Отчет по спаму за февраль 2012 года от Лаборатории Касперского


KasperskyLabs

Февраль в цифрах

  • Доля спама в почтовом трафике по сравнению с январем увеличилась на 2,3% и составила в среднем 78,5%.
  • Доля фишинговых писем в почтовом потоке по сравнению с январем не изменилась и составила 0,02%.
  • В феврале вредоносные файлы содержались в 2,8% всех электронных сообщений, что на 1,5% меньше, чем в прошлом месяце.

Главные темы спама

Праздничный спам
Праздничные спамерские сообщения в феврале были посвящены:

  • дню Святого Валентина;
  • Масленице;
  • Пасхе;
  • 23 февраля;
  • 8 марта.


В сообщениях, посвященных масленице, в основном предлагался праздничный туризм. Во время этого туризма предлагалось поучаствовать в масленичных гуляниях в исторических городах России.

В сообщениях посвященных 23 февраля и 8 марта
- чаще всего рекламировали подарки к мужскому и женскому праздникам.

Интересный факт, что все зафиксированные рассылки, посвященные этим праздникам, были на русском языке. Лишь одно сообщение, рекламировавшее Виагру как подарок к 8 марта, было на английском.

Spam k 8 marta

Непонятен факт, в тексте сообщения с темой "товары к 8 марта" нет и намека на содержание рекламируемого сайта. А для зашумления текста был использован фрагмент из романа Льва Толстого "Война и мир" на английском языке.

Спамерские сообщения, предлагающие товары к Пасхе, пока фиксируются только на английском языке. Это связано с тем, что западная Пасха в этом году празднуется на неделю раньше православной.


Политический спам
В феврале в Рунете было много политических рассылок, в которых по-прежнему встречались рассылки экстремистского характера, призывающие к свержению власти, агитация как "за" и "против" тех или иных кандидатов, а также призывы выйти на митинги.

Также в спам-потоках появились рассылки, с помощью которых владельцы не самых популярных блогов пытаются привлечь к себе внимание. Текст таких сообщений призывает пользователей, заинтересованных в политических дискуссиях, перейти по ссылке на блог соответствующей тематики.

Politicheskaya rassilka

Почти до конца 2011 года основным видом политического спама были компромат или агитация той или иной партии или кандидата. Например, до начала массовых выступлений в России в декабре 2011 в Рунете гораздо популярнее стали попытки донести до получателя сообщения какую-либо мысль. Однако компромат и агитация в спаме все еще присутствует.

В феврале многие пользователи интернета на Украине получили спамерское сообщение (а некоторые даже сразу несколько таких сообщений) следующего содержания:

Internet partiya Ukraini

Письмо представляет собой классический политический спам. Поэтому выяснить цель данной рассылки - сложно.

21 февраля на сайте Интернет-партии Украины появилось официальное сообщение о том, что партия не рассылала спам и считает, что эта рассылка проведена исключительно с целью опорочить честное имя партии. А в проведении спамерской рассылки партия обвинила небезызвестную организацию МММ Сергея Мавроди. В этом же сообщении утверждалось, что на сайт партии была проведена DDoS-атака.

Весь спам рассылался с ботнета hlux. А вот DDoS-атака была проведена с использованием другого ботнета.

Начиная с 23 февраля, пользователи стали получать еще и сообщения, текст которых в точности повторял опубликованное на сайте сообщение:

Soobshenie k 23 fevralya

Эта рассылка окончательно спутала карты. Или Интернет-партия Украины решила клин клином выбить и на провокационную рассылку ответила рассылкой с опровержением. Или это с самого начала была акция Интернет-партии Украины, разославшей агитационные письма, а затем обвинившей в распространении спама МММ. Или МММ или другие недоброжелатели решили полностью дискредитировать партию, разослав спам, причастность к распространению которого ей будет сложно опровергнуть.


Статистический обзор

Страны — источники спама

Strani-istochniki spama v fevrale
Страны — источники спама в феврале 2012 года

В TOP 20 стран верхние 12 строчек заняли те же страны, что и в январе, лишь некоторые из них поменялись местами. Доля всех стран, входящих в рейтинг, изменилась незначительно — в пределах 1,5%.

Лидерами рейтинга остается Индия, с долей мирового спама - 11,9% (+0,4%). Доля Индонезии увеличилась незначительно - (+0,3%). Бразилия и Корея, занимают третью и четвертую строчки. Доля спама, распространенного с территории каждой из этих стран, уменьшилась чуть больше чем на 1%.
Россия заняла в феврале 14-ю строчку в рейтинге распространителей спама, откуда было распространено на 0,3% больше спама, чем в прошлом месяце.


Вредоносные вложения в почте
В феврале вредоносные файлы содержались в 2,8% всех электронных сообщений, что на 1,5% меньше, чем в прошлом месяце.

Распределение срабатываний почтового антивируса по странам

Srabativanie pochtovogo antivirusa po stranam
Распределение срабатываний почтового антивируса по странам в феврале 2012 года

Второй месяц подряд США занимаем первую строчку рейтинга стран по срабатыванию почтового антивируса.
Доля срабатываний почтового антивируса в России уменьшилась еще на 2%, и страна покинула ТОР 10 стран по срабатываниям Kaspersky Mail Antivirus.

Как отмечалось ранее, активность распространителей вредоносного спама имеет два вектора:

  • Рассылка вредоносных программ с целью получения персональных и финансовых данных пользователей;
  • Рассылка вредоносных программ, включающих компьютеры пользователей в ботнеты.


При распространении зловредов, собирающих данные, злоумышленников в большей степени интересуют развитые страны, где благосостояние пользователей выше и распространен интернет-банкинг. Зловреды, нацеленные на расширение ботсетей, распространяются в основном в развивающихся странах, где только малая часть компьютеров защищена антивирусными программами, а законодательство против спама и вредоносного ПО неразвито или отсутствует.

В настоящее время в спам-потоках преобладают зловреды, нацеленные на кражу финансовой и иной информации у пользователей. При этом программы-боты также продолжают рассылаться, преимущественно пользователям из стран Азии.

Доля срабатываний почтового антивируса на территории всех стран, кроме России, в феврале изменилась незначительно, в пределах 1,5%.


ТОP 10 вредоносных программ, распространенных в почте

TOP 10 rasprostr vredonosnih prog v pochte
ТОP 10 вредоносных программ, распространенных в почте в феврале 2012 года

Первые четыре строчки рейтинга занимают те же программы, что и в январе.

  • Trojan-Spy.HTML.Fraud.gen - более 16% всех детектирований. Это больше на 2% по сравнению с январем. Trojan-Spy.HTML.Fraud.gen — вредоносная программа, выполненная в виде html-странички, подделки под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Программа передает введенные на этой страничке данные злоумышленникам, что по сути является фишинговым приемом.

  • Mydoom.m, Bagle.gt и NetSky.q - расположились на втором, четвертом и шестом местах рейтинга.
  • Почтовые черви NetSky.c и NetSky.ghc — заняли девятое и десятое места.
  • Вредоносная программа Mydoom.l - заняла седьмую строчку.


Программы семейства Mydoom и NetSky — только собирают электронные адреса с зараженных машин и рассылают по ним самих себя. Bagle.gt, помимо указанного функционала, обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.


Фишинг

TOP 10 organizacii atakovanih fisherami
Распределение TOP 100 организаций, атакованных фишерами по категориям
Срабатывание антифишинга, февраль 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента Антифишинг в антивирусных продуктах на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

Рейтинг категорий организаций, наиболее интересных фишерам, по сравнению с январем практически не изменился:

  • Лидируют финансовые организации. На сайты, используемые в ходе атак на эту категорию организаций, приходится почти четверть всех срабатываний антифишинга.
  • Социальные сети. На 3,5% увеличилась доля срабатываний антифишинга на сайтах, нацеленных на кражу регистрационных данных пользователей социальных сетей. Заметную роль в этом сыграло то, что по итогам февраля самой популярной целью фишеров стали пользователи Facebook.
  • Онлайн-магазины, интернет-аукционы. Доля срабатываний на таких сайтах уменьшилась на 3%. Здесь отличился популярный онлайн-магазин Amazon, бывший лидером в январе, а в феврале заметно сдавший свои позиции.
  • Доля остальных категорий мишеней фишеров изменилась по сравнению с прошлым месяцем незначительно — в пределах 1%.


В ТОР 100 ресурсов, чьи клиенты были атакованы фишерами, по итогам февраля вошли электронные открытки Hallmark, что связано с попыткой злоумышленников использовать этот бренд как приманку для распространения вредоносного кода в поздравлениях ко дню Святого Валентина.


Тематические направления в спаме

Tematicheskie kategorii spama v fevrale
Тематические категории спама в феврале 2012 года

Доля партнерского спама в Рунете сохранилась в феврале на достаточно высоком уровне — около 38%. Более половины всего спама в Рунете — спам, заказанный малым и средним бизнесом с целью рекламы. 7,2% всех спамерских сообщений в феврале были саморекламой спамеров.

Тройка тематических категорий спама такова:

  • Спам "образовательной" тематики, рекламирующий тренинги и семинары. Доля такого спама по сравнению с январем возросла - +1,1%;
  • Фармацевтический спам. Доля по итогам февраля составила почти 20% (-7,9%);
  • Недвижимость - (+3,7%).
  • Доля остальных тематик изменилась в пределах 2%.


Заключение
Ситуация в спаме стабилизировалась. Довольно высокая доля партнерского спама в Рунете говорит об уменьшении активности коммерческих заказчиков — представителей малого и среднего бизнеса. О том же говорит и относительно невысокая доля спама в почтовом трафике. Хотя по сравнению с январем этот показатель вырос. Однако не стоит забывать, что в январе на него в значительной степени повлияло затишье первых дней месяца.

В марте количество политического спама вряд ли пойдет на спад. Характер политических сообщений, зафиксированных в прошлые месяцы, позволяет предположить, что по завершении выборов спамовых писем с агитационным содержанием меньше не станет.

Уменьшение доли спама с вредоносными вложениями, по всей видимости, явление временное. Маловероятно, что спамеры откажутся от участия в партнерских программах по распространению вредоносного кода, особенно в период, когда доля заказного спама в Рунете уменьшается. В то же время, нелишне отметить, что вредоносные программы в спаме распространяются не только в виде вложений в сообщениях, но и в виде вредоносных ссылок. Таким образом, уменьшение доли вредоносных вложений, зафиксированных в почте, не всегда указывает на уменьшение доли вредоносных рассылок как таковых.