Спам в июле 2012 года: вирусы идут в наступление на почту россиян

Начиная с марта этого года, эксперты «Лаборатории Касперского» отмечают неуклонное снижение количества почтового мусора, что является, безусловно, положительной тенденцией. Июль не стал исключением, и доля спама снизилась до 71,8%.

На этом фоне неприятным сюрпризом прошедшего месяца стало резкое, в полтора раза, увеличение доли писем с вредоносными вложениями. Одним из примеров такого спама, который привлек внимание экспертов, стала рассылка, имитирующая уведомление о новой акции крупного купонного сервиса. Во вложении к письму находился zip-архив, содержащий вредоносную программу Trojan.Win32.Yakes.aigd. Все ссылки в таких сообщениях вели на сайт Groupon, на котором никаких опасных объектов не было. Очевидно, это был трюк, с помощью которого злоумышленники хотели заручиться доверием пользователя и сделать так, чтобы они открыли вложение.

Пример спам-письма с вредоносным вложением

В середине лета заметно увеличилось количество спам-писем, в которых используется тема экономического кризиса. На данный момент подавляющее большинство таких сообщений представляют собой рекламу различных семинаров для бухгалтеров и руководителей предприятий на тему антикризисного управления делами. Кроме этого спамеры пытаются привлечь внимание к тому или иному товару, предлагаемому по «антикризисной цене» — наиболее активно этот прием используется в рекламе реплик элитных товаров.

Сложной экономической ситуацией не прочь воспользоваться и мошенники. Уже сейчас в англоязычных спам-потоках отмечается необычно большое количество предложений сомнительного заработка. Схемы получения «быстрого кредита» фигурируют в мусорных письмах практически на всех европейских языках. Количество таких сообщений в ближайшие месяцы будет только увеличиваться, чему способствует растущий уровень безработицы в Европе.

Изменения коснулись тройки лидеров стран-распространителей спама в русскоязычном сегменте Интернета. Если первые две позиции остались неизменные и по-прежнему остаются за Индией (-3,5%) и Вьетнамом (+4%), то на третье место неожиданно поднялась Германия (+4,5%), ранее занимавшая 18-ю строчку. В свою очередь, Россия опустилась на одну ступень вниз (6-е место), несмотря на то, что объем спама, разосланного с российской территории, увеличился на 0,4%. Улучшилось и положение Казахстана (-0,8%), который переместился с восьмого места на десятое.

В фокусе внимания фишеров все чаще оказываются социальные сети, на долю которых приходится теперь четверть всех фишинговых атак. При этом наибольшей популярностью у злоумышленников пользуется Facebook. В то же время количество инцидентов с финансовыми организациями, наоборот, идет на убыль. Так, например, доля фишинговых атак на интернет-магазины снизилась почти на 1% и составила 18,4%.

«В период летнего затишья заказов у спамеров меньше. Как следствие, они активнее распространяют спам в рамках партнерских программ, в том числе вредоносный. В связи с этим, а также под влиянием сложной экономической ситуации мусорный трафик становится все опаснее, – отмечает Мария Наместникова, старший спам-аналитик «Лаборатории Касперского». – Мы настоятельно советуем пользователям не открывать спам-письма. Эта рекомендация актуальна всегда, но именно сейчас на фоне очевидной тенденции к увеличению степени опасности почтового мусора к ней стоит отнестись с особой серьезностью».

Ознакомиться с полной версией спам-отчета за июль 2012 года можно на сайте www.securelist.com/ru.

Анализ вредоносной программы Gauss, проведенный экспертами «Лаборатории Касперского», позволил получить информацию о ее основном функционале, характеристиках, архитектуре, модулях, способах связи с командными серверами, а также статистику заражений. Однако ряд вопросов, касающихся в основном зашифрованного содержимого Gauss, все еще остается без ответа.

Зашифрованный функционал троянца содержится в специальных модулях, отвечающих за кражу информации и хранение ее на USB-накопителе, и позволяет злоумышленникам атаковать только те системы, которые имеют определенный набор установленных программ. После того, как зараженная флэшка подключается к уязвимому компьютеру, вредоносная программа активируется и пытается расшифровать содержимое с помощью специального ключа. Ключ же составляется на основании данных о специфической конфигурации системы инфицированного компьютера. Так, например, он включает название папки в разделе Program Files, первая буква которой написана символом из расширенного набора, например на арабском или иврите. Если конфигурация соответствует «эталонной», ключ отдает команду на расшифровку и исполнение содержимого.

«На сегодняшний день вопросы о предназначении и функционале зашифрованного модуля остаются без ответа. Использование криптографических методов и меры, которые предприняли авторы зашифрованного модуля для того, чтобы он как можно дольше оставался незамеченным, говорят о высоком уровне целей злоумышленников, – говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». – Особое внимание стоит уделить размеру зашифрованного модуля. Он достаточно велик для того, чтобы содержать в себе код, который может быть использован для кибершпионажа и по размерам сравним с кодом модификации SCADA-систем в черве Stuxnet. Расшифровка содержимого позволит лучше понять как источник этой угрозы, так и ее цели».

«Лаборатория Касперского» призывает всех тех, кто интересуется криптографией, реверс-инжинирингом и математикой, и хочет принять участие в расшифровке ключей, связаться с экспертами по адресу theflame@kaspersky.com.

Более подробная информация о результатах исследовании экспертов «Лаборатории Касперского», доступна на сайте www.securelist.com/ru/blog.

Источник новости: www.kaspersky.ru

Купить надежную защиту для вашего компьютера в Минске Вы можете здесь, а так же в интернет-магазине компании «ЮКОЛА-ИНФО».