No Comments

Спам сегодня - Ежемесячный отчет от Symantec, март 2008

Spam, Статистика и Рейтинги

Отчет предоставлен компанией Symantec Messaging и Web Security

Ежемесячный обзор спама

В феврале, как и в предыдущем месяце, общий объем спама составил 78,5% от всего почтового трафика. В первой половине 2007 года эта цифра была 61%. В то время как за последний месяц тактические приемы не далеко ушли от сложившихся традиций, социальная инженерия определенно помогла развиться творческим началам среди спаммеров – они начали использовать общественных деятелей, знаменитостей, события и крупные бренды.

Основные темы отчета

  • Президентская гонка в США: сначала в октябре 2007 года был Рон Пол (Ron Paul), потом в начале февраля появилась Хилари Клинтон (Hillary Clinton), а за последнюю пару недель спаммеры добавили в эту компании Майка Хакаби (Mike Huckabee), Барака Обаму (Barack Obama) и Джона Маккейна (John McCain), которые также борются за место в Белом Доме.
  • Поддельные видео о знаменитостях — новейшая приманка спаммеров: все началось с поддельной и вредоносной ссылки на видео клип о предвыборной кампании, проводимой Хилари Клинтон, сейчас спаммеры рассылают подобные сюжеты о Майкле Джексоне (Michael Jackson), Хизер Миллс (Heather Mills) и Индиане Джонсе (Indiana Jones).
  • Спаммеры отмечают международный женский день: социальная инженерия - любимая тактика спаммеров, в прошлом месяце недостатка в праздниках и событиях не было (Суперкубок, День Святого Валентина, День президентов), а последней праздничной целью стал Международный Женский День.
  • Ящики пользователей звенят от билетов в юго-западном направлении: возможно, вы слышите не звон, а какой-то другой звук, когда приходит новое сообщение от авиалиний, но спаммеры захватили брэнд компании «Саутвест Эйрлайнс» (Southwest Airlaines) и предлагают пользователям бесплатные билеты.

Не менее интересные темы:

  • Освещение темы спама: региональные тенденции развития технологий спама в Азиатско-Тихоокеанском регионе (АТР)
    - Китай во власти снежной бури … спама
    - Сексуальный скандал в Китае — мечта спаммеров
    - Pump and dump, как это по-китайски
  • Доска позора для спаммеров: они зарабатывают на жизнь продажей участков на кладбище

Общие категории спама

Определение:
Данные по категориям спама получены в результате классификации сообщений, проходящих через систему Symantec Probe Network.
Процентное распределение категорий спама

Процентное распределение категорий спама

Определения категорий

Продукты
Спам с предложением или рекламой основных товаров и услуг. Например, различные устройства, исследовательские услуги, одежда, косметика

Adult
Спам, содержащий описания или ссылки на продукты, предназначенные для лиц старше 18 лет, зачастую оскорбительного и неадекватного характера. Например, порнография, личные объявления, советы по взаимоотношениям

Финансовый спам
Спам, содержащий ссылки или предложения денежного характера, игр на фондовых биржах или других финансовых “возможностей”. Например, инвестиции, отчеты о кредитных операциях, недвижимость, ссуды

Мошенничество
Спам, считающийся жульничеством, преднамеренной дезинформацией, или являющийся мошенничеством со стороны отправителей. Например, инвестиции в Нигерии, финансовые пирамиды, chain letter

Здоровье
Спам, содержащий предложения или рекламу медицинской продукции или услуг. Например, фармацевтические средства, медицинские препараты, растительные лекарственные средства

Аферы
Спам в виде писем от крупных компаний, известный также как бренд-спуфинг или фишинг. Такие сообщения зачастую используются для получения личной информации пользователя, как, например, e-mail адреса, финансовая информация и пароли. Например, уведомление о состоянии счета, подтверждение кредитной карты, обновление счетов

Досуг
Спам с предложениями или рекламой призов, наград или скидок на проведение досуга. Например, предложения по проведению отпуска, он-лайн казино, игры

Интернет
Спам с предложениями или рекламой товаров и услуг, имеющих отношение к Интернету или компьютеру. Например, веб хостинг, веб дизайн, spamware – программы для массовых рассылок сообщений

Политика
Сообщения, содержащие рекламу кампаний политических кандидатов, предложения пожертвовать деньги политическим партиям или на политические цели, предложения продуктов, имеющих отношение к политическим деятелям/кампаниям и т.д. Например, политическая партия, выборы, благотворительные вклады

Президентская гонка в США

В то время пока идет борьба за президентское кресло Соединенных Штатов, корпорация Symantec продолжает наблюдать за растущей волной спама, содержащего информацию о кандидатах в президенты. В октябре 2007 года спаммеры дружно ухватились за первого кандидата Рона Пола. Вслед за Полом в прошлом месяце появился следующий кандидат, спаммеры активно начали рассылать фальшивые ссылки на видео сюжеты с Хилари Клинтон, скрывающие зловредных Троянов. После этого, URL с именем Хилари Клинтон использовались также для порно спама и рекламы Виагры. Теперь спаммеры переключились на оставшихся кандидатов. Один спаммер отдал свой голос за Майка Хакаби, а имена Барака Обамы и Джона Маккейна теперь неразрывно связаны с сообщениями о “портативных противосминателях” лекарственных средств и о том, как разбогатеть в один день.

Президентская гонка в США

Президентская гонка в США

Поддельные видео о знаменитостях – новейшая приманка спаммеров

Последнее время Майкл Джексон, Хизер Миллс, Индиана Джонс и Хилари Клинтон часто мелькают в новостях. Один хочет вернуться на эстраду, другая в шаге от развода с легендой поп музыки, третий является выдуманным героем художественного сиквела, а последняя готовится к выборам в президенты США. Но только ли это их объединяет? Спаммеры пользуются их именами и рассылают фальшивые, а зачастую и вредоносные ссылки на видео клипы.
Спаммеры привлекают внимание пользователей и соблазняют их перейти по ссылке, просто написав в теме письма:

Тема: В ходе вчерашней кампании Хилари Клинтон практически удалось убедить Демократов в своих высоких шансах на победу
Тема: Хизер Миллс представила суду видео о тяжелой жизни с Маккартни
Тема: Вышел первый ролик к фильму «Индиана Джонс – 4»
Тема: Хилари Клинтон встает на защиту дочери

В теле письма содержится только ссылка на видео о той или иной знаменитости, которая выглядит следующим образом:

Поддельные видео о знаменитостях

А если приглядеться, то ссылка на самом деле выглядит вот так:

http://canotajetrilly.com/[REMOVED]/rdown.php?PNDcx”=id=3D

По этой ссылке начинается загрузка подозрительного файла “mpg.exe”, представляющего собой программу для скачивания Трояна. Данная программа загружает файл inst241.exe, который определяется как Trojan.Srizbi. Trojan.Srizbi очень интересен некоторыми уникальным особенностями. Драйвер Trojan.Srizbi (windbg48.sys) имеет две основных функции: прячется с помощью руткита и рассылает спам, но вся уникальность заключается в том, что, возможно, это первое полноядерное вредоносное ПО, существующее в природе.

Как только Троян установлен, он начинает работать без какого-либо участия пользователя и действует из режима ядра операционной системы, включая и рассылку спама. Код Руткит давно не новшество: вредоносный драйвер присоединяется к \FileSystem\Ntfs и прячет файлы на локальном диске, а также патчит таблицу SDT и прячет ключи регистрации точно так же, как до этого делали старые руткиты. Кроме того Троян пытается удалить лог файлы %System%\Minidump, и кажется, имеет специальную функцию удаления конкурентных руткитов, таких как “wincom32.sys” и “ntio256.sys”.

Спаммеры отмечают международный женский день

Праздники уже давно стали любимой темой спаммеров для привлечения внимание пользователей электронной почты. Прошлый месяц был богат на события и праздники – Суперкубок, День Святого Валентина и День президентов — а завершил волну празднеств Международный женский день, который отмечается 8 марта.

Спаммеры продолжают использовать общие ключевые слова, имеющие отношение к праздникам, в темах писем и URL, чтобы привлечь пользователей и заставить их открыть сообщение.

  • Тема: Пусть День Святого Валентина станет для вас особенным
  • Тема: Поздравляем Валентинов
  • Тема: Скоро Валентинов День
  • Тема: Сердца для вас, Валентины
  • Тема: Поцелуи для Валентинов
  • Тема: Любовь, День Святого Валентина

Ящики пользователей звенят от билетов в юго-западном направлении

Использование известных брендов стало уже стандартной тактикой спаммеров. В последнее время пользователям все чаще приходят сообщения с предложением получить два бесплатных билета «Саутвест Эйрлайнс». Для этого, однако, необходимо зарегистрироваться, оставив свои данные, заполнить анкету и, возможно, что-нибудь приобрести. Цель таких сообщений очевидна — собрать личную информацию о пользователях. Схема давно известна компании Symantec, такие сообщения приходится видеть снова и снова.

Ящики пользователей звенят от билетов

Освещение темы спама: региональные тенденции развития технологий спама в Азиатско-Тихоокеанском регионе

Процентное распределение категорий спама в АТР по данным последних 3 месяцев

Процентное распределение категорий спама

При более тщательном изучении спаммерских тактик в АТР за прошлый месяц можно отметить несколько интересных тенденций:

  • Спам не тему здоровья, куда входят фармацевтические средства, медицинские препараты и растительные лекарственные средства, составил 38% от всего спама в АТР – удивительный скачок на 30% по сравнению с последними данными за ноябрь 2007 года. Процент подобного спама в мире составляет всего 12%.
  • Доля категорий «Интернет» и «Продукты» в АТР также значительно отличается от мировых данных. Спам на тему Интернет в АТР составляет 13%, в то время как в мире этой категории уделяется 23%. Продуктам в АТР спаммеры отводят всего 15%, а в мире все 26%.
  • Объем финансового спама также резко упал с 26% в ноябре 2007 и сейчас составляет лишь 7%.

Китай во власти снежной бури… спама

Снежная метель, бушевавшая в Китае весь Новый Год, многим доставила неприятности, но особенно сильно пострадала транспортная сеть страны. Спаммеры, готовые извлечь выгоду из всего, не долго думая, обернули сложившуюся ситуацию в свою пользу. Недавно компания Symantec зафиксировала спам на китайском языке, сообщения приходили якобы из компании, занимающейся доставкой. В письме сообщалось о том, что посылка не была доставлена из-за разбушевавшейся снежной бури. Чтобы получить посылку, пользователю предлагалось подтвердить доставку, перейдя по ссылке. Ссылка вела пользователя в персональный блог с рекламой продуктов общего назначения, где необходимо было оставить личную информацию. Как гласит старая китайская поговорка: «Предусмотрительность – залог безопасности».

Китай во власти снежной бури… спама

Сексуальный скандал в Китае — мечта спаммеров

Недавно Эдисон Чен (Edison Chen), гонконгская кинозвезда и поп идол, был вовлечен в громкий сексуальный скандал. Сотни личных и интимных фотографий, изображающих актера с несколькими знаменитыми дивами, были украдены с его ноутбука и размещены в Интернете. Его затруднительное положение привлекло внимание китайских спаммеров, они поняли, что порно спам, содержащий имя актера неплохо поможет прорекламировать их продукт.
Представляем Вашему вниманию несколько примеров заголовков:

Тема: oax7y陳冠希事件(圖)yii
Перевод: oax7y фотографии Эдисона Чена yii
Тема: 6onfiiysbi陳i冠i希i最i希i迎i照ihtc
Перевод: 6onfiiysbi Эдисон i Чен i новые i сексуальные i фото ihtc
Тема:
иероглиф
Перевод: новые фото Эдисона Чена полная коллекция

Спаммеры всегда ищут наиболее эффективные и действенные методы, чтобы привлечь внимание и спровоцировать пользователей воспользоваться их “продуктами”. Поймав волну сексуального скандала с участием Эдисона Чена, спаммеры нашли способ еще раз воспользоваться свой техникой.

Pump and dump, как это по-китайски
Англоязычный финансовый спам типа “pump and dump” какое то время был очень распространен. Недавно этот вид спаммерства стал процветать и в Китае, местные спаммеры поняли, каким потенциалом обладает такая тактика.
Но между английской и китайской версией есть одно значительное отличие. Если в английском варианте такой спам провоцирует отдельных людей покупать акции, то по китайскому сценарию люди объединяются в группы, собирают деньги и покупают акции вместе.
Так как совсем недавно страна праздновала Новый Год по китайскому календарю, это событие, конечно же, было отражено в темах сообщений, например:
Тема: иероглиф (Перевод: Тема: QQ адрес: С Новым Годом! Вы тоже можете разбогатеть)
Большая часть финансового спама в Китае также содержит номера групп QQ. QQ — система мгновенных сообщений. Это одна из спаммерских техник — попытаться и убедить пользователей вступить в их группу и заработать на фондовой бирже. Новички.
好久没有联系了,股票做的好吗?
我找到了新浪答疑专家肖梦雷的博客: http://blog.sina.com.cn/u/1134319014。
他推荐的股票收益太高了,就是联系不上他。费了好多周折终于找到他的QQ群 54733152和33127064
(其他的群已满,要加就加这个吧)
Перевод:
Давно тебе не писал. Как там дела на бирже?
Я нашел классный блог…
Он рекомендует кучу отличных бирж. Вот его QQ…

Доска позора для спаммеров

В течение многих лет Symantec наблюдает за тем, какие услуги предлагают спаммеры: от самых экстремальных до, мягко говоря, странных. Вот еще одна тема, которая продолжит череду уникальных — иногда смешных, иногда просто необъяснимых — бесстыдных попыток спаммеров поживиться. Поэтому, мы называем это нашей «Доской позора для спаммеров».

Продажа участков на кладбище
Как показали в последние месяцы экономические условия, компания Symantec наблюдает лавину спам-сообщений, провоцирующих пользователей «изменить условия займа, пока не поздно», «взять ссуду по самой низкой процентной ставке» или «пришло время стать гордым владельцем Вашего дома». Еще не иссяк поток финансового спама, а спаммеры уже решили разнообразить ассортимент предлагаемых услуг и добавить ко всему прочему покупку и продажу участков на кладбище. Согласно сообщению в 1978 году в США цена одного места на кладбище составляла $200, в 2008 она возросла до $4500. «Действуйте сегодня», — гласит реклама — «а то завтра может быть поздно».

Доска позора для спаммеров

Источник:

http://eval.symantec.com/mktginfo/enterprise/
other_resources/SpamReport_March08.pdf

admin @ April 1, 2008

Leave a comment

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>