Спам в феврале 2009 года

Особенности месяца

• Доля спама в почтовом трафике по сравнению с январем увеличилась на 0,5% и составила в среднем 87,2%.
• Доля спама с графическими вложениями снизилась на 4% и составила 13%.
• Ссылки на фишинговые сайты находились в 0,84% всех электронных писем, что на 0,11% меньше, чем в январе.
• Вредоносные файлы содержались в 0,20% электронных сообщений, что на 0,84% меньше, чем в прошлом месяце.
• Под видом программы для чтения чужих SMS-сообщений распространялись вредоносные программы.
• Было зафиксировано несколько рассылок поздравительных открыток со ссылками на файлы в формате exe.
• Рубрика «Реклама спамерских услуг» вышла на первое место в списке лидирующих тематик.
• В пятерку лидирующих тематик вошла рубрика «Недвижимость».

Доля спама в почтовом трафике

Доля спама в почтовом трафике в феврале 2009 года в среднем составила 87,2%. Самый низкий показатель отмечен 20 февраля – 81,4%, больше всего спама зафиксировано 22 числа – 93%.

Доля спама в Рунете в феврале 2009 года

Доля графического спама несколько уменьшилась – и составила 13% (вместо январских 17%).

Распространение вредоносных программ

Доля писем, содержащих вредоносные вложения, в последний месяц зимы сократилась на 0,84% и составила 0,20%.

Злоумышленники по-прежнему под разными предлогами пытаются спровоцировать пользователей открыть вредоносное вложение. Так, в одном из разосланных спамовых писем, подделанном под дружеское послание, во вложении под именем installer.exe находился Trojan-Spy.Win32.Goldun.bw:

На протяжении всего месяца рассылались спамовые письма, в которых пользователям предлагалась программа для чтения чужих SMS-сообщений. Подобные предложения встречались и в прошлом году www.kaspersky.ru/news. В феврале текущего года они приняли массовый характер. При попытке загрузить пробную версию «шпиона» на компьютер пользователя загружалась вредоносная программа, которую злоумышленники меняли каждый день на протяжении месяца. В конце февраля в письмах предлагалось оплатить программу, отправив SMS-сообщение на четырехзначный номер. То есть, один и тот же прием социальной инженерии использовался сначала для заражения компьютеров, а затем – для выманивания денег у пользователей.

Рассылки с предложением посмотреть поздравительную открытку в день святого Валентина традиционно используются злоумышленниками для распространения вредоносных ссылок. В приведенном ниже письме по ссылке находился Email-Worm.Win32.Iksmas.zl.

Фишинг

Доля писем с фишинговыми ссылками в феврале составила 0,84%, что на 0,11% меньше, чем в январе. Чаще всего атакам подвергались платежная система PayPal (39,64%) и интернет-аукцион eBay (20,58%).

 

Организации, подвергнувшиеся
фишинговым атакам в феврале

Тематический состав спама

 
Распределение тематик спама в Рунете в феврале 2009г.

Пятерка лидирующих спам-тематик февраля:

1. «Реклама спамерских услуг» - 15,8% (+3,6%)
2. «Медикаменты; товары и услуги для здоровья» - 14,9% (-10,4%)
3. Спам «для взрослых» - 14,1% (-5,6%)
4. «Образование» - 12,7% (+6,2%)
5. «Недвижимость» - 4,7% (+2,3%)

В период экономического кризиса прежние лидеры рейтинга спам-тематик теряют вес, при этом в лидирующей пятерке оказываются те тематики, которые никогда не занимали первых мест в рейтинге. Это свидетельствует о том, что спамеры теряют клиентов, которые в течение долгого времени обеспечивали их заказами, и вынуждены активно искать новых заказчиков рассылок. На этом фоне конкуренция между различными спамерскими компаниями обостряется. Симптоматично, что в феврале на первое место в рейтинге тематических рубрик спама вышла реклама спамерских услуг. Спамеры не только активно рассылают собственную рекламу, но и стараются, чтобы эта реклама была как можно более эффективной: в ход пошли наиболее удачные приемы и образцы рекламы прошлых лет.

Кроме многочисленных русскоязычных предложений, ориентированных на пользователей Рунета, в феврале была зафиксирована англоязычная рассылка, предлагавшая распространение незапрошенных писем по почтовым базам Великобритании:

Доля рубрики «Медикаменты: товары и услуги для здоровья», которая в течение долгого времени занимала первые места в рейтинге спам-тематик, продолжает уменьшаться. В феврале она сократилась почти вдвое – с 25,3% до 14,9%, а к концу месяца на долю таких рассылок приходилось чуть более 10% спама.

Как и прежде, эта рубрика представлена в основном письмами, рекламирующими виагру и ее аналоги. Самым необычным письмом этой серии оказалось послание, снабженное ссылками на якобы «шокирующую новость», касающуюся американского президента. По обеим ссылкам, содержащимся в письме, находился Trojan-Downloader.JS.Inor.a, который загружался на компьютер, а затем перенаправлял пользователя на сайты, рекламирующие медикаменты.

Окончание зимних праздников повлекло за собой рост числа предложений обучающих программ и семинаров, что позволило рубрике «Образование» увеличить свою долю в спаме на 6,2%.

Важно отметить существенный рост (почти в два раза по сравнению с январским показателем) процента писем рубрики «Недвижимость», где основными были предложения об аренде помещений. Эта рубрика впервые попала в пятерку лидеров. Такой всплеск можно объяснить кризисной ситуацией в экономике, которая влечет за собой отказ части арендаторов от съема офисных помещений и необходимость в дополнительной (и дешевой) рекламе сдаваемых площадей.

Спамерские методы и трюки

В феврале спамеры активно использовали уже опробованные и, с их точки зрения, эффективные методы. В ход вновь были пущены старые приемы, искажающие тексты рассылаемых писем, зашумление картинок, ссылки на домены третьего уровня и т.д. При всем разнообразии используемых методов, ничего принципиально нового спамеры придумать не смогли.

В разряд любопытных новинок февраля можно отнести рассылку, предлагавшую программу для совершенствования письменного английского языка. Эта рассылка была представлена письмами на разных языках, рекламировавшими один и тот же товар. Авторы этой рассылки подошли к делу основательно: при переходе по ссылке пользователь попадал на страницу, рекламирующую товар на языке той страны, в которой был зарегистрирован IP-адрес его компьютера. Сам сайт был размещен в доменной зоне .asia, предназначенной для стран азиатско-тихоокеанского региона и Австралии.

Заключение

Доля спама в Рунете остается на высоком уровне. Можно предположить, что эта тенденция будет сохраняться вплоть до периода летних отпусков. Впрочем, условия экономического кризиса могут внести свои – иногда труднопредсказуемые - коррективы и в развитие спам-бизнеса. Пока мы видим, как спамеры стремятся повысить эффективность своей деятельности, используя комбинации различных приемов, расширяя географию рассылок и усиливая собственную рекламу. В целом, текущий период можно охарактеризовать как период повышенной активности и изощренности спамеров. Пользователям нужно учесть, что спам становится все более агрессивным, и предпринимать необходимые меры предосторожности.