Spam w III kw. 2013 r.

Przeczytaj także: Spam w VIII 2013 r.

Źródła spamu według regionu

W III kwartale ranking największych źródeł spamu według regionu nie odnotował żadnych poważnych zmian w stosunku do pierwszych dwóch kwartałów 2013 r. Udział poszczególnych regionów pozostał prawie taki sam.

Numerem jeden wśród regionalnych źródeł spamu pozostała Azja (+0,2 punktu procentowego). Na drugim miejscu uplasowała się Ameryka Północna (+1,9 punktu procentowego) oraz Europa Zachodnia (-0,2 punktu procentowego).

Udział pozostałych regionów nie zmienił się znacząco.

Nie zawsze istnieje korelacja między miejscem wysyłania a produkowania spamu. Np. spora część spamu afrykańskiego trafia do Rosji; z kolei niechciane wiadomości pochodzące z Korei Południowej są często wysyłane do Europy, podczas gdy spam z Europy Zachodniej rozkłada się równomiernie na całym świecie.

Rozmiar wiadomości spamowych

Jak wynika z wykresu, odsetek niewielkich wiadomości spamowych o rozmiarze poniżej 1 KB zwiększa się z kwartału na kwartał. W większości takich e-maili nie ma prawie żadnego tekstu. Zawierają tylko odsyłacz, który zwykle prowadzi na stronę przekierowującą lub do serwisu skracania linków, dzięki czemu każdy e-mail jest unikatowy. Wiadomości te stanowią problem dla filtrów spamowych i dzięki niewielkiemu rozmiarowi można je wysłać szybko i w masowych ilościach.

Szkodliwe załączniki w e-mailach

Udział szkodliwych załączników w trzecim kwartale był o 1,6 punktu procentowego wyższy niż w drugim kwartale i wynosił 3,9% całego ruchu pocztowego.

Trojan-Spy.HTML.Fraud.gen znalazł się na pierwszym miejscu rankingu najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w trzecim kwartale tego roku. Szkodnik ten ma przypominać stronę HTML wykorzystywaną jako formularz rejestracyjny dla serwisów bankowości online. Jest wykorzystywany przez phisherów do kradzieży informacji finansowych.

Podobnie jak w poprzednim kwartale, na drugim miejscu uplasował się Email-Worm.Win32.Bagle.gt. Ten robak pocztowy, w przeciwieństwie do innych, potrafi wysyłać własne kopie do kontaktów zawartych w książce adresowej użytkownika jak również otrzymywać zdalne polecenia instalacji innego szkodliwego oprogramowania.

Nasz ranking dla III kwartału zawiera dwa robaki z rodziny Mydoom, które zajmują 3 i 4 miejsca. Celem tych szkodliwych programów jest przechwytywanie adresów e-mail z książek adresowych użytkowników. Ta metoda zbierania adresów oznacza, że twój adres e-mail może wpaść w ręce oszustów, nawet jeśli nie jest publicznie dostępny. Rodzina Mydoom istnieje już od bardzo dawna, nadal jednak skutecznie działa na komputerach, na których nie uaktualniono oprogramowania. Email-Worm.Win32.Mydoom.m może wysyłać do wyszukiwarek ukryte żądania wyszukiwania. Porównuje adresy stron wyświetlonych na pierwszej stronie wyników wyszukiwania z adresami, które pobrał z serwerów oszustów. Jeżeli znajdzie identyczne adresy, otworzy odsyłacz na stronie wyszukiwarki, zwiększając pozycję wyników wyszukiwania dla określonych stron.

Przedstawiciele rodziny ZeuS/Zbot zajęli 5, 6, 7 i 9 miejsce. Celem tych szkodliwych programów jest kradzież znajdujących się na komputerach poufnych informacji – zazwyczaj szczegółów dotyczących karty bankowej.

Trojan.Win32.Llac.dleq zakończył kwartał na 8 miejscu. Głównym zadaniem tego programu jest szpiegowanie użytkownika: trojan gromadzi informacje dotyczące zainstalowanego na komputerze oprogramowania (w większości dotyczące programów antywirusowych i zapór sieciowych), samego komputera (procesora, systemu operacyjnego, dysków), przechwytuje obrazy kamery internetowej oraz uderzenia klawiszy (keylogger) jak również zbiera poufne dane z różnych aplikacji.

Na 10 miejscu znalazł się Trojan.Win32.Bublik.beyb. Podstawową funkcjonalnością tego szkodnika jest ukradkowe pobieranie i instalowanie na komputerach ofiar nowych wersji szkodliwych programów. Występuje w postaci pliku .EXE z ikonką dokumentu PDF Adobe.

Rozkład szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w III kwartale 2013 r. wygląda następująco:

W III kwartale 2013 r. prowadzenie przejęła rodzina ZeuS/Zbot. Za nią uplasowała się rodzina Tepfer, mimo że żadna z jej modyfikacji nie znalazła się w pierwszej 10. Ten rodzaj trojana został stworzony w celu kradzieży haseł do kont użytkowników. Na trzecim miejscu znajduje się rodzina trojanów Fraud, w której prowadzi Trojan-Spy.HTML.Fraud.gen.

Na czwartym miejscu uplasowała się rodzina Bublik. Z kolei piąte miejsce zajęła rodzina Androm, która pobiera i uruchamia na komputerach ofiar szkodliwe pliki.

Lista państw najczęściej atakowanych przez szkodliwe wiadomości e-mail odnotowała pewne zmiany od drugiego kwartału tego roku.

W rankingu nadal prowadzą Stany Zjednoczone (-0,2 punktu procentowego). Niemcy awansowały z 3 miejsca na 2, podczas gdy Rosja spadła na 9 miejsce (-8,6 punktu procentowego), zbliżając się do swojej tradycyjnej pozycji. Pierwszą trójkę zamknęła Wielka Brytania, która odnotowała wzrost o 2,8 punktu procentowego.

W III kwartale 2013 r. trafiliśmy na jedną bardzo interesującą masową wysyłkę – oszuści imitowali odpowiedź z działu pomocy technicznej dużej firmy antywirusowej.

E-mail informował użytkownika, że plik, który rzekomo został wysłany do analizy, okazał się szkodliwym oprogramowaniem. Inżynier pomocy technicznej podał również, jaki był werdykt (w naszym przykładzie mydoom.j), i zasugerował wyleczenie komputera przy użyciu załączonej sygnatury. Jednak gdy użytkownicy (którzy prawdopodobnie nawet nie wysłali żadnych próbek) otworzyli załącznik, znaleźli tam szkodliwy program wykrywany przez Kaspersky Anti-Virus jako Email-Worm.Win32.NetSky.q.

Co ciekawe, spamerzy popełnili błąd: adres w polu Od był oficjalnym adresem działu pomocy technicznej firmy Symantec, podczas gdy stopka w e-mailu wskazywała na inną firmę antywirusową - F-Secure.