Методы обнаружения вирусов

Спам во втором квартале 2013

Квартал в цифрах

  • Доля спама в почтовом трафике увеличилась по сравнению с первым кварталом на 4,2% и составила 70,7%.
  • Доля фишинговых писем в почтовом потоке уменьшилась на 0,0016% и составила 0,0024%.
  • Вредоносные вложения содержались в 2,3% всех электронных сообщений, что на 1% меньше показателя предыдущего квартала.

Методы и трюки

Разные виды спама приносят спамерам разный доход. Обычная рассылка рекламы малого бизнеса принесет спамеру одни деньги. Реклама виагры, когда спамеру платят за каждого клиента, который прошел по ссылке из его письма и купил таблетки, – другие. Но самым прибыльным считается вредоносный спам: за каждый зараженный компьютер спамер получает существенно больше, чем за проданную таблетку. Спамеры напрямую заинтересованы в том, чтобы вредоносная программа попала на компьютер, возможно именно поэтому в таком спаме они чаще прибегают к разным уловкам и социальной инженерии.

Вредоносные письма для корпоративных пользователей

Много писем с вредоносными вложениями в этом квартале было адресовано корпоративным пользователям.

Абсолютно все подобные письма были замаскированы под автоматические письма: сообщения о недоставке или получении письма, о пришедшем факсе или скане.

В таких письмах нет типичных приемов социальной инженерии - угроз или заманивания пользователя крупными суммами, которые он может получить, открыв вложение. Однако именно это делает такие письма менее подозрительными. Злоумышленники рассчитывают на то, что сотрудник компании не обратит внимание на детали, примет такое письмо за настоящее и откроет вложенный файл с вредоносной программой.

Это письмо, якобы от почтового сервера, имитирует сообщение о недоставке отправленного письма (Not Delivery Report).

 

Письмо пришло якобы от MAILER-DAEMON того домена, на котором располагается почта адресата, и выглядело как стандартное сообщение о недоставке. По всем вопросам предлагалось писать на адрес postmaster@<userdomain>. При этом во вложении находился исполняемый файл (под разными именами: instruction.exe, mail.scr и другие), детектируемый «Лабораторией Касперского» как Email-Worm.Win32.Mydoom.m.

Кроме того, много вредоносных писем были подделкой под автоматическое сообщение сканера или факса о новом пришедшем документе.

 

 

Разумеется, вложения в них тоже содержали различные вредоносные программы. Интересно, что много подделок было под сообщения от устройств HP и сервиса JConnect, весьма популярных в бизнес-сегменте, — а письма были посланы на корпоративные адреса, а не на бесплатную почту. Действительно, письмо с большей вероятностью вызовет доверие у пользователя, если компания, в которой он работает, пользуется техникой или услугами этой фирмы.

Ну и, конечно, излюбленный прием спамеров – затронуть тему безопасности. Одна из рассылок имитировала сообщение от Citigroup о получении зашифрованного письма.

 

Во вложении вместо письма находился троянец, детектируемый «Лабораторией Касперского» как Trojan-PSW.Win23.Tepfer.nblo.

Подобные письма выглядят обычными и не вызывают подозрения, особенно у погруженного в свою работу сотрудника компании. Подозрение может вызвать лишь исполняемое вложение, увидев которое, многие пользователи насторожатся.

Отметим, что вредоносные программы, нацеленные на корпоративных пользователей, распространяются разными способами. Сотрудникам компаний надо помнить, что вредоносный код может содержаться и в офисных документах, и быть внимательными с письмами с любыми вложениями.

Письма от «популярных ресурсов»

Мы неоднократно писали про письма, имитирующие уведомления от социальных сетей, магазинов, сообщения от авиакомпаний и т.д. Таких писем по-прежнему очень много. Отметим, что к числу магазинов, уведомления от которых подделывали спамеры, присоединился Walmart.

 

В поддельных письмах сообщалось о покупке, якобы сделанной в магазине. Все ссылки в письмах вели на взломанные сайты, перенаправляющие пользователя на вредоносный сайт с эксплойтами.

Вредоносные открытки

Раньше открытки с вредоносными вложениями рассылались злоумышленниками во время каждого праздника, но последнее время они практически не встречаются. Однако в этом квартале мы вновь увидели вредоносные рассылки подобного рода, эксплуатирующие известность крупнейшего в Америке производителя открыток Hallmark:

 

Вложение детектировалось «Лабораторией Касперского» как Trojan.Win32.Buzus.liez.

Мусорный текст

Кроме вредоносных открыток в этом квартале мы увидели еще одно «хорошо забытое старое». В первом квартале 2013 года одним из трюков спамеров был «белый текст» - случайный текст, добавленный внизу письма, а цветом совпадающий с цветом фона. В этом квартале спамеры использовали практически тот же трюк: добавляли случайный текст, однако на этот раз они даже не делали его невидимым, а просто отделяли от основного текста большим количеством переносов строки. Все тексты были взяты из различных новостных лент. Так, если в начале письма пользователь видел яркую картинку с предложением приобрести какой-либо товар или услугу, то, прокрутив письмо до конца вниз, он обнаруживал набранный мелким шрифтом фрагмент текста про Уго Чавеса, Бостонский марафон или войну в Корее.

 

 

Статистика

Доля спама

Доля спама в почтовом трафике во втором квартале составила 70,7%. Это на 4,2% больше, чем в предыдущем квартале. Однако такое увеличение нельзя считать тенденцией: показатель первого квартала был ниже исключительно за счет невысокого процента спама в январе  (58,3%). Все остальные месяцы процент спама в почтовом трафике был близок к отметке 70.

 
Доля спама в почтовом трафике,  первое полугодие 2013 г.

Такие малые колебания процента спама в почтовом трафике могут говорить о некоторой стабилизации после резких взлетов и падений последних лет.

Страны – источники спама

 
Распределение источников спама по странам, второй квартал 2013 г.

Лидеры среди стран – источников спама остались прежними, хотя доли рассылаемой оттуда мусорной почты немного уменьшились: это Китай (-1,2%), США (-0,9%) и Южная Корея (-3%).

Немного увеличилась доля спама, рассылаемого из Тайваня (+1,6%) и Вьетнама (+1,1%), которые по итогам второго квартала вышли на 4-е и 5-е места соответственно.

Интереснее обстоит дело с некоторыми бывшими союзными республиками. В трех из них – на Украине, в Казахстане  и Белоруссии – резко увеличилась доля исходящего спама, из-за чего во втором квартале они попали на 6-ю, 7-ю и 8-ю строчки в ТОP 20 стран - источников спама, обогнав Россию. Мы хотим отметить, что не только одновременно увеличились доли этих стран, но и динамика роста была очень похожей, с пиком в мае.

 
Изменение процента спама, рассылаемого из Белоруссии, Украины и Казахстана, первое полугодие 2013 г.

Это может говорить об организации новых ботнетов в этих странах или о зараженных веб-хостингах, с которых рассылается спам.

Интересно, что в разные регионы спам идет совершенно из разных стран. Так, в Европу очень много спама приходит из Южной Кореи (47,9%), при этом доля спама, рассылаемого из Кореи в другие регионы, очень мала. Из Китая спам рассылается преимущественно в регион APAC (64% регионального спама), а также в США (21,2%), при этом  в Европу и Россию спам из Китая практически не попадает. Из США наибольшее количество спама распространяется внутри региона (51,6% регионального спама). В Россию спам попадает из Тайваня (12,2%), Вьетнама(9,4%) и с Украины (9%).

Регионы - источники спама

 
Распределение источников спама по регионам, второй  квартал 2013 г.

Что касается регионов, места в рейтинге остались неизменными с прошлого квартала, однако доли отдельных регионов все же изменились. На 4,5% увеличилась доля Азии – лидера в рассылке спама. На 2,6% увеличилась доля Восточной Европы  – во многом за счет резкого увеличения доли Украины и Белоруссии в рассылке спама.

Почти в 2 раза уменьшились показатели Западной Европы (-3,7%) и Латинской Америки (-2,4%). Доля последней достигла абсолютного минимума. Напомню, что еще два года назад регион Латинская Америка занимал второе место по рассылке спама. Немного уменьшилась и доля остальных регионов: Ближнего Востока (-0,2%), Африки (-0,6%) и Австралии&Океании (-0,04%).

Размеры спамовых писем

 
Размеры спамовых писем, второй квартал 2013 г.

В спаме по-прежнему преобладают очень короткие письма, размер которых не превышает 1Kb. Количество таких писем во втором квартале увеличилось по сравнению c первым на 4,8% и составило 73,8% всех спамовых сообщений. Интересно также небольшое увеличение (+0,94%) доли писем размера от 50Kb до 100Kb. Такой размер имеют преимущественно письма с вложениями, в том числе вредоносными.

Вредоносные вложения в почте

Количество писем с вредоносными вложениями уменьшилось по сравнению с предыдущим кварталом на 1% и составило 2,3% почтового трафика.

 
ТОP 10 вредоносных программ, распространенных в почте, второй квартал 2013 г.

Наиболее популярной вредоносной программой в почте оказался, как и в предыдущем квартале, Trojan-Spy.HTML.Fraud.gen. Напомним, эта программа, выполненная в виде html-странички, имитирует регистрационную форму сервиса онлайн-банкинга. Она используется фишерами для хищения финансовой информации пользователей.

На втором месте, как и в первом квартале, находится почтовый червь Email-Worm.Win32.Bagle.gt, который, в отличие от других червей, может не только рассылать свои копии по контактам адресной книги пользователя, но и принимать удаленные команды на установку других вредоносных программ.

На третьем месте — одна из модификаций известной шпионской программы ZeuS/Zbot — Trojan-Spy.Win32.Zbot.lbda. Целью программ ZeuS/Zbot является кража различной конфиденциальной информации с компьютеров пользователей, включая данные кредитных карт.

На четвертом месте Trojan-PSW.Win32.Tepfer.hjva. Программы такого типа созданы для кражи паролей к пользовательским аккаунтам.

Далее в списке идут несколько почтовых червей и еще две модификации троянца-шпиона ZeuS/Zbot. Кроме того, в десятку вошел бэкдор Backdoor.Win32.Androm.pta. Вредоносные программы такого типа позволяют злоумышленнику незаметно управлять зараженным компьютером, например загружать на него другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и т.д. Кроме того, нередко зараженные такими программами компьютеры становятся частью ботнета.

Отметим, что некоторые вредоносные программы имеют много модификаций, хотя действия их при этом практически не отличаются. Поэтому мы публикуем также график наиболее популярных семейств: он лучше отражает картину распределения вредоносных вложений в почте.

 
ТОP 10 семейств вредоносных программ, распространенных в почте, второй квартал 2013 г.

Более 40% вредоносных программ, рассылаемых в письмах, так или иначе занимаются кражей персональной информации пользователей, в том числе финансовой.

В списке стран, куда чаще всего направлена вредоносная почта, произошли некоторые изменения.

 
Распределение срабатываний почтового антивируса по странам, второй квартал 2013 г.

США, хоть и с чуть уменьшившейся долей (-1,2%), остаются на первом месте. А на второе место с седьмого (!) поднялась Россия (+8,3%), процент срабатываний почтового антивируса здесь увеличился в несколько раз. Такой скачок произошел за счет июня, когда доля срабатываний почтового антивируса в России достигла 29,3%. Наиболее распространенными в России вредоносными семействами оказались Net-Worm.Win32.Kolab и Trojan-GameThief.Win32.Magania. Kolab – семейство вредоносных программ с функционалом бэкдора, препятствующих действию антивирусов и получающих удаленные команды от злоумышленника. Программы семейства Magania созданы для кражи логинов и паролей от онлайн-игры Maple Story, но имеют и функционал червя (распространяются через флешки).

В результате резкого роста показателей России Германия сместилась со второго места на третье (-1,9%). Индия и Австралия остались на тех же местах рейтинга, однако доля рассылаемых туда вредоносных писем стала несколько меньше: на 0,9% в Индии и на 1,1% в Австралии. Доля срабатывания почтового антивируса в остальных странах изменилась незначительно.

Фишинг

Доля фишинговых писем в почтовом потоке во втором квартале уменьшилась на 0,0016% и составила 0,0024%.

 
Распределение TOP 100 организаций, атакованных фишерами*, по категориям, второй квартал 2013 г.

*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

В целом распределение организаций, атакованных фишерами, не сильно отличается от предыдущего квартала. На 3,3% снизилось количество атак на социальные сети. Доля атак на финансовые организации увеличилась на 1,2%, в результате чего они заняли второе место в рейтинге.

На 1,8% увеличилась доля атак на провайдеров, на 2% — на электронную почту. Отметим, что квартальное повышение фишинговых атак на электронную почту связано с резким ростом количества атак в июне, доля которых составила 13,2%. Доля атак на остальные организации изменилась менее чем на 1%.

Все чаще фишеры предпочитают не полагаться на человеческий фактор и не ждать, пока пользователь сам введет данные. Вместо этого злоумышленники посылают вредоносные письма с программами-троянцами, которые воруют логин и пароль пользователя, в том числе от аккаунтов онлайн-банкинга.

Вредоносные вложения могут содержать не только многочисленные подделки под формы фейсбука и других популярных ресурсов, но и письма якобы от банка.

 

Данное письмо выполнено неаккуратно (заметны вставленные ряды синонимов - характерный результат ошибки спамерской программы). В остальном оно не выглядит подозрительно для пользователя. Даже вложенный файл – не .exe или .exe в виде архива, которые большинство пользователей сразу распознают как подозрительные. Но в невинном doc-файле содержится эксплойт, детектируемый «Лабораторией Касперского» как Exploit.MSWord.Agent.dj, который, используя уязвимость, может пробить защиту компьютера и загрузить на него вредоносные программы, занимающиеся кражей персональных данных пользователей.

Заключение

С февраля 2013 года доля спама в почтовом трафике остается практически неизменной. Это первый такой длительный период стабилизации: последние несколько лет этот показатель сильно колебался. Скорее всего, в дальнейшем доля спама останется на этом же уровне.

Среди стран – источников спама произошли изменения: существенно увеличилась доля спама, рассылаемого с Украины, из Белоруссии и Казахстана. Такой скачок говорит о новых ботнетах или зараженных веб-хостингах на территории этих стран. Именно с хостингов в последнее время рассылается все больше и больше спама.

Среди зловредов, распространяемых через почту, преобладают семейства, целью которых является кража данных для доступа к аккаунтам пользователя (логинов и паролей), в частности доступа к онлайн-банкингу. Значительно увеличилось число писем с вредоносными вложениями, которые адресованы пользователям в России.

Последнее время спамеры распространяют письма с вредоносными вложениями, которые подделаны под сообщения сервера о недоставке. Нередко встречаются и подделки под уведомления с известных ресурсов со ссылками на вредоносные сайты. Мы рекомендуем пользователям быть очень аккуратными даже с теми письмами, которые кажутся вам легитимными. 

НОВОЕ НА САЙТЕ

26 июня 2017 года

Компания «Доктор Веб» информирует об обновлении модуля обороны от эксплойтов Dr.Web Shellguard (11.01.09.06190) так что модуля самозащиты Dr.Web SelfPROtect (11.01.10.06210) в продуктах Dr.Web 11.0 для Windows, Dr.Web KATANA 1.0, Dr.Web ... Антивирус Dr.Web

26 июня 2017 года

Компания «Доктор Веб» информирует о выпуске плагина Dr.Web версии 11.0 для интернет-шлюзов Kerio, предназначенного для работы на персональных компьютерах под управлением Linux.

Новая версия поддерживает Kerio ... Антивирус Dr.Web

23 июня 2017 года

Вирусные аналитики корпорации «Доктор Веб» заприметили в каталоге гугл Play крошку потенциально небезопасных приложений, коие несут угрозу первостепенным образом юзерам на территории Украины. Эти программы дозволяют объегорить... Горячая лента угроз и предупреждений о вирусной опасности!

Нас продолжительно и настойчиво уговаривали в том, словно облака — это накрепко и удобно, а Linux — это круто. Казалось, словно выбор стоит среди практичным и еще больше практичным интерфейсом. Но вдруг — «получилось сколько все... Горячая лента угроз и предупреждений о вирусной опасности!

19 июня 2017 года

Специалисты корпорации «Доктор Веб» заприметили Android-троянца, коим вирусописатели управляют с применением протокола Telegram. данная вредная программа ворует секретную информацию так будто изготавливает команды злоумышленников.Горячая лента угроз и предупреждений о вирусной опасности!

19 июня 2017 года

Специалисты фирме «Доктор Веб» нашли Android-троянца, коим вирусописатели управляют с применением протокола Telegram. данная вредная программа ворует секретную информацию так точно выполняет команды злоумышленников.Вирусные новости

15 июня 2017 года

Троянцы-майнеры – это вредные программы, использующие вычислительные ресурсы инфицированного устройства для добычи (майнинга) криптовалют. Вирусные аналитики корпорации «Доктор Веб» изучали того троянца, могущего заражать компы под управ... Горячая лента угроз и предупреждений о вирусной опасности!

15 июня 2017 года

Троянцы-майнеры – это вредные программы, использующие вычислительные ресурсы инфицированного устройства для добычи (майнинга) криптовалют. Вирусные аналитики фирмы «Доктор Веб» изучали того троянца, могущего заражать компы под управление... Вирусные новости

13 июня 2017 года

Компания «Доктор Веб» информирует об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino перед началом версии 11.0.2. Обновление связано с добавлением новеньких активных способностей так что исправлением выявленных ... Антивирус Dr.Web

13 июня 2017 года

Компания «Доктор Веб» информирует об обновлении модуля Lua-Updater (11.0.21.06080), антируткитного модуля Dr.Web Anti-rootkit API (11.1.11.201706060), управляющего обслуживания Dr.Web Control Service (11.0.13.06051 так что 11.0.12.06061)... Антивирус Dr.Web