На прошедшей неделе количество спама в потоке писем Рунета было больше, чем на позапрошлой - 86,9% всех писем оказались мусором, в отличие от 80,4%, которые принесла позапрошлая неделя. Тематики спама распределились привычным нам образом: больше всего писем принадлежат тематике «Образование»: 54,7% (по сравнению с прошлой неделей это число чуть-чуть уменьшилось), затем с большим отрывом идут «Другие товары и услуги» (13,8%), а на третьем месте - тематика «Недвижимость» (8,9%).

С конца прошлого года Trend Micro наблюдает неуклонный рост популяции червя Palevo.

Согласно статистике Trend Micro, после ареста операторов ботнета Mariposa, сформированного на основе Palevo, масштабы его распространения резко сократились. Такой исход не явился сюрпризом: в состав Mariposa входили миллионы зомби-машин. Однако с недавних пор количество детектов Palevo резво стремится ввысь, умножилась и армия серверов, управляющих этим червем. По данным Palevo Tracker, их число уже перевалило за сотню и демонстрирует устойчивые темпы роста.

Особенно много таких серверов в Китае, США, Канаде. Командные центры Palevo, размещенные на территории России, сосредоточены в сетях хостинг-провайдера YabaMedia Ltd. (AS 49097). Наибольшее число C&C, управляющих этим червем, обнаружено в доменной зоне .su; соответствующие блоки IP-адресов используются YabaMedia, украинской AS48587 и китайцами.

По свидетельству экспертов, новые варианты Palevo, замеченные itw, немного отличаются от своих предшественников, но выполняют тот же набор функций. Данный червь-полиморфик наделен функционалом бэкдора и распространяется через р2р-сети, USB-накопители и системы мгновенного обмена сообщениями. Palevo может долго оставаться незамеченным: постоянно обновляется, шифрует данные, отсылаемые в центр управления, и использует UDP-протокол. Дополнительные модули обеспечивают смену способа распространения, мониторинг и перехват сеансов связи через браузер, проведение DDoS-атак и загрузку вредоносных файлов.

В мае эксперты MessageLabs зафиксировали появление поддельных сервисов сокращения ссылок, которые спамеры использовали для перенаправления пользователей на страницы с целевой рекламой.

По свидетельству исследователей, к этим сайтам нет публичного доступа, их не найти в поисковых системах, на них не ссылаются участники микроблогов. На стартовой странице маскировочного сервиса обычно размещена лишь заставка, удерживающая внимание посетителя во время загрузки целевого контента. Здесь нет ни информации об услугах, ни ссылок на генератор коротких URL.

Сокращенные ссылки, созданные с помощью этих имитаций, не присутствуют в явном виде в спам-письмах. В качестве целевой ссылки спамеры указывают URL, сгенерированный на легальном сервисе укороченных ссылок, а тот, в свою очередь, привязывается к редиректу на фальшивом сервисе спамеров. Таких редиректов может быть до десятка; пройдя всю цепочку трамплинов, пользователь попадает на сайт с целевой рекламой.

Исследователи из Калифорнийского университета предложили бороться со спамом, блокируя платежи по товарам, которые он рекламирует.

Чтобы найти «ахиллесову пяту» экосистемы спам-бизнеса, университетские исследователи поставили следующий эксперимент. Отказавшись от антиспам-защиты, они в течение 3-х месяцев усердно разгребали потоки почтового мусора, оседавшие в подставных ящиках, и делали контрольные закупки на сайтах, указанных спамерами. Всего было просмотрено около 1 млрд. спам-писем и оформлено 120 заказов, выполнение которых обошлось академикам в несколько тысяч долларов (оплата производилась по одноразовым платежным картам Visa).

Этот эксперимент помог отследить и оценить каждое звено в процессе монетизации спама, от сетевой базы спам-рассылок и подрядных «партнерок» до банковских услуг и взаимодействия с поставщиками. Оказалось, что самой уязвимой ступенью в этой цепочке взаимоотношений является процедура получения оплаты за товар, продвигаемый в спаме. Как показало исследование, 95% сделок по купле-продаже медикаментов, реплик элитных товаров и ходового софта, продвигаемых спамерами, проводятся при участии лишь 3-х кредитно-финансовых организаций. Это крупные банки, которые сами осуществляют обработку платежей по кредитным картам, и базируются они на территории Азербайджана (АзериГазБанк), Дании и на острове Невис (Вест-Индия).

Согласно результатам опроса, проведенного по клиентской базе Avira, 72% пользователей получают не более 10 спам-сообщений в сутки.

В опросе, проходившем в марте-апреле, приняли участие свыше 2,2 тыс. пользователей интернета. Как оказалось, больше половины из них установили персональный спам-фильтр, и 45% респондентов его работой довольны. 19% участников опроса не используют средства индивидуальной защиты от почтового мусора и полагаются на соответствующие решения своего интернет-провайдера.

По словам экспертов, повсеместное распространение технических средств защиты от спама явно начинает приносить свои плоды. В настоящее время почти все почтовые сервисы снабжены какой-либо системой фильтрации, которая блокирует основную массу нелегитимной корреспонденции, атакующей конечного адресата. Нет спору, эффективность этой защиты порой не столь высока, как хотелось бы, и разработчикам антиспам-решений рано почивать на лаврах. Однако снижение процента доставки непрошеных писем привело к тому, что ответная реакция на их получение стала намного спокойней.

Да и сама ситуация со спамом в интернете заметно меняется: победы, одержанные над ботоводами за последние пару лет, пробили серьезные бреши в арсенале спамеров и вызвали сбои в спам-трафике ― передышки, о которых ранее можно было только мечтать.

Несколько дней назад «Лаборатория Касперского» обнаружила первый банковский руткит, предназначенный для 64-разрядных систем. Он распространялся в ходе drive-by атаки, организованной бразильскими киберпреступниками.

Мы обнаружили вредоносный Java-апплет, внедренный в популярный бразильский веб-сайт. В ходе атаки вредоносный апплет обеспечивал заражение пользователей, использующих старые версии JRE (Java Runtime Environment), независимо от того, какая версия системы у них установлена — 32- или 64-разрядная.

Апплет содержит несколько интересных файлов:

Международный союз по электросвязи (МСЭ) и Управление Организации Объединенных Наций по наркотикам и преступности (УНП ООН)подписали [PDF 197 Кб] меморандум о взаимопонимании, в рамках которого эти организации будут совместно оказывать помощь государствам в борьбе с киберугрозами и киберпреступностью.

В условиях криминализации интернет-пространства укрепление сотрудничества экспертов по телекоммуникациям и опытных юристов, работающих в системе ООН, отвечает интересам всех лояльных участников «всемирной паутины». Отныне обе команды будут сообща заниматься обеспечением квалифицированных кадров и ресурсов, необходимых для совершенствования правовых мер и законодательной базы в соответствующей области на национальном уровне.

Согласно результатам [PDF 254 Кб] исследования, проведенного маркетологами из uSwitch, в прошлом году владельцы домашних ПК в Великобритании ежедневно получали 107 млн. спам-писем, что на 30% больше, чем в 2007 году. С расширением использования мобильных средств связи дневная норма спамовых SMS за тот же период увеличилась на 300% ― почти до 4 млн. сообщений в сутки.

Исследователи получили столь безутешные показатели, экстраполировав результаты заказного онлайн-опроса, проведенного специализированным сервисом YouGov в феврале текущего года. В опросе приняли участие 7759 представителей взрослого населения Соединенного Королевства. Как выяснилось, мусорную почту получают 83% британцев, выходящих в Сеть с домашнего компьютера, причем 26% ― по десять и более спам-писем в сутки. 18% индивидуальных пользователей страдают от инфекции, приобретенной в результате вредоносной рассылки.

Федеральная торговая комиссия США (ФТК) подала иск против ряда компаний, их владельца и четверых его подручных, которые, предлагая через интернет бесплатные товары и услуги, обманом выманили свыше 450 млн. долларов у граждан США, Канады, Великобритании, Австралии и Новой Зеландии.

Согласно исковому заявлению [PDF 0,98 Мб], канадец Джессе Уилмз (Jesse Willms) с 2007 года контролировал деятельность 10-ти компаний, зарегистрированных в США, Канаде, Великобритании и на Кипре. Эти бизнес-структуры навязывали пользователям «бесплатную» пробу натуральных препаратов для снижения веса, отбеливателей для зубов, пищевых добавок, а также «безвозмездную» помощь в трудоустройстве на дому, оформлении кредитов и правительственных субсидий. Претендентам предлагались некие «бонусы» за участие в «программах», а в некоторых случаях на соответствующем сайте размещалась еле видная пометка, что участник должен оплатить доставку товара.

На прошлой неделе количество спама в потоке писем Рунета составило 80,4%. Это число меньше показателя прошлой недели на 2,9 пунктов.

Распределение спама по тематикам слегка отличается от того, что было у нас на позапрошлой неделе. Больше всего писем приходится, как мы уже привыкли в последнее время, на тематику «Образование»: 56,2% (по сравнению с прошлой неделей показатель уменьшился, но остался высоким), но следом за ней — тематика «Недвижимость» (9,5%), а на третьем месте — «Другие товары и услуги» (9,1%).

Пару недель назад, отвечая на вопрос одного из американских изданий о том, чего не хватает российским исследователям в области информационной безопасности – я назвал две вещи:

- Недостаточное владение или отсутствие постоянной практики общения на английском языке. Это значительно затрудняет для них нахождение в курсе происходящих событий, ознакомление с трудами зарубежных коллег и влечет за собой обратный процесс – когда западные эксперты не знакомы с массой российских исследователей безопасности.

- Отсутствие в России действительно профессиональных конференций, сравнимых по составу и контенту с такими мероприятиями, как Black Hat, Defcon, Source и т.д. Только немногие из местных экспертов могут поехать на эти конференции за границу. Это опять же влечет за собой отставание в ознакомлении с новыми событиями и не дает российским экспертам быть полноценной частью мирового сообщества.

В прошлую пятницу в Москве впервые прошел форум Positive Hack Days (PHD), который стал примером, того чего так не хватает отечественному IT-security коммьюнити. Организаторам удивительным образом удалось не только составить программу, покрывающую все самые горячие темы, расследования инцидентов, уязвимостей в браузерах, кибервойну, безопасность SCADA-систем и т.д. но и создать вокруг всего этого очень комфортную атмосферу, позволявшую всем приглашенным постоянное вовлечение – в общение, в наблюдение, в участие.

На днях экспертами Лаборатории Касперского были обнаружены новые экземпляры вредоносной программы MAX++ (он же ZeroAccess). Этот троянец и ранее был известен тем, что использовал передовые rootkit-технологии для скрытия своего присутствия в системе. Если раньше Max++ работал только под платформу x86, то теперь же он способен работать и на x64 системах!

Заражение пользователей происходит с помощью drive-by атаки на браузер и его компоненты через набор эксплойтов Bleeding Life. В частности, атаке подвергаются модули Acrobat Reader (CVE 2010-0188, CVE 2010-1297, CVE 2010-2884, CVE 2008-2992) и JAVA (CVE 2010-0842, CVE 2010-3552).

Немецкая компания Sirrix, выполняя госзаказ, реализовала концепцию безопасного веб-браузера, работающего в виртуальной среде автономно от базовой операционной системы.

Browser in the Box («браузер в коробке», сокращенно BitBox) использует Firefox 4.0.1, который запускается на отдельной виртуальной машине Oracle VirtualBox под собственной ОС ― сокращенным вариантом дистрибутива Debian 6 Linux. В отличие от «песочницы», такой способ изоляции позволяет браузеру выполнять основные задачи, не обращаясь к пользовательской системе. Единственным связующим звеном между ними является совместно используемая папка, в которой хранятся конфигурационные файлы обозревателя и файлы, загружаемые пользователем из интернета, которые после проверки антивирусом оседают в соответствующем каталоге. Доступ к общей папке осуществляется под отдельной учетной записью.

При каждом запуске BitBox возвращается к дефолтному состоянию, заданному при его установке. В результате любая инфекция, пойманная через браузер, не может нанести вреда пользовательской системе и автоматически удаляется с началом нового сеанса. Утечки конфиденциальной информации предотвращает дополнительная мера ― запрет на экспорт данных.

По словам разработчика, в эксплуатации новинка ничем не отличается от обычного Firefox 4. Индивидуальные пользователи Windows XP/Vista/7, а также Debian Linux, Ubuntu, OpenSUSE и Gentoo могут установить BitBox на безвозмездной основе. Расширенная версия для работы в корпоративной сети с централизованным управлением потребует оплаты. Соединение с интернетом она осуществляет через общий шлюз, используя защищенный туннель, а доступ к внутренней сети остается в ведении клиентских приложений.

При всех очевидных достоинствах BitBox, судя по отзывам, все же имеет ряд весьма существенных недостатков. Он не защищает от атак фишеров, основанных на приемах социальной инженерии, ибо не может воспрепятствовать самовольному вводу персональных данных на поддельном веб-сайте. Серьезным ограничением является тот факт, что все версии приложения доступны лишь на немецком языке. Наконец, многих может отпугнуть объемность BitBox: после установки он займет почти 2 Гб.

Английский студент, собиравший пароли геймеров с помощью вредоносной программы, приговорен к 8 месяцам лишения свободы с отсрочкой исполнения на 1 год.

22-летнемй Полу Мак-Локлину (Paul McLoughlin), видимо, катастрофически не везло в онлайн-играх. Стремясь повысить свои результаты, он разместил на файлообменном сервисе специализированную программу iStealer, выдавая похитителя паролей за генератор ключей к лицензионным версиям популярных игр. По данным полиции, «кейген» успешно скачали свыше 100 любителей халявы; 20 взломанных игровых аккаунтов хакер использовал для достижения намеченной цели.

Мак-Локлина обвинили в нарушении Закона о неправомерном использовании компьютерных технологий (Computer Misuse Act). Свою вину он признал; суд учел также тот факт, что изобретательный геймер не стремился извлечь материальную выгоду из информации, оказавшейся в его распоряжении. В противном случае приговор мог оказаться гораздо суровее.

По оценке Microsoft, к концу прошлого года присутствие фишеров в социальных сетях обрело стабильность и масштабный характер.

Количество попыток захода на фишинговые сайты, имитирующие социальные веб-сервисы, за год увеличилось в 13 раз. Если в январе 2010 года на их долю приходилось лишь 8,3% кликов по ссылкам фишеров, то в декабре они уже составляли 84,5% от общего числа визитов, заблокированных фишинг-фильтрами IE.

Эксперты отмечают, что в целом реакция потенциальных жертв на приманки фишеров весь год показывала весьма ровные результаты. Исключение составил июнь, когда злоумышленники затеяли масштабную охоту на идентификаторы к игровым аккаунтам. В это время количество кликов по соответствующим ссылкам увеличилось до 16,7% от общего числа пресеченных попыток зайти на фишинговый сайт. В последние 4 месяца года пользователи явно утратили интерес к подделкам, имитирующим финансовые организации.

Активные фишинговые сайты Microsoft заносит в черные списки, разделяя их на 5 тематических категорий: финансы, электронная коммерция, онлайн-игры, интернет-сервисы и социальные сети. По данным компании, количество уникальных фишерских подделок в каждой категории весь год оставалось достаточно стабильным. Преобладающей разновидностью являлись веб-сайты, имитирующие сетевые ресурсы финансовых институтов; на их долю ежемесячно приходилось 80-90% ловушек, созданных фишерами. Число подделок социальных веб-сервисов, напротив, было чрезвычайно мало. В конце года наблюдалось некоторое увеличение их популяции, которая, тем не менее, в декабре составляла лишь 4,2% от общего количества сайтов-ловушек.

По оценке Websense, Канада в настоящее время занимает 6-е место в глобальном рейтинге стран-хостеров, давших приют киберкриминалу, и количество площадок с запятнанной репутацией в этой стране неуклонно увеличивается.

Согласно статистике компании, за прошлый год количество фишинговых сайтов, размещенных на территории Канады, увеличилось более чем в 4 раза. В десятке стран-лидеров по этому показателю канадский веб-хостинг занимает второе место ― после США. Ступенью ниже располагается Египет, единственный хостер, превосходящий Канаду по темпам роста популяции сайтов-ловушек. К слову сказать, Россия в этом рейтинге от Websense занимает 7-е место ― после Германии, Великобритании и Голландии.

Поголовье C&C ботнетов, поднятых на канадских серверах, за 8 месяцев увеличилось более чем в полтора раза. В этой категории Канада тоже поднялась на вторую позицию, соседствуя с такими странами, как США, Франция, Германия и Китай. Эксперты отметили тенденцию к сокращению глобальной популяции ресурсов, используемых злоумышленниками для зловредных загрузок. Однако в Канаде этот процесс проявляется заметно слабее, чем в других странах.

Согласно статистике McAfee, после прошлогоднего затишья количество новых вариантов поддельных антивирусов, вымогающих деньги за лечение несуществующих угроз, вновь начало увеличиваться.

Наиболее интенсивные темпы прироста эксперты фиксировали в 2008-2009 гг., а также в начале 2010 года. Затем число инноваций на этом рынке заметно сократилось. Подъем, зафиксированный McAfee в первом квартале текущего года, отчасти объяснился появлением множественных модификаций корейского производства.

Как выяснилось, эти «новинки», атакующие американцев и европейцев с поддоменов Южной Кореи, не так уж юны. Большинство их ― цельнотянутые варианты продуктов, созданных в 2009-10 гг. Тем не менее, по мнению экспертов, расслабляться рано, псевдоантивирусы все еще представляют серьезную угрозу безопасности пользователей в интернет-пространстве.

Новое исследование, проведенное Juniper Networks, показало, что за последние полтора года количество угроз безопасности мобильных устройств достигло рекордных показателей.

17% заражений, зафиксированных в этот период, приходилось на SMS-троянцев, которые осуществляют звонки на премиум-номера. Число кибератак с применением зловредов, работающих на платформе Android, с прошлого лета выросло впятеро. Увеличилось также количество целевых атак с перехватом Wi-Fi подключений, в том числе с целью хищения пользовательских идентификаторов к электронной почте и социальным веб-сервисам. Каждый двадцатый смартфон в пределах абонентской базы Juniper был потерян или украден.

По оценке компании, наибольший риск в отношении сохранности пользовательских данных представляют загрузки приложений с сайтов, распространяющих ПО для смартфонов и КПК. Рост популярности этих устройств и активизация их использования для личных и корпоративных нужд представляют все больший соблазн для сетевого криминала. Однако многие владельцы смартфонов до сих пор не осознали степень угрозы, не заинтересованы в обеспечении их безопасности и скачивают нужные программы из непроверенных источников, не удосужившись поставить элементарные средства защиты. Большую группу риска составляют тинейджеры: 20% из них даже не скрывают, что обмениваются друг с другом материалами крамольного или откровенно порнографического характера, используя мобильную аппаратуру.

Эксперты Juniper напоминают, что безответственное отношение к безопасности интеллектуальных мобильных устройств ставит под удар не только прайвеси их владельцев, но и конфиденциальность служебной информации. Смартфоны ― те же мини-компьютеры и нуждаются в адекватной защите не меньше, чем настольные ПК.

Двое английских тинейджеров осуждены за взлом онлайн-ресурсов и кражу банковских реквизитов.

Согласно материалам дела, в апреле 2009 года 19-летний Закари Вудем (Zachary Woodham) провел кибератаку против веб-хостера Punkyhosting. Компания обнаружила несанкционированное вторжение и попыталась помешать взломщику. В ответ последовала череда новых атак, которые не утихали на протяжении нескольких недель и начисто лишили хостинг-провайдера возможности проводить деловые операции. Окрыленный успехом, юный хакер ознаменовал свою победу отправкой озорного сообщения на адрес жертвы.

Компания обратилась за помощью в полицию. Вудема идентифицировали как одного из завсегдатаев кардерского онлайн-форума GhostMarket и произвели у него обыск. В ходе расследования всплыло еще одно имя ― Луис Тобенхаус (Louis Tobenhouse). Как оказалось, 18-летний юнец помогал приятелю сочинять руководства для начинающих хакеров, которыми они торговали на GhostMarket. Сообщники развлекались также взломом казино и букмекерских сайтов, исследовали клиентские базы хостинг-провадеров. На жестких дисках компьютеров, изъятых полицией у криминального дуэта, были найдены тысячи идентификаторов к банковским картам.

В декабре прошлого года правонарушителям были предъявлены обвинения в неправомерном доступе к компьютерным ресурсам и мошенничестве. Свою вину молодые люди признали полностью. Закари Вудем приговорен к 1 году тюремного заключения с отсрочкой исполнения на 2 года, а также к 240 часам общественных работ. Луис Тобенхаус проведет 1 год под надзором общественности и отработает бесплатно 200 часов.

Updata Partners, венчурный инвестор в области цифровых технологий, объявила о покупке подразделения CA Technologies, специализирующегося на разработке антивирусных решений для оконечного оборудования. Сделка по купле-продаже должна быть завершена в июне.

Новой компании уже присвоено имя ― Total Defense, Inc. Updata надеется возвести свое детище в ранг нового лидера глобального рынка информационной безопасности. Инвестиционная компания в свое время профинансировала также M86 Security, Alert Logic («облачная» защита), CoreStreet (теперь собственность ActiveIdentity), SwapDrive (выкуплена Symantec), e-Security (вошла в состав Novell).

Соглашение с CA Technologies не затрагивает основное направление ее деятельности. Компания специализируется на разработке решений по защите корпоративных ИТ-процессов, в основном, на создании ПО для управления вычислительными средами, идентификацией и привилегиями доступа.

На прошлой неделе количество спама в потоке писем Рунета составило 83,3%. Это на 3,1 пункта больше, чем показатель позапрошлой недели.

Тройка "лидеров" не изменилась: "Образование" - 60,3% от всего потока спама, "Другие товары и услуги" - 8,4%, "Отдых и путешествия" - 5,7%.

На днях в антивирусную лабораторию попал очень интересный сампл — даунлоадер, содержащий в себе два драйвера, и скачивающий фальшивый антивирус, как под платформу PC, так и под MacOS. Этот зловред загружается и устанавливается на машину пользователя при помощи эксплойт-пака “BlackHole Exploit Kit”. Последний, в свою очередь, содержит эксплойты, использующие уязвимости в JRE (CVE-2010-0886, CVE-2010-4452, CVE-2010-3552) и PDF.

Оба драйвера — типичные руткиты с богатым функционалом. Один из них — 32-битный, а второй — 64-битный. Особенность последнего состоит в том, что он подписан т.н. тестовой цифровой подписью. Если Windows, семейства Vista и выше, была загружена с ключом ‘TESTSIGNING’, то приложения смогут загружать драйвера, подписанные тестовой подписью. Это специальная лазейка, которую оставила Microsoft для разработчиков драйверов, чтобы те могли тестировать свои творения. Этим-то и воспользовались злоумышленники — они выполняют команду ‘bcdedit.exe –set TESTSIGNING ON’, что позволяет им запустить свой драйвер без легальной подписи.

В Финляндии задержаны 17 участников криминальной группировки, пытавшейся украсть около 1,2 млн. евро у клиентов Nordea Bank.

Большинство из них ― местные наемники, «дропы», помогавшие хакерам выводить деньги с взломанных счетов в Эстонию. Двое уроженцев этой страны подозреваются в использовании вредоносной программы ― предположительно одного из вариантов банковского троянца Gozi, он же Papras, ― с целью хищения идентификаторов, вводимых пользователями в веб-формы Nordea. По данным полиции, сообщникам удалось с помощью зловреда взломать 89 клиентских аккаунтов.

С начала прошлого года данная хакерская группировка совершила свыше сотни попыток провести мошенническую транзакцию. Благодаря бдительности их жертв и вмешательству банка, большинство этих попыток были пресечены. Из 1,2 млн. евро, которые предполагали получить злоумышленники, не удалось вернуть лишь 178 тысяч.

Компания Sophos объявила о заключении соглашения о выкупе Astaro, одного из ведущих поставщиков комплексных средств сетевой защиты (Unified Threat Management, UTM).

Частная компания Astaro, головные офисы которой расположены в США и Германии, специализируется на разработке многофункциональных и простых в управлении программно-аппаратных систем, способных обеспечить безопасность небольшой корпоративной сети. Эти UTM-комплексы обычно включают брандмауэр, систему предотвращения вторжений, URL-фильтр и используются для защиты ИТ-инфраструктуры датацентров, предприятий малого и среднего бизнеса, локальных офисов, школьных и правительственных сетей. По оценке маркетолога IDC, глобальный рынок UTM-решений находится на подъеме. В прошлом году его оборот составил около 2 млрд. долларов при среднегодовом приросте 13%.

По мнению участников соглашения, объединение их взаимодополняющих портфолио позволит расширить спектр предлагаемых услуг и решений. Выстраивание многоуровневой защиты для оконечных устройств и компьютерных сетей обеспечит координацию политик и мер безопасности, улучшит информационный обмен и ведение отчетности. Новый альянс планирует продолжить работу по созданию систем тотальной и гибкой защиты корпоративных данных и ИТ-инфраструктуры, не ограниченных местоположением конечных пользователей и сетевым периметром.

13 мая в Госдуме будут обсуждать законопроект о внесении изменений в российское законодательство для более успешной борьбы со спам-рассылками. Принятие этих поправок должно привести российское антиспам-законодательство в соответствие с международными нормами, с их четким определением спама и уголовной ответственностью за его распространение.

В подготовке нового законопроекта приняли участие думские специалисты по информационным технологиям и эксперты Российской Ассоциации электронных коммуникаций (РАЭК). За основу авторы взяли ключевые требования законов о спаме Австралии, США и Канады, такие как четкое указание отправителя рассылки и его действующих координат, соответствие темы и содержания письма, соблюдение принципов OPT-IN и OPT-OUT, неприемлемость автоматизированного сбора адресов для осуществления массовых рассылок.

Если законопроект будет принят, интернет-провайдеров обяжут собирать информацию о фактах злоупотреблений и оказывать активное противодействие спамерам. Административные штрафы за нарушения вышеназванных требований составят: для граждан ― 50-100 тыс. рублей, для должностных лиц 100-200 тысяч, для юрлиц от 200 тыс. до 1 миллиона. Во всех случаях предполагается также конфискация технических средств, используемых для спам-рассылок.

Калифорнийский суд отклонил просьбу Max Bounty об аннулировании искового заявления, в котором Facebook обвиняет эту канадскую компанию в рассылке спама и мошенническом маркетинге с использованием ресурсов социального сервиса.

По утверждению истца, компания Max Bounty контролирует партнерскую программу по продвижению различных товаров и услуг в интернете, но при этом поощряет использование мошеннических приемов при проведении рекламных акций. Участники «партнерки», используя подставные профили, публикуют на Facebook заманчивые предложения, якобы исходящие от администрации социальной сети. Все эти «опции» и «бонусы» служат лишь предлогом для привлечения пользователей на сторонние рекламные сайты, владельцы которых платят мошенникам комиссионные за созданный трафик.

Facebook сочла, что такой способ распространения коммерческой рекламы противоречит американскому антиспамовому законодательству, и обратилась за помощью в судебные инстанции. Max Bounty отрицает свою причастность к мошенническим рассылкам и пытается свалить всю вину на аффилиаты, да и признавать их сообщения спамом отказывается. По мнению руководителей компании, юрисдикция CAN-SPAM распространяется лишь на рассылки средствами электронной почты.

Однако окружной судья не согласен с такой трактовкой. По его заключению, рекламные постинги и сообщения, публикуемые на социальном веб-сайте, подпадают под определение электронной коммерческой рассылки и, следовательно, должны соответствовать требованиям CAN-SPAM. Такое судебное решение является серьезным предупреждением для недобросовестных рекламодателей, пытающихся использовать обширную аудиторию социальных сетей в своих интересах.

Некоммерческая организация AV-Comparatives, специалист по независимому тестированию антивирусов, попыталась [PDF 355 Кб] определить, на какие аспекты обращает внимание рядовой пользователь при оценке таких продуктов.

С этой целью с 15 декабря по 15 января среди визитеров веб-сайта AV-Comparatives.org был проведен опрос. Исследователи сразу отмели анкеты, заполненные представителями антивирусной индустрии, отобрав для анализа немногим более 1 тыс. валидных ответов. Почти половина респондентов оказались европейцами, четверть ― азиатами, 18% жителями Северной Америки. У 29,7% из них установлена Windows XP SP3, у 30,1% ― 64-битная Windows 7, у 26,4% 32-битная Windows 7. 41,6% использует Firefox, 29,9% — IE, 18,7% Chrome, 7,4% Opera. Около половины опрошенных пользуются бесплатным антивирусом.

На майские праздники доля спама в Рунете составила 80,2%. Это почти на 4 процента меньше, чем в последнюю неделю апреля.

Как мы уже привыкли в последнее время, лидирует тематика «Образование». Такой спам составил 52,7% - это чрезвычайно много, но все же на 11,6% меньше, чем на позапрошлой неделе. Не наблюдаем ли мы тенденцию к снижению количества «образовательного» спама? Посмотрим на следующей неделе.

За «образовательным» спамом идет тематика «Другие товары и услуги» (17,6%) и «Отдых и путешествия» (6,7%).

Несколько выросла доля спама, рекламирующего разнообразные услуги по ремонту - на 4,2%. На этой неделе доля таких писем составила 6%.

Пару дней назад, изучая обстоятельства предполагаемого взлома компьютерной системы латвийской электростанции, я наткнулся на интересную вредоносную рекламу на ImageShack, где были размещены изображения, связанные с предполагаемой атакой.

Реклама на странице загружает эксплойт, который использует уязвимость в Java и детектируется продуктами «Лаборатории Касперского» как Exploit.HTML.CVE.2010-4452.m. Этот эксплойт пытается загрузить вредоносную программу Trojan.win32.TDSS.cgir. Как известно, TDSS – это руткит, способный действовать в Windows на самом низком уровне. Его удаление может стать чрезвычайно сложной задачей.

Механизм заражения такой: при открытии страницы загружается реклама и осуществляется соединение с http://--removed--ediagroup.com/enc/jv.html. С этой страницы загружается эксплойт. Далее загружается вторая страница http://--removed--ediagroup.com/load.php?2, с которой на компьютер устанавливается троянская программа, содержащая зловред TDSS.

Продукты «Лаборатории Касперского» уже детектируют и эксплойт, и устанавливаемую на компьютер троянскую программу. Это еще раз демонстрирует, как важно поддерживать антивирусные программы в актуальном состоянии.

Знакомое окошко?

Троянцы-блокеры, которые по классификации ЛК относятся к классу Trojan-Ransom, можно разделить на две категории: интернет-блокеры и исполняемые файлы с функнционалом блокеров.

Интернет-блокеры открывают окно в браузере с сообщением о том, что компьютер заблокирован. К счастью, справиться с ними довольно легко — как правило, для этого достаточно просто закрыть окно браузера. Распространяются такие программы преимущественно на порно-сайтах.

Блокеры, которые представляют собой исполняемые файлы, побороть труднее. «Лаборатория Касперского» создала специальный сервис — «Деблокер» — позволяющий генерировать коды, подходящие к блокерам, на основе введённого короткого номера и текста короткого сообщения. По статистике KSN, на долю таких программ приходится 82% всех блокеров, и речь далее пойдет именно о них.

Как уже было отмечено в прошлом посте, стоит какой-нибудь новости прогреметь на весь мир, как злоумышленники торопятся использовать интерес общественности в своих целях. Смерть Усамы бин Ладена не стала исключением - и не только в сфере "черной" поисковой оптимизации, но и в спаме.

Мы зафиксировали две рассылки, эксплуатирующие тему смерти бин Ладена, и обе содержали вредоносное програмное обеспечение.

Первая из них содержала zip-архив, защищенный паролем. Заголовок письма гласил "фотографии мертвого Усамы бин Ладена?"

Курьезность рассылки состоит в том, что сам текст взят из стандартного спамерского письма, в котором "незнакомая девушка" желает познакомиться и для начала предлагает пользователю посмотреть на свои фотографии.

В архиве находилась вредоносная программа, детектируемая Лабораторией Касперского как Trojan-Dropper.MSIL.Pakes.b.

Как только в СМИ появляется очередная горячая новость, злоумышленники запускают в популярных поисковых системах кампанию по «черной» оптимизации, рассчитанную на привлечение посетителей с целью установить на их компьютеры фальшивые антивирусы.

Так случилось и на этот раз, когда мир облетела новость о смерти Усамы бин Ладена. Злоумышленники отреагировали почти мгновенно и начали искажать (poisoning) результаты поиска изображений в «Google Картинки».

Некоторые ссылки в результатах поиска ведут на вредоносные страницы:

Злоумышленников, распространяющих фальшивые антивирусы, интересуют не только пользователи Windows. Теперь они нацелились и на пользователей Mac, которых они атакуют, используя проверенные временем технологии «черной» оптимизации, позволяющие искажать (poisoning) результаты поисковых запросов в популярных поисковых системах.

Изучая действия киберпреступников в связи с новостями о смерти Усамы бин Ладена, мы обнаружили, что с одних и те же доменов распространяются два фальшивых антивируса, созданных специально для Mac OSX – Best Mac Antivirus и MACDefender.

При поиске в интернете пользователь может быть перенаправлен на вредоносные домены, такие как ***-antivirus.cz.cc/fast-scan2/

Сначала вредоносные страницы проверяют User-agent браузера (браузер должен быть Safari), IP-адрес (на данный момент «обслуживаются» только американские домены) и домен-реферер (запрос должен исходить от Google или другой поисковой системы). Если запрос соответствует всем этим критериям, вредоносная страница демонстрирует результаты «проверки» компьютера фальшивым антивирусом:

Последние несколько дней широко обсуждается хакерская атака на геймерскую сеть Playstation Network (PSN), в результате которой была похищена конфиденциальная информация — например, данные банковских карт пользователей. Сейчас наблюдается усиление активности в среде киберпреступников. Если верить сообщению, размещенному на форуме PSX-scene, среди похищенных данных могли быть коды проверки подлинности банковских карт (CVV2). На подпольном форуме Darkode пишут, что украденные данные, возможно, имеют вид: fname, lnam, address, zip, country, phone, email, password, dob, ccnum, CVV2, exp date.

Однако согласно заявлению Sony в официальном блоге Playstation, хакер не получил доступа к CVV2:

«Несмотря на то, что расследование деталей этого инцидента еще продолжается, мы точно можем сказать, что неизвестному взломщику стали доступны личные данные пользователей, предоставленные при регистрации: имена, электронные и почтовые адреса (страна, город, штат, почтовый индекс), даты рождения, логины и пароли для доступа к PlayStation Network/Qriocity, а также идентификаторы PSN. Возможно, были похищены данные профилей пользователей — истории покупок, адреса, по которым направлялись счета (город, штат, почтовый индекс), ответы на секретные вопросы, с помощью которых можно восстановить пароли доступа к PlayStation Network/Qriocity. Если вы дали согласие на открытие дополнительного аккаунта на имя другого лица, его данные тоже могли быть украдены. На данный момент нет оснований считать, что добычей злоумышленника стали данные кредитных карт пользователей, но полностью исключить такую возможность также нельзя. Если вы предоставляли данные своей кредитной карты в PlayStation Network или Qriocity, мы считаем своим долгом предупредить вас о том, что номер вашей карты (за исключением кода безопасности CVV2) и срок ее действия могли стать доступны мошеннику».

Кому верить, вот вопрос.

Я бы порекомендовал всем пользователям PSN получить новые банковские карты. А если вы используете в Facebook, MSN, электронной почте и на форумах тот же пароль, что и в PSN, советуем всюду его срочно поменять.

По свидетельству датской компании CSIS Security, на российском черном рынке появился инструментарий, предназначенный для самостоятельной сборки вредоносных программ, совместимых с платформой Mac OS X.

Новинка позиционируется как Weyland-Yutani BOT и включает, как и все аналогичные разработки, собственно конструктор, административную панель и средства шифрования. «Маковый» бот способен осуществлять веб-инъекции и копировать данные, вводимые в веб-формы через Firefox или Chrome. По словам экспертов, шаблоны, используемые Weyland-Yutani для модификации веб-страниц, идентичны тем, с которыми работают Zeus и SpyЕye.

Сам автор тулкита уверен, что модули для веб-инъекций, разработанные для этой зловредной парочки, можно ставить и на его продукт. Если так, то у сообщества маководов появился серьезный противник, с которым придется считаться: возможность использования сторонних плагинов является одним из главных факторов, обеспечивших Zeus и SpyЕye популярность в криминальных кругах. Создатель Weyland-Yutani также грозится, что в скором времени выпустит аналогичные версии для Linux и iPad.

Во второй половине 2010 года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зарегистрировала [PDF 2 Мб] свыше 67 тыс. фишинговых атак (уникальных веб-сайтов) — намного больше, чем в предыдущий отчетный период. 11% сайтов-ловушек были размещены в доменных зонах .tk (Токелау) или .co.cc (Южная Корея), регистрация в которых не требует оплаты.

В целом использование доменов второго уровня для создания фишинговых сайтов увеличилось на 42%, в результате время жизни последних возросло до рекордного уровня. Регистрация на уровне поддоменов ― достаточно распространенный сервис, который к тому же не имеет единой бизнес-модели и правил регулирования. Несмотря на то, что многие провайдеры поддоменов ведут записи WhoIs и исправно откликаются на жалобы, злоупотреблений в этом пространстве пока хватает, а заблокировать фишинговый ресурс ― большая проблема.

Например, свыше 40% поддельных сайтов, обнаруженных в отчетный период, были привязаны к доменной зоне .co.cc, хотя соответствующий корейский сервис очень оперативно реагирует на абьюзы. Медианное время жизни фишинговых сайтов в этой зоне составляет около 60 часов при среднестатистическом показателе 15,5 часов. Однако если регистратор поддоменов всерьез берется за чистку, он вполне в состоянии решить проблему фишинга своими силами. Наглядный пример тому ― многострадальный российский сервис Pochta.ru: в прошлом году ему удалось сократить число фишинговых сайтов в своих сетях со 189 до 14.

В отчете APWG за второе полугодие впервые присутствует статистика, предоставленная Информационным центром интернет-инфраструктуры Китая (China Internet Network Information Center, CNNIC) и китайским Антифишинговым альянсом. Ранее информацию о деятельности фишеров в Китае собирали сторонние наблюдатели, которые, по оценке APWG, регистрировали лишь 20% фишинговых атак, проводимых на территории этой страны. С появлением данных из нового, более компетентного источника итоговые показатели по глобальному фишингу в некоторых категориях получились несколько неожиданными.

Сегодня все спамеры в мире, должно быть, веселятся почище, чем в Новый Год. Конечно, ведь 33 года назад, 3 мая 1978 года «родилась» первая спамерская рассылка.

Не углубляясь в подробности, которые с легкостью можно найти в интернете, скажу, что тогда, в 1978, около 400 пользователей сети Arpanet получили рекламное сообщение от сотрудника компании DEC, предлагающее купить их новые мини-компьютеры. Интересно, что система, с помощью которой было отправлено сообщение, имела ограниченные поля TO (Кому) и CC (Копия), а отправитель сообщения был плохо знаком с этими особенностями.

Бедолага в ручную набивал все адреса всех участников Арпанета на западном побережье США, однако он настолько увлекся этим процессом, что часть адресов попали в поле Subject (Тема), а часть даже в тело письма.

Реакция на рассылку, вопреки ожиданиям инициативного сотрудника DEC, была крайне негативной. Некоторые эксперты считают, что именно такой негативный опыт привел к тому, что несколько лет никто не стремился повторить эксперимент DEC. Желающие появились только в 1986 году. Именно тогда в сети Usenet появились многочисленные сообщения от некоего Дейва Родеса, рекламировавшие финансовую пирамиду.

Считается, что термин «спам» пристал к массовым незапрашиваемым электронным сообщениям именно из-за этой рассылки. Всем наверняка известно, что SPAM это изначально всего лишь ветчина, упакованная в узнаваемые консервные банки. Компания – производитель этого продукта в свое время провела настолько агрессивную рекламную кампанию, что спам стал чуть ли не нарицательным именем. В 1969 году комическая группа Монти Пайтон закрепила это понятие в умах людей, использовав его в комическом скетче о ресторане, в котором все блюда содержали спам. Сообщения о финансовой пирамиде, распространенные в 1986 году, были настолько назойливы, что вызвали у пользователей соответствующие ассоциации, и термин закрепился.

О правомерности спамерских рассылок впервые заговорили в 1994 году, когда семейная пара юристов, распространив спам с рекламой услуг по иммиграции, столкнулась с недовольством своих конкурентов. Однако на обвинение в нечестной конуренции пара ответила ссылкой на свободу слова и информации.

В 1998 году термин «Spam» был включен в Новый Оксфордский Словарь Английского языка как термин, обозначающий массовые рассылки.

Доля спама в Рунете в последнюю неделю апреля составила 83,9%. Это на один процент больше, чем показатель позапрошлой недели.

В последнее время среди тематик спама лидирует образование. Прошедшая неделя не исключение: 64,3% потока пришлось на рекламу разнообразных семинаров и тренингов.

С большим отрывом следует реклама недвижимости: 7,9%. Третье место разделили предложения отдыха и путешествий (6,4%) и тематика "Другие товары и услуги" (тоже 6,4%).