Методы обнаружения вирусов

Спам в январе 2014

Оглавление

Особенности месяца

В январе внимание спамеров переключилось с прошедшего Нового года и Рождества на грядущие праздники – 23 февраля, 8 марта и День всех влюбленных (14 февраля). Кроме того зимняя Олимпиада в Сочи стала очередным поводом для рекламы как традиционных для спама товаров, так и других, оформленных в соответствующей тематике.

В связи с окончанием последнего квартала года немалая часть спам-рассылок содержала рекламу бухгалтерских услуг по подготовке и сдаче годовой финансовой отчетности для организаций.

Еще одной популярной темой в январе стало обеспечение безопасности корпоративных и частных жилых помещений при помощи видеонаблюдения. Рассылки с предложением таких услуг встречались как на русском, так и на английском языках.

«Нигерийские» мошенники продолжили эксплуатировать тему кончины известных людей, в данном случае Нельсона Манделы и Ариэля Шарона, для обмана пользователей и выманивания денег.

«Олимпийский» спам

В начале февраля состоялось открытие XXII зимних Олимпийских игр в Сочи,  одного из главных спортивных событий последних лет. Конечно, спамеры не могли пройти мимо такого грандиозного мероприятия, и в январе мы зарегистрировали не только рассылки от китайских фабрик и заводов, о которых писали в блоге, но и другие спам-сообщения, эксплуатирующие тему Олимпиады.

В январе традиционные рассылки с рекламой скидок на реплики часов были приурочены к предстоящим играм. Компании привлекали новых клиентов предложениями товаров с символикой Олимпиады и тематическими надписями. Эстафета Олимпийского огня стала самой продолжительной в истории Олимпийских игр, и в память об этом событии спамеры  предлагали купить сувенир в виде именного олимпийского факела. Авторы писем представлялись сотрудниками Оргкомитета (видимо, Олимпийского), однако свое имя и фамилию не называли, что уже выглядело подозрительно. А указанный в письме сайт был создан недавно и вел на англоязычный официальный сайт олимпийского движения. Кроме того, в приложенном к письму бланке заказа спамеры просили заполнить не только данные организации, но и банковские реквизиты.

 

Праздничный спам

Главные зимние праздники уже позади и спамеры переключили свое внимание на другие торжественные события. Ежегодно в январе мы фиксируем русскоязычные рассылки посвященные 23 февраля и 8 марта.

В преддверии «мужского» праздника интернет наводнили рассылки с рекламой различных подарков для сильной половины человечества, а также предложения по организации праздничных мероприятий и тематических фотосессий.

 

Подготовка к Международному женскому дню также стартовала в январе, однако тематика спам-рассылок была не так разнообразна. Средние и мелкие компании предлагали свои товары и услуги со скидкой, а также устраивали праздничные лотереи среди покупателей. Кроме того, в январе мы зафиксировали рассылки туристического спама, посвященного 8 марта.

 

Тема дня святого Валентина - праздника, популярного не только на Западе, но и в России, - в январе активно использовалась спамерами в рассылках на русском и английском языках.

Ко дню всех влюбленных компании предлагали сладкие подарки, тематические футболки и скидки на фотосессии. Для привлечения внимания получателей в теме письма упоминался день святого Валентина, а сами письма были оформлены в праздничном стиле.

 

В феврале мы ожидаем увеличения не только общего количества праздничного спама, но и отдельных тематических рассылок. Например, увеличится число туристических предложений, связанных с 8 марта, а также появится традиционная реклама цветов в подарок прекрасной половине человечества. Кроме того, в последний месяц зимы спамеры будут использовать масленицу для рекламы товаров и услуг в Рунете, а в англоязычном сегменте интернета мы ожидаем увеличение числа рассылок с упоминанием дня святого Патрика.

«Нигерийские» жены Нельсона Манделы

Печальные события, происходившие в последние месяцы, активно используются «нигерийцами» для создания новых сюжетов мошеннических писем. В начале января умер бывший премьер-министр Израиля Ариэль Шарон, и уже через неделю мы зафиксировали рассылку, эксплуатирующую данное событие. Однако имя Ариэля Шарона в январе использовалась не так часто, как имя Нельсона Манделы. Первые рассылки с упоминанием покойного экс-президента ЮАР мы обнаружили еще в декабре.

В январе, как мы и ожидали, появились новые письма. Как известно, Нельсон Мандела был трижды женат, что не осталось без внимания спамеров, и в этот раз они активно использовали имена его жен, для того чтобы убедить получателей в правдивости придуманных ими рассказов.

Обнаруженное нами «нигерийское» письмо, автором которого являлся якобы юрист второй жены покойного президента Уиннифред Мадикизелы, не содержало деталей сотрудничества. В письме только сообщалось, что жене и ее адвокату нужна помощь не только в получении огромной суммы денег и золотых слитков, но и в их дальнейшем инвестировании, и для этого они ищут добропорядочного человека, причем обязательно иностранного гражданина. Для обратной связи и обсуждения деталей сделки в письме был указан мобильный телефон. Отметим, что мошенники просили жертву связаться с ними в любом случае, даже если она не заинтересуется предложением, и сообщали, что в таком случае обратятся за помощью к кому-то другому. Данная уловка использовалась, чтобы побудить жертву принять предложение, ведь мысль о том, что несметное богатство достанется кому-то другому, может оказаться сильнее здравого смысла.

 

Еще одна рассылка пришла от имени третьей жены президента Марии де Граса Машел. На этот раз мошенники попытались разжалобить жертву грустным рассказом о борьбе внутри семьи за миллионы Нельсона Манделы и о том, что от остальных жадных родственников можно ожидать чего угодно. Для подтверждения этого рассказа в письме была приведена ссылка на статью в известном новостном издании. Надеясь, что наивная жертва пожалеет «несчастную жену президента», мошенники просили оказать помощь в переводе и сохранении денег на счете получателя письма.

 

Бухгалтерский спам

Январь – начало жаркого периода в работе многих бухгалтеров. Именно в этом месяце компании начинают формировать и отправлять на проверку квартальные и годовые финансовые отчеты. Сейчас среди мелких и средних предприятий довольно распространена практика обращения в специализированные организации для временного найма бухгалтеров, обеспечивающих подготовку и сдачу всей необходимой отчетности. Такой метод позволяет снизить расходы фирмы, поэтому пользуется все большей популярностью среди руководителей. Растет и конкуренция среди организаций, предоставляющих подобные услуги. Именно поэтому многие из них, особенно созданные недавно и не имеющие крупной клиентской базы, стремятся разрекламировать себя посредством массовых спам-рассылок. Значительное увеличение рассылок данной тематики мы закономерно отмечали на протяжении всего прошлого месяца.

 

Обычно в таких письмах авторы старались обозначить род деятельности своей конторы, подчеркнуть всю важность своевременно сданной отчетности, а также перечислить как можно больше преимуществ обращения именно к ним. Например, в письмах упоминались низкие цены и скидки на подготовку комплектов бухгалтерской отчетности, высококвалифицированные кадры, значительная экономия для бюджета организации и прочее. Для обхода антиспам-фильтров нередко применялись приемы зашумления текста, особенно адресов и контактных телефонов. Иногда в письмах содержалась лишь короткая фраза, обозначающая вид услуг (например, «бухгалтерская компания», «лучший бухгалтер», «сдача отчетности») и ссылка на сайт организации, как правило, созданный совсем недавно. При этом название конторы, от имени которой приходило предложение, в письмах указывалось крайне редко, а адреса отправителей представляли собой бессвязный набор букв и цифр.

Видеонаблюдение

В последнее время мы фиксируем все больше рассылок с предложениями покупки и установки систем видеонаблюдения для частных и коммерческих помещений. Эта тенденция заметна не только в Рунете, но и в англоязычном интернете. Как правило, предложения подобных услуг довольно типичны. В основном это незапрошенные письма от имени представителей различных компаний, специализирующихся на системах видеонаблюдения. При этом никакого намека на название компаний в адресах отправителей таких сообщений нет. В поле «От кого» чаще всего указаны или имя, или фамилия, не всегда совпадающие с именем представляющегося в письме менеджера. В письмах расписываются преимущества систем видеонаблюдения с упором на защиту жизни и имущества заказчика, а также даются примерные расценки и перечень моделей видеокамер, предлагаемых к установке. Также указывается телефон для связи.

 

Географическое распределение источников спама

Доля спама в почтовом трафике

 
Доля спама в почтовом трафике

В первую неделю нового года в почтовом трафике наблюдалось небольшое сокращение доли спама, связанное с общим снижением спамерской активности в праздничные дни. Ситуация изменилась уже на второй неделе, когда произошел заметный рост числа спам-рассылок. Во второй половине месяца ситуация нормализовалась. В среднем доля спама в январе составила 65,7%.

Страны – источники спама

По итогам января 2014 года в списке стран — источников спама, распространяемого по всему миру, произошли следующие изменения.

 
Страны – источники спама в мире

На первое место со второго переместились США (21,9%), за месяц доля разосланного из данной страны спама увеличилась почти на 3%. Далее следует лидер прошлого месяца – Китай (16%), чей показатель, наоборот, сократился на 7%. Третье место по-прежнему занимает Южная Корея (12,5%), здесь также зафиксировано сокращение доли разосланного спама почти на 1,5%.

Тайвань (6,2%) и Россия (6%) сохранили за собой 4-ю и 5-ю позиции соответственно. Замыкает десятку Румыния, откуда было разослано 2% мирового спама, что на 0,4% больше, чем в прошлом месяце.

Незначительное увеличение доли спама в январе наблюдалось в Италии (1,5%) и Испании (1%), а также у представителей Азиатского региона – Гонконга (1%) и Филиппин (1,1%). Остальные страны сохранили стабильность, как в расположении, так и в процентных показателях.

Ситуация со спам-потоками в Рунете по итогам первого месяца 2014 года выглядит следующим образом.

 
Страны – источники спама в Рунете

Лидером среди стран – источников спама в Рунете является Россия (16,4%), второе место занимает Тайвань (13,2%), замыкает тройку Индия (11,3%). По сравнению с показателями прошлого месяца доля спама, разосланного из каждой из этих трех стран, увеличилась в среднем на 0,5%.

Почти на 1% увеличился показатель Румынии (5,2%), которая по итогам января расположилась на 5-й позиции. Доля спама в Рунете, разосланного из Украины (4,4%) и США (3,8%), напротив, сократилась на 0,6% и 0,7% соответственно. Сейчас страны занимают 6-ю и 7-ю позиции нашего списка. Замыкает первую десятку Сербия (2%), переместившаяся на один пункт вверх.

Мы также отметили уменьшение доли спама, разосланного из Казахстана (1,7%) и Беларуси (1,3%). Показатели обеих стран сократились на 0,3%.

 
Регионы – источники спама

Среди регионов лидером по распространению спама в январе по-прежнему является Азия (49%). Однако по сравнению с декабрем прошлого года доля разосланного спама по данному региону сократилась на 7,6%. На втором месте находится Северная Америка (22,7%), чей показатель увеличился на 2,8%. Замыкает тройку Восточная Европа (15%), здесь также наблюдалось увеличение доли разосланного спама - на 1,3%. Далее в списке следуют Западная Европа (5,8%) и Латинская Америка (4%).

Вредоносные вложения в почте

В январе TOP 10 вредоносных программ, распространяемых по почте, выглядел следующим образом.

 
TOP 10 вредоносных программ, распространяемых по электронной почте

Лидером по масштабам распространения по-прежнему остается зловред Trojan-Spy.HTML.Fraud.gen. Напомним, что представитель семейства троянцев Fraud.gen представляет собой поддельную HTML-страницу и рассылается по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, компаний-разработчиков ПО и т.д.

На втором, третьем, четвёртом, восьмом и девятом местах расположились Trojan-PSW.Win32.Fareit.amzb, Trojan-PSW.Win32.Fareit.anaq, Trojan-PSW.Win32.Fareit.annp, Trojan-PSW.Win32.Fareit.anai и Trojan-PSW.Win32.Fareit.amzs соответственно. Все эти зловреды из одного семейства воруют пользовательские пароли и отправляют их на командный сервер злоумышленников. Также они могут осуществлять DDoS-атаки, скачивать и запускать произвольное ПО. Все пять сэмплов скачивают и запускают троянцев семейства Zbot, разработанных для атаки на серверы и пользовательские компьютеры, и перехвата данных. Хотя троянец способен выполнять различные вредоносные действия, чаще всего он используется для кражи банковской информации. Также он может устанавливать CryptoLocker – вредоносную программу, требующую деньги за расшифровку данных пользователя. Trojan-PSW.Win32.Fareit.anai также закачивает троянец, устанавливающий вредоносное расширение для браузера, которое впоследствии подсматривает поисковые запросы пользователя в крупных поисковиках и подменяет выдачу в интересах злоумышленников. Также зловреды семейства Fareit крадут кошельки Bitcoin и прочих криптовалют (всего около 30 разных).

Пятую позицию занимает рассылающий спам сетевой червь Asprox. Он автоматически заражает сайты, скачивает и запускает другое ПО, собирает ценную  информацию на компьютере, такую как сохраненные пароли, данные для доступа к почтовым и FTP-аккаунтам.

Замыкает TOP 10 вредоносных программ в почте Email-Worm.Win32.Bagle.gt. Этот почтовый червь рассылает себя по всем адресам электронной почты, найденным на зараженном компьютере. Также червь имеет функцию загрузки файлов из интернета без ведома пользователя. Для рассылки зараженных сообщений Email-Worm.Win32.Bagle.gt использует собственную SMTP-библиотеку.

 
Распределение срабатываний почтового антивируса по странам

В рейтинге стран по количеству срабатываний почтового антивируса в январе на первое место вышли США (+3,5%), передвинув Великобританию на вторую строку (-3,41%).Третью позицию по-прежнему занимает Германия (-0,39%)

Доля срабатываний почтового антивируса на территории России по сравнению с декабрём увеличилась и составила 2%. Можно также отметить появление в двадцатке стран, где было отмечено срабатывание почтового антивируса, Мексики (1,4%).

Особенности вредоносного спама.

В прошлом месяце внимание злоумышленников было сосредоточено на пользователях кроссплатформенного мессенджера для смартфонов WhatsApp, стремительно набирающего популярность среди пользователей по всему миру. Мессенджер позволяет пересылать текстовые сообщения, а также обмениваться изображениями, видео- и аудиофайлами. То, что в данный момент WhatsApp присутствует только на смартфонах, и то, что для создания аккаунта на сервисе не требуется почтовый ящик, не помешало злоумышленникам рассылать спам-уведомления по электронной почте.

 

Мы обнаружили письма, представляющие собой поддельные уведомления от WhatsApp, в которых говорилось, что один из друзей получателя или просто «знакомый» отправил ему фотографию или картинку. На самом деле в приложенном к письму архиве находилась вредоносная программа, детектируемая «Лабораторией Касперского» как Backdoor.Win32.Androm.bjkd. Это известный бэкдор, основная функция которого – загрузка на компьютер пользователя других вредоносных программ.

Фишинг

По итогам января рейтинг атакованных фишерами организаций не претерпел значительных изменений.

 
Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Первую строчку удерживают социальные сети (27,3%), их показатель по итогам месяца увеличился на 0,9%. Показатели почтовых сервисов (19,7%) и поисковых систем (16,9%) также незначительно увеличились, в результате эти организации сохранили 2-ю и 3-ю строчку в рейтинге.

Показатель финансовых и платежных организаций (15,7%) уменьшился на 0,2% и категория занимает 4-ю строчку.

Показатели телефонных и интернет-провайдеров (8,29%) и ИТ-вендоров (5,93%) незначительно уменьшились, и это не помешало им сохранить 5-ю и 6-ю строчки.

В январе фишеры рассылали поддельные уведомления от имени популярных интернет-магазинов. Так, в мошеннических письмах, подписанных якобы менеджером американской розничной сети Walmart, получатель читал, что его заказ не был доставлен и для решения данной проблемы необходимо было заполнить форму и отправить ее обратно в течение недели. Для убедительности мошенники оформили письмо в стиле официального сайта, использовали логотип компании, а в конце письма разместили автоподпись. Однако отсутствие личного обращения и перечисление сразу нескольких причин недоставки заказа должны были насторожить получателя. 

 

В январе мы также обнаружили фишинговую рассылку на немецком языке от имени магазина Amazon. В ней сообщали, что сервис зафиксировал вход в аккаунт получателя с чужого компьютера, и просили подтвердить информацию об аккаунте в течение 48 часов, иначе тот будет заблокирован. В конце письма злоумышленники указывали ссылку на фишинговую страницу. Отметим, что оформление письма ничем не напоминало легитимное сообщение, видимо, мошенники делали ставку на неопытность и невнимательность получателя, используя, на первый взгляд, настоящий электронный адрес магазина в поле From.

 

Заключение

Доля спама в мировом трафике в январе уменьшилась на 7,6% и составила 65,7%. Как мы и прогнозировали, на снижение доли спама оказало влияние затишье в начале месяца, когда деловая активность снижается и большое количество ботнетов выключено.

Праздничный спам в январе был посвящен традиционным российским праздникам: 23 февраля и 8 марта. Спам-рассылки содержали рекламу различных подарков, а также услуг по организации мероприятий и туристических поездок. Другой праздник, день святого Валентина, эксплуатировался как в англоязычном, так и в русскоязычном спаме.  Мы зафиксировали традиционные рассылки «цветочных» партнерок, рекламу услуг по проведению романтического ужина и многочисленные предложения приобрести праздничные подарки. 

В январе мы обнаружили множество крупных рассылок с предложением бухгалтерских услуг и помощи в сдаче финансовой отчетности. Такие предложения продолжат рассылаться вплоть до марта – месяца сдачи годового бухгалтерского баланса, затем мы прогнозируем некоторый спад писем данной тематики.

Как мы и ожидали, спамеры продолжили рассылать «нигерийские» письма, использующие тему кончины Нельсона Манделы, - на сей раз мошенники представлялись женами или помощниками жен покойного президента. В январе для обмана пользователей мошенники использовали и тему кончины Ариэля Шарона.

Еще одним важным событием, привлёкшим внимание спамеров, стала предстоящая Олимпиада в Сочи. В январе нами были зафиксированы рассылки с рекламой реплик элитных товаров и аксессуаров с логотипом игр.

По итогам января рейтинг организаций, атакованных фишерами, не претерпел значительных изменений. Первую строчку занимают социальные сети, их показатель увеличился на 0,9%. Далее идут почтовые сервисы и поисковые системы, чьи показатели также незначительно выросли.

Среди поддельных уведомлений, содержащих вредоносное ПО, продолжают лидировать популярные во всем мире социальные сети, а также приложения для обмена мгновенными сообщениями. В январе злоумышленники рассылали вредоносные уведомления от имени кроссплатформенного мессенджера для смартфонов WhatsApp.

НОВОЕ НА САЙТЕ

17 августа 2017 года

Компания «Доктор Веб» уже рассказывала о том, ровно некорректная настройка DNS-серверов в совокупности с иными причинами помножать вст... Горячая лента угроз и предупреждений о вирусной опасности!

17 августа 2017 года

Компания «Доктор Веб» информирует об обновлении модуля Dr.Web AV-Desk Agent for Windows setup (11.0.6.08070) в интернет-сервисе Dr.Web AV-Desk 10.0 так что Dr.Web Enterprise Agent for Windows setup (11.0.6.08033) в Dr.Web Enterprise S... Антивирус Dr.Web

8 августа 2017 года

Компания «Доктор Веб» информирует об обновлении управляющего обслуживания Dr.Web Control Service (11.0.18.07311) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0 так что Dr.Web Enterprise Security Suite 10.1, а уж тоже (11... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» сообщает о завершении инспекционного контроля для сертифицированной в ФСТЭК России версии Dr.Web Enterprise Security Suite (сертификат соответствия от 27 января 2016 г. № 3509). Эта процедура была направлена на ис... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» информирует об обновлении дарового деньги аварийного восстановления так что исцеления ПК – Dr.Web LiveDisk 9.0.

Реализовано поправка проблемы, приводившей на неких системах под управле... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» информирует о окончании инспекционного контроля для сертифицированной в ФСТЭК нашей родины версии Dr.Web Enterprise Security Suite (сертификат соответствия от 27 января 2016 г. № 3509). данная процедура была ориен... Антивирус Dr.Web

2 августа 2017 года

Специалисты корпорации «Доктор Веб» отмечают, ровно в вебе участились случаи распространения фишинговых писем, кои преступники рассылают якобы от имени отечественного регистратора доменов, корпорации «Региональный Сетевой Информационны... Горячая лента угроз и предупреждений о вирусной опасности!

2 августа 2017 года

Компания «Доктор Веб» информирует об обновлении брандмауэра Dr.Web Firewall (11.1.6.07100), драйвера Dr.Web Firewall Driver (11.01.06.07110) так что агента SpIDer Agent for Windows (11.0.17.07240) в продуктах Dr.Web Security Space 11.0... Антивирус Dr.Web

1 августа 2017 года

Компания «Доктор Веб» информирует о начале деяния новеньких правил блокировки так что подмены пиратских главных файлов в отношении продуктов Dr.Web.

В июле эксперты фирмы «Доктор Веб» нашли на нескольких моделях Android-смартфонов предустановленного троянца, коего преступники ввели в системную библиотеку. данная вредная программа проникала в процессы приложений так чисто могла неприметно скачивать ... Вирусные новости