В Украине прописались ботнеты
"Лаборатория Касперского" подвела итоги деятельности спамеров в Украине за осень 2011 года. Анализ выявил, что на территории нашей страны развернута большая группа ботнетов, распространяющих спам по всему миру. В третьем квартале была зафиксирована заметная синхронность в рассылке «почтового мусора» с территории Украины, Индонезии, Перу и Таиланда.
«После анализа спам-трафика, исходящего из этих стран и наблюдения за динамикой его рассылки, мы пришли к выводу, что в этих странах развернута группа ботнетов, получающих команды от одних и тех же людей, – говорит Мария Наместникова, старший спам-аналитик «Лаборатории Касперского». – Однако в октябре зависимости, наблюдавшиеся в третьем квартале «рассыпались» и одновременно с территории Украины стало распространяться значительно меньше спама. Мы предполагаем, что почувствовав, что они попали в поле зрения антивирусных компаний, злоумышленники решили «реструктурировать» свои мощности. Тем не менее, спам с территории Украины продолжает распространяться».
TOP 20 стран, которые стали источником спама осенью 2011 г.
Результаты исследования показали, что исходящие потоки спама распределились по миру довольно равномерно, Украина опустилась до 18-й строчки рейтинга распространения спама, а вредоносные вложения содержались в 3,5% электронных сообщений.
Доля спама в почтовом трафике осенью 2011 года немного снизилась и составила 79,2%. Необходимо отметить, что этой осенью исходящие потоки спама распределились по миру равномерно. Еще в сентябре почти 50% всего спама рассылалось из стран, входивших в ТОР 5 нашего рейтинга. Однако в октября и ноября доля пяти стран, занимающих верхние пять позиций рейтинга, заметно снизилась, и по итогам осени составил чуть менее 40%.
Первые четыре страны в рейтинге оставались на своих позициях на протяжении всей осени, лишь изредка меняясь местами. Ими стали Индия (12,5%), Южная Корея (8,2%), Бразилия (7,7%) и Индонезия (7,3%).
Россия за сентябрь–ноябрь заняла 15-ю строчку рейтинга, распространив 1,8% спама. Украина, в свою очередь, 18-е место с показателем 1,6%. Из постсоветского пространства, помимо России и Украины, в ТОР 20 вошел Казахстан, закрепившись на последней строчке (1,4%).
Из стран Восточной Европы, вошедших в ТОР 20 источников спама наиболее заметна Польша, которая заняла шестую позицию. С ее территории было распространено 3,9% всего спама. В нижнюю часть рейтинга вошли также Румыния (1,7%) и Болгария (1,4%), занявшие 16-ю и 19-ю строчки соответственно.
Региональные особенности
Основной особенностью спама в Украине можно считать доминирование рассылок, заказанных представителями малого и среднего бизнеса над рассылками от участников, так называемых, партнерских программ. Партнерская программа, или «партнерка» — это маркетинговый прием, когда распространитель товара платит спамерам не за рекламу как таковую, а за каждого пришедшего клиента. В некоторых случаях партнерская программа может быть организована непосредственно распространителем товара. Однако чаще партнерская программа бывает организована третьими лицами и является «площадкой для встреч» между фирмами, предлагающими товар, и спамерами, готовыми этот товар рекламировать. Во втором случае деньги за каждого приведенного клиента или процент с каждой покупки получает не только партнер, распространявший рекламу (т.е. спамер), но и организатор партнерской программы.
Именно этой схемой пользуются продавцы самых распространенных в спаме товаров: виагры, реплик швейцарских часов и дешевого ПО. Кроме того, в партнерских программах часто задействованы распространители порно и рекламы многочисленных онлайн-казино.
Вторая из упомянутых схем работает по самому простому и понятному сценарию «заказчик — исполнитель». Исполнителем в этом случае выступает спамер, предлагающий свои услуги. Заказчик же — это человек или фирма, которые пользуются его услугами, чтобы организовать рекламу своего товара.
Поскольку анти-спам законодательство на территории Украины не слишком хорошо развито, многие фирмы считают возможным использовать спам как средство рекламы, считая его всего лишь наиболее дешевым методом распространения информации в сети.
Таких рассылок, как уже отмечалось выше, большинство в украинском спаме. Многие из них, что характерно, написаны на украинском языке.
Кроме того, интересно отметить, что активное использование российского сегмента Интернета украинскими пользователями приводит к тому, что их почтовые адреса попадают в базы российских спамеров. Таким образом, пользователи в Украине получают спам-рассылки адресованные изначально российской публике.
«Партнерский» спам в Украине, равно как и в России, практически полностью состоит из англоязычных писем, поскольку товары, рекламируемые в таком спаме, не пользуются популярностью у пользователей в этих странах, спамеры не считают труд по переводу сообщений на соответствующие языки оправданным.
Вредоносные вложения в почте
По результатам осени 2011 года, вредоносные вложения содержались в 3,5% электронных сообщений.
По итогам трех осенних месяцев рейтинг стран по количеству срабатываний почтового антивируса возглавляет Россия с 11,5% всех срабатываний. На втором месте с небольшим отрывом расположились США (10,6%).
Распределение срабатываний почтового антивируса по странам осенью 2011 г.
Как видно на графике, Украина занимает 23-ю строчку рейтинга. На ее территории «Лабораторией Касперского» было зафиксировано лишь не многим более 1% всех срабатываний почтового антивируса. На одну позицию выше Украины расположилась Польша с результатом, незначительно превышающим результат Украины. Россия, Украина и Польша – единственные представители Восточной Европы, вошедшие в ТОР 25 стран по срабатыванию почтового антивируса.
Осенью список вредоносных программ, которые чаще всего детектировал антивирус «Лаборатории Касперского» в почте, в целом выглядел достаточно традиционно.
ТОP 10 вредоносных программ, распространенных в почте осенью 2011 г.
Trojan-Spy.HTML.Fraud.gen
На первой строчке TOP 10 расположился Trojan-Spy.HTML.Fraud.gen. На долю лидера нашего рейтинга приходится 6% срабатываний почтового антивируса. Напомним, что Trojan-Spy.HTML.Fraud.gen — вредоносная программа, представляющая из себя html-страничку, подделанную под регистрационную форму финансовой организации или какого-либо онлайн-сервиса.
Email-Worm.Win32.Mydoom.m.
На второй строчке расположился Email-Worm.Win32.Mydoom.m. Этому завсегдатаю нашего рейтинга составили компанию и другие почтовые черви: на девятом месте разместился Email-Worm.Win32.NetSky.q, следом за ним на десятом месте — Email-Worm.Win32.Bagle.gt.
Напомним, что Mydoom.m и NetSky.q выполняют только две функции: осуществляют сбор электронных адресов на зараженных машинах и рассылают по ним самих себя. Bagle.gt в дополнение к этому обычному функционалу почтовых червей обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.
Trojan.Win32.FraudST.at
Занимающий третью строчку зловред Trojan.Win32.FraudST.at пережил интересную метаморфозу: раньше троянец устанавливал на компьютер- жертву поддельный антивирус, на сегодняшний же момент эта вредоносная программа представляет собой спам-бот, основной «специализацией» которого являются фармацевтические рассылки.
Worm.Win32.Mabezat.b
Занимающий пятую строчку рейтинга червь Worm.Win32.Mabezat.b также рассылает сам себя по обнаруженным на компьютере электронным адресам. Кроме того, он создает свои копии на локальных дисках и доступных сетевых ресурсах зараженного компьютера.
Остальные программы в ТОР 10 являются классическими троянцами-загрузчиками. Эти зловреды после установки на компьютер пользователя обращаются к определенному сетевому ресурсу и получают ссылки для скачивания других вредоносных программ.
Интересно, что в ТОР 10 вредоносных программ, обнаруженных нашим продуктом в Украине, доминируют именно трояны-загрузчики. Обычно программы, загружаемые такими зловредами – это поддельные антивирусы, программы, ворующие финансовые и иные конфиденциальные данные и бот-клиенты, подключающие компьютер пользователя к ботсети.
«Если принять во внимание тот факт, что ни поддельные антивирусы, ни программы, нацеленные на кражу персональной информации не слишком популярны в Восточной Европе в целом, и в Украине в частности, то становится ясно, что основная задача троянов-загрузчиков, обнаруженных в Украине этой осенью – подключение новых машин к зомби сетям», – отмечает Мария Наместникова.
О низкой популярности программ, занимающихся кражей персональной информации в Украине, говорит в первую очередь тот факт, что зловред Trojan-Spy.HTML.Fraud.gen, упомянутый выше и являющийся традиционным лидером нашего рейтинга наиболее часто детектируемых в почте вредоносных программ, вообще не попал в ТОР 10 вредоносных программ, обнаруженных в Украине.
