Украинские ботнеты терроризируют весь мир
В третьем квартале была зафиксирована заметная синхронность в рассылке «почтового мусора» с территории Украины, Индонезии, Перу и Таиланда. «После анализа спам-трафика, исходящего из этих стран и наблюдения за динамикой его рассылки, мы пришли к выводу, что в этих странах развернута группа ботнетов, получающих команды от одних и тех же людей, – говорит Мария Наместникова, старший спам-аналитик «Лаборатории Касперского». – Однако в октябре зависимости, наблюдавшиеся в третьем квартале «рассыпались» и одновременно с территории Украины стало распространяться значительно меньше спама. Мы предполагаем, что почувствовав, что они попали в поле зрения. антивирусных компаний, злоумышленники решили «реструктурировать» свои мощности. Тем не менее, спам с территории Украины продолжает распространяться».
Региональные особенности
Основной особенностью спама в Украине можно считать доминирование рассылок, заказанных представителями малого и среднего бизнеса над рассылками от участников, так называемых, партнерских программ.
Партнерская программа, или «партнерка» — это маркетинговый прием, когда распространитель товара платит спамерам не за рекламу как таковую, а за каждого пришедшего клиента. В некоторых случаях партнерская программа может быть организована непосредственно распространителем товара. Однако чаще партнерская программа бывает организована третьими лицами и является «площадкой для встреч» между фирмами, предлагающими товар, и спамерами, готовыми этот товар рекламировать. Во втором случае деньги за каждого приведенного клиента или процент с каждой покупки получает не только партнер, распространявший рекламу (т.е. спамер), но и организатор партнерской программы.
Именно этой схемой пользуются продавцы самых распространенных в спаме товаров: виагры, реплик швейцарских часов и дешевого ПО. Кроме того, в партнерских программах часто задействованы распространители порно и рекламы многочисленных онлайн-казино.
Вторая из упомянутых схем работает по самому простому и понятному сценарию «заказчик — исполнитель». Исполнителем в этом случае выступает спамер, предлагающий свои услуги. Заказчик же — это человек или фирма, которые пользуются его услугами, чтобы организовать рекламу своего товара.
Поскольку анти-спам законодательство на территории Украины не слишком хорошо развито, многие фирмы считают возможным использовать спам как средство рекламы, считая его всего лишь наиболее дешевым методом распространения информации в сети.
Таких рассылок, как уже отмечалось выше, большинство в украинском спаме. Многие из них, что характерно, написаны на украинском языке.
Кроме того, интересно отметить, что активное использование российского сегмента Интернета украинскими пользователями приводит к тому, что их почтовые адреса попадают в базы российских спамеров. Таким образом, пользователи в Украине получают спам-рассылки адресованные изначально российской публике.
«Партнерский» спам в Украине, равно как и в России, практически полностью состоит из англоязычных писем, поскольку товары, рекламируемые в таком спаме, не пользуются популярностью у пользователей в этих странах, спамеры не считают труд по переводу сообщений на соответствующие языки оправданным.
ТОP 10 вредоносных программ, распространенных в почте осенью 2011 г.
Trojan-Spy.HTML.Fraud.gen
На первой строчке TOP 10 расположился Trojan-Spy.HTML.Fraud.gen. На долю лидера нашего рейтинга приходится 6% срабатываний почтового антивируса. Напомним, что Trojan-Spy.HTML.Fraud.gen — вредоносная программа, представляющая из себя html-страничку, подделанную под регистрационную форму финансовой организации или какого-либо онлайн-сервиса.
Email-Worm.Win32.Mydoom.m.
На второй строчке расположился Email-Worm.Win32.Mydoom.m. Этому завсегдатаю нашего рейтинга составили компанию и другие почтовые черви: на девятом месте разместился Email-Worm.Win32.NetSky.q, следом за ним на десятом месте — Email-Worm.Win32.Bagle.gt.
Напомним, что Mydoom.m и NetSky.q выполняют только две функции: осуществляют сбор электронных адресов на зараженных машинах и рассылают по ним самих себя. Bagle.gt в дополнение к этому обычному функционалу почтовых червей обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.
Trojan.Win32.FraudST.at
Занимающий третью строчку зловред Trojan.Win32.FraudST.at пережил интересную метаморфозу: раньше троянец устанавливал на компьютер- жертву поддельный антивирус, на сегодняшний же момент эта вредоносная программа представляет собой спам-бот, основной «специализацией» которого являются фармацевтические рассылки. Worm.Win32.Mabezat.b
Занимающий пятую строчку рейтинга червь Worm.Win32.Mabezat.b также рассылает сам себя по обнаруженным на компьютере электронным адресам. Кроме того, он создает свои копии на локальных дисках и доступных сетевых ресурсах зараженного компьютера.
Остальные программы в ТОР 10 являются классическими троянцами-загрузчиками. Эти зловреды после установки на компьютер пользователя обращаются к определенному сетевому ресурсу и получают ссылки для скачивания других вредоносных программ.
Интересно, что в ТОР 10 вредоносных программ, обнаруженных нашим продуктом в Украине, доминируют именно трояны-загрузчики. Обычно программы, загружаемые такими зловредами – это поддельные антивирусы, программы, ворующие финансовые и иные конфиденциальные данные и бот-клиенты, подключающие компьютер пользователя к ботсети. «Если принять во внимание тот факт, что ни поддельные антивирусы, ни программы, нацеленные на кражу персональной информации не слишком популярны в Восточной Европе в целом, и в Украине в частности, то становится ясно, что основная задача троянов-загрузчиков, обнаруженных в Украине этой осенью – подключение новых машин к зомби сетям», – отмечает Мария Наместникова.
О низкой популярности программ, занимающихся кражей персональной информации в Украине, говорит в первую очередь тот факт, что зловред Trojan-Spy.HTML.Fraud.gen, упомянутый выше и являющийся традиционным лидером нашего рейтинга наиболее часто детектируемых в почте вредоносных программ, вообще не попал в ТОР 10 вредоносных программ, обнаруженных в Украине.