано поправка проблемы, приводившей на неких системах под управле... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» информирует о окончании инспекционного контроля для сертифицированной в ФСТЭК нашей родины версии Dr.Web Enterprise Security Suite (сертификат соответствия от 27 января 2016 г. № 3509). данная процедура была ориен... Антивирус Dr.Web

2 августа 2017 года

Специалисты корпорации «Доктор Веб» отмечают, ровно в вебе участились случаи распространения фишинговых писем, кои преступники рассылают якобы от имени отечественного регистратора доменов, корпорации «Региональный Сетевой Информационны... Горячая лента угроз и предупреждений о вирусной опасности!

2 августа 2017 года

Компания «Доктор Веб» информирует об обновлении брандмауэра Dr.Web Firewall (11.1.6.07100), драйвера Dr.Web Firewall Driver (11.01.06.07110) так что агента SpIDer Agent for Windows (11.0.17.07240) в продуктах Dr.Web Security Space 11.0... Антивирус Dr.Web

1 августа 2017 года

Компания «Доктор Веб» информирует о начале деяния новеньких правил блокировки так что подмены пиратских главных файлов в отношении продуктов Dr.Web.

В июле эксперты фирмы «Доктор Веб» нашли на нескольких моделях Android-смартфонов предустановленного троянца, коего преступники ввели в системную библиотеку. данная вредная программа проникала в процессы приложений так чисто могла неприметно скачивать ... Вирусные новости

31 июля 2017 года

Главное

Как правило, в середине годы нечасто происходят значимые события в сфере информационной безопасности, но современный июль предстал исключением из этого правила. В начале месяца эксперты фирмы «Доктор Веб» заприметили в прило... Вирусные новости

Пройдя впечатляюще долгий путь самосовершенствования, «БИЗНЕС ИНСАЙТ» готовы сделать исключительное предложение: все, кто изъявляет желание, имеют превосходную возможность обогатиться новыми знаниями в бизнес-школе клубного типа. В настоящее время «БИЗНЕС ИНСАЙТ» […] Новости Безопастности