> Электронный журнал "Спамтест" No. 197
>
> В арсенале спамеров появились Excel-файлы
>
> 26.07.2007
>
> В арсенале спамеров, занимающихся реализацией мошеннической
> схемы "pump and dump" (накачка и сброс), появился новый
> формат - Excel. Эксперты Commtouch сообщают, что ими было
> зафиксирован спам, продвигающий акций, с именами вложенных
> файлов типа "invoice20202.xls", "stock information-3572.xls"
> и "requested report.xls."
>
> Электронные таблицы Excel при этом содержат незапрашиваемое
> сообщение, в лучших традициях "pump and dump" рекламирующее
> якобы "горячие", находящиеся на стадии роста, акции некоторых
> компаний. При этом акции уже выкуплены мошенниками, чья
> задача теперь максимально выгодно их сбыть. Как только цена
> акций становится достаточно высокой, спамеры продают их, а
> ответственность за последующее ее падение ложится на
> обманутых пользователей.
>
> "Переход к формату Excel - логичное решение для спамеров,
> которые находятся в постоянном поиске чего-то еще не
> известного спам-фильтрам", - считает Ребекка Стейнберг Эрсон
> (Rebecca Steinberg Herson), старший управляющий по маркетингу
> компании Commtouch в Калифорнии. - "Со временем спам-фильтры
> фиксируют новые уловки спамеров, становятся более
> чувствительными и уже завоевали популярность среди
> пользователей. Ранее спамеры использовали рассылку
> графического спама, но как только спам-фильтры научились
> отсеивать и изображения, на смену им пришли вложения в
> формате PDF... Спамеры пробуют все новые и новые форматы".
>
> Представители Commtouch полагают, что Excel-спам рассылается
> при помощи "зомби"-компьютеров, зараженных вредоносным ПО. По
> данным, представленным менеджером компании IronPort Ником
> Эдвардсом (Nick Edwards), объемы акций, продвигаемых при
> помощи спама в формате Excel, за неделю с 16 по 23 июля
> выросли с 1000 до 40000. Это подняло их цену в среднем с 15
> до 23 центов за акцию.
>
> По мнению экспертов Commtouch, спамеры использовали Excel,
> потому что в июне-июле 2006 года уже были зафиксированы
> атаки, эксплуатирующие уязвимости в программном обеспечении
> Microsoft, в частности, в Excel, Microsoft Word и PowerPoint.
> Для проверки нового метода рассылки спама спамеры бросают
> "пробный шар" в небольших объемах. Если получен хороший
> отклик, спамеры запускают массовую атаку. А значит,
> теперьможно ожидать появления спама в файлах Word и PowerPoint.
>
> Источник: YAHOO! News
> <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20070
> 803100607/n/m4696343/-/www.spamtest.ru/click?_URL=http://news.
yahoo.com/s/zd/20070724/tc_zd/212196>
>
> Корпоративные пользователи не довольны эффективностью спам-фильтрации
>
> 30.07.2007
>
> Результаты опроса, проведенного компанией Brockmann &
> Company, показали, что большинство корпоративных
> пользователей недовольны спам-фильтрами, которыми они пользуются.
>
> Недовольство пользователей вызывает как низкая эффективность
> фильтров, пропускающих спам, так и ложные срабатывания. По
> словам Питера Бокманна (Peter Brockmann), автора исследования
> и главы Brockmann & Company, 36% компаний, участвовавших в
> опросе, понесли ущерб, связанный с тем, что деловая
> корреспонденция была отфильтрована как спам.
>
> В опросе участвовало 520 сотрудников различных компаний,
> работающих в сфере IT, продаж, маркетинга, финансов, HR,
> администраторы и менеджеры среднего звена. В ходе
> исследования респондентов попросили оценить 8 категорий
> антиспам-технологий. Оказалось, что шестью из восьми
> категорий более 70% опрошенных "не очень довольны".
>
> Коммерческим софтом, фильтрующим спам, полностью
> удовлетворены только 22% респондентов. Фильтрами,
> интегрированными в почтовые клиенты, согласно результатам
> исследования, довольны только 21% опрошенных. Такой же низкий
> уровень оценки получили услуги хостинг-провайдеров,
> обеспечивающих защиту от спама бизнес-клиентов, устройства
> для фильтрации спама и репутационные системы Commtouch,
> IronPort и Spamhaus, известные как "real-time black lists".
> Самую низкую оценку получили open source решения, такие как
> SpamPal и SpamAssassin, - ими довольны всего 16% опрошенных.
>
> Меньше всего жалоб вызвала работа систем, использующих
> технологию запрос-ответ (challenge-response), которыми
> довольны 67% респондентов. Использование таких технологий
> позволяет письмам от известных отправителей беспрепятственно
> попадать в почтовые ящики получателя. Неизвестному
> отправителю для этого необходимо подтвердить, что письмо было
> действительно отправлено им: на его адрес высылается запрос,
> в котором отправителя просят либо отправить
> письмо-подтверждение, либо кликнуть по ссылке, либо посетить
> веб-сайт и подтвердить отправку письма.
>
> На втором месте по отзывам пользователей оказались почтовые
> сервисы, предлагающие услугу спам-фильтрации, такие, как
> Google-Postini, AppRiver и MXLogic. Им доверяют 42%
> респондентов. Как заявил Брокманн, они используют свои центры
> передачи данных и таким образом способны вычистить гигантское
> количество почты и обнаружить подозрительные письма.
>
> По данным Брокманна, в среднем каждый пользователь получает
> 11 нежелательных сообщений в день, что составляет 15% всех
> писем. Эти цифры учитывают работу спам-фильтров. В
> неотфильтрованных потоках спам составляет порядка 90% всех писем.
>
> Источник: TechWorld
> <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20070
> 803100607/n/m4696343/-/www.spamtest.ru/click?_URL=http://www.t
echworld.com/news/index.cfm?RSS&NewsID=9539>
>
> Авторы "штормового троянца" создают новые ботнеты
>
> 31.07.2007
>
> По данным компании Postini, спамеры провели наиболее
> широкомасштабную атаку за последние 2 года, целью которой
> было создание ботнетов. Спам-сообщения содержали ссылки,
> переводящие пользователя на сайт, с которого на его компьютер
> устанавливается вредоносное ПО. В результате этого машина
> становится частью зомби-сети, и сама превращается в источник спама.
>
> В ходе атаки было зафиксировано 200 млн. спам-сообщений,
> отсылающих пользователей к вредносным сайтам. До начала атаки
> Postini регистрировала 1 млн. зараженных писем ежедневно, а в
> период атаки только на один из дней пришлось 42 млн. спамовых
> писем, связанных с "штормовым" троянцем
> <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20070
> 803100607/n/m4696343/-/www.spamtest.ru/news?id=207508831> .
>
> "Мы оказались в эпицентре невероятно масштабной атаки", -
> сказал Адам Свайдлер (Adam Swidler), старший менеджер
> компании Postini. "Атака продолжалась 9 дней и стала самой
> длительной из всех, с которыми мы сталкивались".
>
> Это не первая спам-атака
> <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20070
> 803100607/n/m4696343/-/www.spamtest.ru/news?id=207508941> ,
> целью которой является заражение компьютеров пользователей
> "штормовым" троянцем и создание нового ботнета. Все подобные
> рассылки отличались агрессивностью и массовостью.
>
> Пол Генри (Paul Henry), вице-президент по технологиями Secure
> Computing, заявил, что ранее в июле таким же образом
> рассылались
> <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20070
> 803100607/n/m4696343/-/www.spamtest.ru/news?id=207508941>
> электронные поздравительные спам-открытки. "Декабрьский пик
> рассылки поздравительных спам-сообщений мы объясняли
> праздниками и считали, что следующая волна придется на День
> независимости, после чего она сойдет на нет. Однако на
> протяжении нескольких последних недель мы наблюдаем уровнь
> "поздравительного" спама, аналогичный декабрьскому".
> Сообщение в электронных открытках инсталлирует руткиты, и тем
> самым включает компьютер в зомби-сеть.
>
> Источник: InformationWeek
> <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20070
> 803100607/n/m4696343/-/www.spamtest.ru/click?_URL=http://www.i
nformationweek.com/story/showArticle.jhtml?articleID=201200849>
>
> Спамеры переходят на PDF-формат - надолго ли?
>
> 01.08.2007
>
> Совершенствование корпоративных спам-фильтров привело к тому,
> что спамеры стали использовать для рассылок по корпоративным
> адресам электронной почты вложения в виде PDF-файлов. В
> результате объемы обычного графического спама, который еще в
> начале года составлял почти 60% от общего потока, снизились до 15%.
>
> Такие приливы и отливы различных видов спама являются
> отражением "гонки вооружений" между спамерами и сетевыми
> защитниками. Графический спам выделился в отдельное
> направление в конце 2006 года как способ продвижения акций и
> манипуляции внебиржевыми рынками ценных бумаг. Вскоре
> графический спам появился в других категориях, а его масштабы
> в январе 2007 года достигали 2/3 спам-трафика.
>
> По словам Мэта Саджента (Matt Sergeant), главного
> антиспам-технолога компании MessageLabs, объемы графического
> спама были столь велики, что крупные компании стали
> блокировать массовые сообщения с вложенными изображениями.
> Поэтому спамеры вынуждены были изменить тактику и стали
> экспериментировать с PDF-файлами.
>
> В середине июня компании по сетевой безопасности признали
> вложения в формате PDF отдельной категорией спама, но при
> этом их оценки масштабов бедствия довольно сильно
> различались. McAfee оценила объемы PDF-спама в 2,6%, а
> Symantec посчитал, что доля этой категории спама составляет
> от 2 до 7% от общего объема. По данным MessageLabs, PDF-спам
> составляет около 20% от всего графического спама. При этом
> PDF-спам ведет к увеличению спам-трафика, поскольку вложения
> в формате PDF более тяжелые, чем другие графические форматы.
>
> "С точки зрения спамеров, преимущество PDF в том, что этот
> формат широко используется в деловом мире, поэтому
> организации требуют, чтобы их почтовые системы обеспечивали
> беспрепятственную передачу PDF-документов пользователям", -
> объясняет Менаш Элизе (Menashe Eliezer), руководитель
> антиспам-исследований компании Commtouch.
>
> В настоящее время спамеры активно экспериментируют с
> PDF-вложениями, пытаясь найти "слабые места" фильтров. Однако
> эксперты считают, что эффективность и, как следствие, будущее
> PDF-спама зависит, в том числе, и от того, будет ли
> получатель просматривать вложенный файл. Если PDF-спам не
> даст прироста просмотров, то его активное использование
> продлится недолго.
>
> Источник: SecurityFocus
> <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20070
> 803100607/n/m4696343/-/www.spamtest.ru/click?_URL=http://www.s
ecurityfocus.com/news/11475>
>
> Спама в блогах и на форумах станет больше
>
> 01.08.2007
>
> Вирусописатели создали программу Xrumer, позволяющую
> автоматически публиковать на форумах и в блогах спам и ссылки
> на сайты с вредоносным ПО.
>
> Чаще всего спам в блогах используют для рекламы разнообразных
> подозрительных таблеток или для повышения узнаваемости сайтов
> поисковиками. Злоумышленники стали использовать ту же тактику
> для привлечения посетителей на зараженные сайты. До недавнего
> времени для массовой публикации комментариев требовались хотя
> бы минимальные навыки программирования. Но с появлением
> XRumer, как утверждают создатели программы, даже "зеленый"
> новичок, заплатив за нее около $450, сможет публиковать более
> 1100 комментариев менее чем за 15 минут.
>
> Обычно для защиты от автоматической регистрации при помощи
> ботов подозрительные IP блокируются, а пользователь должен
> пройти тест CAPTCHA - распознать буквы и цифры на
> изображении, подтвердив тем самым, что регистрируется
> человек, а не бот. Специалисты компании PandaLabs, внимание
> которых привлекла спамерская новинка, сообщают, что XRumer
> способен распознать текст на изображениях нескольких типов и
> содержит длинный список IP-адресов, которые могут быть
> использованы при регистрации.
>
> XRumer может публиковать спам на сайтах, созданных с помощью
> phpBB, PHP-Nuke (с любыми модификациями), yaBB, VBulletin,
> Invision Power Board, IconBoard, UltimateBB, exBB и
> phorum.org. Как правило, опубликованное спам-сообщение
> содержит ссылку на зараженный сайт, но метод годится и для
> распространения на форумах и в блогах спам-рекламы.
>
> Источник: The Register
> <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20070
> 803100607/n/m4696343/-/www.spamtest.ru/click?_URL=http://www.t
heregister.co.uk/2007/07/30/blog_poisoning_tool/>
>
>
>
> Актуальные тенденции
>
>
> Спамеры продолжают эксперименты: новые способы доставки
> графических файлов пользователю. Спам в pdf-вложениях.
>
> Спам в pdf и прочие спам-новшества как альтернатива
> "традиционному" графическому спаму
>
>
> Второй квартал 2007 года подтвердил наметившуюся в начале
> года тенденцию к снижению доли "графического" спама (спам во
> вложениях формата gif, jpeg и т.п.):
> апрель - 23,0%;
> май - 19,3%;
> июнь - 18,8%.
>
> По сравнению с первым кварталом 2007 года снижение
> замедлилось, но тенденция сохраняется.
>
> Эксперты "Лаборатории Касперского" полагают, что основная
> причина падения доли "графического" спама - снижение его
> эффективности. Многие спам-фильтры уже неплохо работают с
> вложенными графическими файлами и вполне способны блокировать
> спам "в картинках". Об успехах в развитии новых технологий,
> анализирующих графическую часть сообщения, уже достаточно
> давно заявили известные производители антиспам-софта, которые
> обеспечивают защиту от всех видов спама, включая "графический".
>
> Значит ли это, что спамеры откажутся от графики? Нет, они
> ищут новые пути доставки графической информации, кроме
> привычных уже вложений форматов gif и jpeg. Во втором
> квартале 2007 года они опробовали как минимум3 новых способа
> доставки и демонстрации пользователю "картинки":
>
> 1. Размещение графических файлов на страницах бесплатного
> хостинга изображений (например, imageshack.us, imagenerd.com,
> imgnation.net, hostpic.biz, imgplace.com и т.п.). В теле
> спамерского сообщения указывалась ссылка на URL с
> "картинкой". Когда получатель открывал сообщение, в
> большинстве популярных мейлеров изображение подгружалось с
> указанного URL.
> 2. Использование спамерской "картинки" в виде фонового
> изображения. Графический файл не вкладывался в сообщение, а,
> опять-таки, публиковался на том или ином сайте. В теле
> сообщений был указан только URL сайта, помещенный в тэг
> 'body', атрибут 'background'. В результате изображение могло
> автоматически подгружаться в некоторых мейлерах, а также в
> веб-интерфейсах части почтовых служб.
> 3. Спам с вложениями формата pdf. Этот вид вложений не
> открывается и не подгружается автоматически. Чтобы увидеть
> спамерский контент, пользователь должен самостоятельно
> открыть вложение.
>
> В первых двух нововведениях ставка была сделана на то, что
> спамерское изображение не вложено в сообщение. Тем самым у
> спам-фильтров нет материала для анализа.
>
> В последнем случае изображение приложено, но формат вложения
> таков, что многие программы фильтрации его игнорируют. В
> итоге полноценный анализ спамерского контента не проводится.
>
> Если первые две новинки не нашли широкого распространения -
> по крайней мере, пока, - то спам в pdf-вложениях уже создал
> проблемы многим программам фильтрации. Хотя проблемы эти
> вполне решаемы. Например, фильтр Kaspersky Anti-Spam оснащен
> необходимыми средствами борьбы со спамом в pdf-вложениях и
> способен противостоять новому виду спама без дополнительных
> программных изменений.
>
> Трудно прогнозировать, насколько жизнеспособным окажется спам
> в pdf-вложениях. Это зависит как от скорости реакции крупных
> производителей спам-фильтров, так и от пользователей -
> насколько активно они будут открывать вложения. "Pdf-атака"
> вполне может оказаться скоротечной. Пока нет причин считать,
> что pdf-спам придет на смену "традиционному" графическому
> спаму. По данным на конец июня его доля в общем объеме спама
> составляет 2-6%.
>
>
> (C) "Лаборатория Касперского"