Спамеров не сломило закрытие крупнейшего ботнета
Лента новостей
В своих ежемесячных отчетах антивирусные компании не смогли обойти вниманием успех — закрытие ботнета Trojan.Spambot (Rustock). Однако сделали они это сдержанно и пессимистично оценили перспективы борьбы со спамерами и вирусописателями
В своих ежемесячных отчетах антивирусные компании не смогли обойти вниманием успех — закрытие ботнета Trojan.Spambot (Rustock). Однако сделали они это сдержанно и пессимистично оценили перспективы борьбы со спамерами и вирусописателями.
Напомним, ботнет Rustock, начавший свою работу ориентировочно в 2005-2006 годах, насчитывал несколько сотен тысяч зараженных компьютеров и использовался для рассылки спама, преимущественно фармацевтической направленности. В марте компания Microsoft подала гражданский иск против неустановленных лиц, стоявших за данным ботнетом. На основании этого иска были заблокированы 26 командных центров спам-сети, а сотни тысяч ботов остались без управления. Кстати, по оценке Microsoft, компьютер, зараженный Trojan.Spambot, рассылал до 10 тысяч писем в час. При этом, по данным некоторых экспертов, в спам-сеть входило порядка 815 тысяч ботов. Таким образом, суммарный спам-трафик, создаваемый ботнетом Trojan.Spambot, можно оценивать в несколько миллиардов сообщений в сутки.
17 марта были остановлены все управляющие серверы ботнета. Но аналитики антивирусных компаний не спешат праздновать победу. Компания «Доктор Веб», в частности, отмечает следующее: «Пока сложно давать прогнозы относительно будущего спам-индустрии. Тот ощутимый урон, который нанесло ей закрытие крупнейшей спам-сети, может быть быстро возмещен ростом других ботнетов. Лидирующие позиции в распространении спама уже занял давно известный ботнет Win32.HLLM.Beagle, активность которого последние несколько лет была низкой». Также эксперты компании полагают, что в будущем следует ожидать изменения архитектуры ботнетов в сторону децентрализации. А, например, в «Лаборатории Касперского» вообще предлагают подождать дальнейшего развития событий, которое покажет, пришел ли одному из самых известных спам-ботнетов конец, или хозяева бот-сети просто затаились в ожидании более спокойных времен. Кстати, о хозяевах. Пока о них ничего не известно, однако по одной из самых популярных версий — это россияне или выходцы из России.
Стоит отметить, что уже через несколько дней после закрытия Rustock спам-индустрия восстановилась. По данным Symantec, к 17 марта доля спама в почтовом трафике уменьшилась до приблизительно 68% (средний показатель за февраль-март — 80%). Однако уже через несколько дней все вернулось к прежним показателям.
К особенностям зловредной активности в марте антивирусные компании отнесли также активное использование злоумышленниками любых трагических событий в своих целях. Так, мошенники цинично распространяют вредоносные ссылки на «горячие» новости о событиях в Японии, создают вредоносные веб-страницы, контент которых так или иначе связан с трагедией в этой стране, рассылают «нигерийские» письма с просьбами оказать помощь пострадавшим, переслав деньги на счет отправителей.
«Лаборатория Касперского» отметила также, что вирусописатели быстро реагируют на сообщения о новых уязвимостях. Едва успела Adobe 14 марта сообщить об уязвимости authplay.dll, как 15 числа был обнаружен соответствующий эксплойт, который, используя эту уязвимость, давал злоумышленникам возможность взять под контроль компьютер пользователя.
Все активнее вирусописатели работают с мобильными платформами. В марте им удалось, например, распространить свои программы под видом легальных приложений на Android Market. Точнее, легальные приложения были инфицированы root-эксплойтами, которые позволяют вредоносной программе получить на Android-смартфонах права root-доступа, обеспечивающие полный доступ к операционной системе устройства.
Кстати, в своем исследовании мобильных «зловредов» «Лаборатория Касперского» указывает, что в связи с изменением соотношения различных операционных систем для мобильных устройств поменялась и расстановка сил в среде современных мобильных вредоносных программ. По данным компании, сегодня больше половины из них (57,67%) предназначены для «использования» J2ME (Java 2 Micro Edition, подмножество платформ Java для мобильных устройств). Еще 29,26% ориентированы на ОС Symbian. Такие мобильные операционные системы, как Python, Windows Mobile и Android, привлекли внимание соответственно 5,64%, 5,08% и 1,41% «зловредов».
В своем отчете «Доктор Веб» обратил также внимание на проблему заражения платежных терминалов. В прошлом месяце компания обнаружила новую модификацию троянца Trojan.PWS.OSMP, специализирующегося на заражении терминалов экспресс-оплаты. Он изменяет номера счетов получателей платежей. А последняя его модификация, вероятно, позволяет злоумышленникам создать виртуальный терминал.
Не оставили злоумышленники без внимания и социальные сети. Так, помимо случившихся в самом конце месяца DDoS-атак на LiveJournal, другим видам атак подвергались как все тот же LiveJournal, так и Facebook. В начале марта была осуществлена массовая рассылка фишинговых писем от имени администрации ЖЖ, содержащих уведомления о блокировке и возможном удалении аккаунта на LiveJournal. Мошенническая ссылка, по которой предлагалось перейти пользователю для решения проблемы, вела на один из поддельных сайтов: livejorrnal.com или xn--livejurnal-ivi.com. Вводимая на них пользователем регистрационная информация передавалась злоумышленникам. Через несколько дней похожей атаке подвергся сервис Facebook.
При этом стоит также отметить, что вредоносное ПО интенсивно обновляется вирусописателями. Так, в Топ-20 «зловредов» в Интернете, подготовленном «Лабораторией Касперского», оказалось сразу 11 программ, которые прежде в этом списке не фигурировали.