Spam w marcu 2011 wg Kaspersky Lab

Spam w marcu 2011 wg Kaspersky Lab

Maria Namiestnikowa
Ekspert z Kaspersky Lab

Marzec w liczbach

  • Ilość spamu w ruchu pocztowym zwiększyła się o 0,9 punktu procentowego w porównaniu z lutym i wynosiła średnio 79,6 proc.
  • Wiadomości phishingowe wynosiły 0,02 proc. całego ruchu pocztowego, co stanowi spadek o 0,01 punktu procentowego w porównaniu z poprzednim miesiącem.
  • Szkodliwe pliki zostały wykryte w 3,23 proc. wszystkich wiadomości e-mail, co stanowi wzrost o 0,05 punktu procentowych w porównaniu z lutym.

Spam na świeczniku

Wiele hałasu o Rustocka

W połowie marca ogłoszono, że wspólne działania firmy Microsoft i amerykańskich organów ścigania przyczyniły się do zamknięcia botnetu spamowego znanego jako Rustock.

Rustock po raz pierwszy pojawił się w Internecie jeszcze w 2006 roku i według niektórych szacunków jest odpowiedzialny za 30-40 proc. całego spamu. O zamknięciu tego botnetu poinformowano 17 marca 2011 r., jednak sama operacja miała miejsce dzień wcześniej.

Między 17 a 20 marca eksperci z firmy Kaspersky Lab odnotowali spadek ilości spamu. W okresie tym odsetek niechcianych wiadomości e-mail w ruchu pocztowym spadł o 3 punkty procentowe w porównaniu ze średnią dla pierwszej połowy marca. Ogólny udział spamu zmniejszył się o około 15 punktów procentowych.

Jednak 22 marca poziom ruchu spamowego zaczął wzrastać. Wygląda na to, że nauka, jaką spamerzy i botmasterzy odebrali po zamknięciach botnetów, jakie miały miejsce pod koniec 2010 roku, nie poszła na marne. Mimo dużego rozmiaru i „możliwości” zamkniętego botnetu Rustock spamerzy zdołali przeprowadzić szybką redystrybucję swoich zasobów. Jednak pozytywna wiadomość jest taka, że działania prowadzone przez organy ścigania w ramach walki z botnetami nadal przynoszą efekty – ku zadowoleniu aktywistów antyspamowych.

Incydenty spamowe na świecie

Spamerzy wykorzystują tragedię w Japonii

Przed kilkoma tygodniami światem wstrząsnęła wiadomość o serii destrukcyjnych trzęsień ziemi, tsunami oraz katastrofie w elektrowni nuklearnej. W wielu krajach ludzie dobrej woli angażowali się w udzielanie pomocy poszkodowanym z Japonii, przekazując organizacjom pomocy humanitarnej datki na zakup żywności, lekarstw i innych niezbędnych artykułów. W Internecie pojawiło się wiele stron zawierających informacje odnośnie tego jak i gdzie można przelać pieniądze na pomoc ofiarom.

Spamerzy od razu zaczęli wykorzystywać takie inicjatywy charytatywne do własnych celów. Wysyłali oszukańcze wiadomości e-mail, w których podszywając się pod Czerwony Krzyż i inne organizacje humanitarne, prosili o przelanie za ich pośrednictwem datków na ofiary.

 

Naturalnie, pieniądze, które użytkownicy przelewali na podawane w takich e-mailach konta, trafiały do kieszeni spamerów.

Tragiczne wydarzenia w Japonii były również wykorzystywane do rozprzestrzeniania szkodliwego kodu. Jak często bywa w takich przypadkach, oszuści żerowali na ludzkiej ciekawości, zachęcając użytkowników do czytania szokujących szczegółów lub obejrzenia nagrań z obszaru katastrofy.

 

Libia warzone najbardziej nośnym tematem

W marcu media na całym świecie były zwrócone również w kierunku Libii, gdzie rozgrywał się konflikt zbrojny. Spamerzy wykorzystali w swoich oszukańczych wiadomościach także te wydarzenia. W Sieci krążyło mnóstwo tzw. nigeryjskiego spamu, rzekomo wysyłanego w imieniu członków rządu, proszących o pomoc w wydobyciu swoich milionów z libijskich banków, jak również wiadomości zawierających prośby o datki na pomoc ofiarom.

Dramatyczne wydarzenia w Libii również wywołały wysyp szkodliwego oprogramowania. Spamerzy uciekali się do sprawdzonych metod i wysyłali wiadomości zawierające odsyłacze do “najnowszych” wiadomości z rejonu konfliktu.

Według nas, najciekawszym incydentem marca było pojawienie się politycznie motywowanych wiadomości dotyczących sytuacji w Libii.

Nadawcy takich wiadomości zazwyczaj cytują posty z blogów lub artykuły prasowe. Maile te są pisane w języku angielskim, co oznacza, że nie są kierowane do Libijczyków. Tego rodzaju spam próbuje zwrócić uwagę użytkowników w Stanach Zjednoczonych oraz Europie i jest wysyłany zarówno przez zwolenników jak i przeciwników rządzącego reżimu.

 

Podsumowanie statystyczne

Spam w ruchu pocztowym

W marcu 2011 roku Ilość spamu wykrywanego w ruchu pocztowym zwiększyła się o 0,9 punktu procentowego i wynosiła średnio 79,6 proc.


Spam w ruchu pocztowym w marcu 2011 r.

Najmniej spamu (74,5 proc.) odnotowano 25 marca, najwięcej natomiast 13 marca (86,9 proc.).

Źródła spamu

W marcu tytuł największego spamera zachowały Indie, z których pochodziło 11,42 proc. całego spamu (wzrost o 2,59 punktu procentowego).

 
Źródła spamu w marcu 2011 r.

Brazylia odebrała Rosji niechlubne drugie miejsce. Z państwa tego pochodziło 6,6 proc. ogółu spamu, co stanowi wzrost o 2 punkty procentowe w porównaniu z lutym. Na trzecim miejscu uplasowała się Rosja, której udział w rozprzestrzenianiu niechcianych wiadomości utrzymał się na tym samym poziomie co w lutym i wynosił 4,8 proc. Praktycznie nie zmienił się odsetek spamu dystrybuowanego z Indonezji (4,3 proc.) oraz Włoch (4 proc.), które uplasowały się odpowiednio na czwartym i piątym miejscu.

Ilość spamu pochodzącego z Korei Południowej zmniejszyła się o 0,8 punktu procentowego i wynosiła 3,3 proc. W efekcie, państwo to spadło z piątego na ósme miejsce, ustępując pola Wielkiej Brytanii (3,9 proc.) i Stanom Zjednoczonym (3,4 proc.), które awansowały na szóstą i siódmą pozycję. Jednak w porównaniu z poprzednim miesiącem zmiany w ilości spamu dystrybuowanego z tych dwóch państw nie były znaczące.

Szkodliwe oprogramowanie w ruchu pocztowym

W marcu szkodliwe pliki zostały wykryte w 3,23 proc. wszystkich wiadomości e-mail, co stanowi wzrost o 0,05 punktu procentowego w porównaniu z poprzednim miesiącem.

Największe zmiany wystąpiły na liście państw, w których rozwiązania do ochrony poczty najczęściej wykrywały szkodliwe programy.

 
Państwa, w których najczęściej wykrywano szkodliwe programy w ruchu pocztowym w marcu 2011 r.

Rosja utrzymała prowadzenie wśród państw, w których najczęściej wykrywano szkodliwe programy w ruchu pocztowym (12,7 proc. wszystkich zainfekowanych załączników). Tuż za nią uplasowały się Stany Zjednoczone, w których odsetek szkodliwych programów wykrytych w wiadomościach e-mail wynosił 12,5 proc., co stanowi wzrost o 1,9 punktu procentowego w porównaniu z poprzednim miesiącem.

Na trzecim miejscu znalazła się Wielka Brytania, w której 6,2 proc. wszystkich zablokowanych e-maili zawierało zainfekowane załączniki (o 1,1 punktu procentowego więcej niż w lutym). W ostatnich miesiącach stały spadek udziału w liczbie rozsyłanych szkodliwych programów odnotowały Indie (4,35 proc.) oraz Wietnam (5,61 proc.). W marcu Indie spadły o dwa miejsca i uplasowały się na szóstej pozycji, z kolei Wietnam spadł z trzeciego miejsca na czwarte.

O jedną pozycję w górę przesunęły się Niemcy (5,4 proc.), z kolei Australia (4,21 proc.) zachowała poprzednią pozycję. Włochy (4,05 proc.), które w lutym nie zaklasyfikowały się do pierwszej dziesiątki, wróciły do rankingu na ósmym miejscu. Z kolei Hiszpania (3,27 proc.) awansowała z jedenastego miejsce na dziewiąte.

Poniżej przedstawiamy ranking 10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem ruchu pocztowego w marcu 2011 roku:

 
10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem ruchu pocztowego w marcu 2011 r.

W marcu ponad połowa z 10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem ruchu pocztowego należała do rodziny Trojan-Downloader.Win32.Deliver. Programy te należą do kategorii trojan downloader, a ich funkcja polega na instalowaniu nowych wersji szkodliwych programów na komputerach ofiar bez ich wiedzy.

Dwa szkodniki z pierwszej dziesiątki reprezentują rodzinę Trojan-Spy.Win32.SpyEyes – programy, których celem jest kradzież poufnych danych użytkowników.

Jak już wspominaliśmy, w marcu spamerzy rozsyłający e-maile z zainfekowanymi odsyłaczami lub załącznikami aktywnie wykorzystywali wydarzenia w Japonii oraz Libii. Niektórzy z nich żerowali nawet na obu tych tematach: e-maile zawierające “gorące wiadomości” dotyczące trzęsienia ziemi w Japonii oraz konfliktu w Libii zawierały te same odsyłacze i były wysyłane jednocześnie.

 

Najwyraźniej wiadomości te były tworzone przy użyciu jednego szablonu. Pod każdym odsyłaczem znajdowała się typowa formułka “copyright disclaimer”, która różniła się w zależności od wiadomości. Wśród właścicieli praw autorskich znalazło się wiele największych firm IT oraz zasobów internetowych. Być może oszuści zastosowali to nieporadne podejście, aby wywieść w pole filtry spamowe.

Jeżeli użytkownik kliknął odsyłacz, na jego komputerze został zainstalowany szkodliwy program przy użyciu exploitów Javy.

Phishing

W marcu wiadomości phishingowe stanowiły 0,02 proc. całego ruchu pocztowego, co stanowi spadek o 0,01 punktu procentowego w porównaniu z poprzednim miesiącem.

 
10 organizacji najczęściej atakowanych przez phisherów w marcu 2011 roku

Niekwestionowanym “liderem” marcowego rankingu 10 organizacji najczęściej atakowanych przez phisherów był PayPal. Wśród popularnych celów ataków phishingowych znalazł się również portal społecznościowy Facebook, Habbo oraz znana gra online World of Warcraft.

Połowę najpopularniejszych celów ataków phishingowych stanowiły usługi online. Jednocześnie phisherzy wykazali wyraźnie mniejsze zainteresowanie bankami - systemy bankowości internetowej znalazły się w większości u dołu rankingu.

Wnioski

W marcu amerykańskie organy ścigania wymierzyły kolejny cios botnetom, który spowodował krótkotrwały spadek ilości spamu. Mimo to w marcu średni odsetek spamu w ruchu pocztowym był większy niż w lutym. Tak jak przewidywaliśmy w styczniowym raporcie spamowym, średnia miesięczna ilość spamu ciągle rośnie i wiele wskazuje na to, że powróci do poziomu z lata 2010 roku.

Wbrew naszym oczekiwaniom, w marcu Stany Zjednoczone nie znalazły się wśród 5 największych źródeł spamu. W porównaniu z lutym odsetek niechcianych wiadomości rozsyłanych z tego terytorium praktycznie nie zmienił się. Ciekawostką jest jednak wzrost liczby ataków z udziałem szkodliwego oprogramowania na użytkowników ze Stanów Zjednoczonych. Być może jest to efekt wspólnych działań cyberprzestępców zmierzających do wskrzeszenia swoich botnetów w Stanach Zjednoczonych.

Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie