> Электронный журнал "Спамтест" No. 170
> Российские спамеры создали ботнет из более чем 70000 компьютеров
>
> 22.11.2006
>
> Анализ файлов управляющего сервера сети зомби-компьютеров,
> зараженных троянской программой-спамером SpamThru, позволил
> экспертам SecureWorks сделать вывод о грандиозных масштабах и
> редкостной технической оснащенности ботнета, а также о
> российском происхождении его создателей.
>
> Доступ к файлам командного сервера ботнета был получен в
> результате совместной работы специалистов SecureWorks,
> Spamhaus и интернет-провайдеров. Просмотр имен файлов и
> текста исходного кода привел к заключению, что организаторы
> ботнета - россияне.
>
> В обнаруженной сети производится тщательный учет
> статистической информации. Общее число инфицированных машин
> составляет около 73000, боты распределены между портами
> сервера в зависимости от разновидности используемого SpamThru
> и организованы в сетевые Р2Р-сегменты до 512 в каждом. В
> целях быстрого восстановления ботнета при сбое или отказе
> сервера обновление информации производится с высокой
> частотой: за сутки на сервере зарегистрировано до 3 миллионов
> обращений.
>
> В перехваченных файлах также содержится статистика по
> географическому распределению зомби-машин. Ботнет составлен
> из зараженных SpamThru компьютеров, находящихся в 166
> странах, при этом более половины из них находятся на территории США.
>
> Статистическая информация включает версии ОС Windows
> зомбированных машин. Около половины ботов работает под
> управлением Windows XP SP2. Имеется также перечень
> вредоносных программ, обнаруженных в инфицированных системах
> пиратским антивирусом, используемым SpamThru.
>
> Рассылка спамерских сообщений ведется по миллионным спискам
> электронных адресов, собранных с жестких дисков зомбированных
> компьютеров. Тематика спам-рассылок ограничивается биржевыми
> махинациями типа "накачка-сброс" и предложением медикаментов
> определенного характера. В базе данных сервера, управляющего
> ботнетом, обнаружен компонент для взлома новостных веб-сайтов
> финансовых сервисов, которые тоже служат источником адресатов
> тематической спам-рассылки.
>
> Спамерские сообщения, формируемые SpamThru по шаблонам, умело
> обходят защитные фильтры. Помимо текстовой части, в них
> содержатся графические изображения, которые варьируются по
> размерам и включают произвольный набор пикселей. Чтобы адреса
> зомби не попали в черные списки, в ботнете циркулирует
> обновляемый перечень прокси-серверов, доступный через Р2Р
> всем инфицированным машинам.
>
> Организованная подобным образом крупномасштабная сеть
> позволяет рассылать до миллиарда спамерских сообщений в
> сутки, - и это при условии, что в поле получателя указан
> только один адрес. Обычно же одно письмо рассылается по
> множеству адресов на одном домене. Прогноз дальнейшего
> функционирования данного ботнета представляется
> исследователям неутешительным для его потенциальных жертв.
>
> Источник: eWeek
> <
> 123110549/n/m4696343/-/www.spamtest.ru/click?_URL=
> week.com/article2/0,1895,2060235,00.asp>
>
>
> Графический спам как причина увеличения общего объема спама
>
> 22.11.2007
>
> По данным аналитического центра компании IronPort, мировой
> объем спама за год удвоился, и катализатором этого роста
> эксперты компании считают распространение графического спама.
>
> Как отмечают специалисты IronPort, в октябре 2005 года в
> электронном почтовом трафике проходило 31 миллиард
> спам-сообщений в сутки, в том же месяце 2006 года суточный
> уровень спама составлял 61 миллиард сообщений. При этом за
> указанный период доля графического спама выросла в пять раз и
> составляет четверть всего спам-трафика.
>
> С этими цифрами перекликается статистика компании Sophos,
> которая зарегистрировала и пиковые показатели - до 40%
> графического спама от общего объема спамовых сообщений.
> Аналитики компании Barracuda Networks, Inc. в свою очередь
> указывают на резкое увеличение спама
> <
> 123110549/n/m4696343/-/www.technologynewsdaily.com/node/5211>
> . По их данным, начиная с августа, его объем вырос на 67% при
> пятикратном возрастании объема графического спама за тот же период.
>
> По статистике IronPort, средний размер электронных сообщений
> в связи с интенсивным использованием графического спама в
> течение года также увеличился почти в полтора раза и
> составляет 13 КБ. Пропускная способность электронных каналов,
> используемых спамерами, почти удвоилась и составляет 819 ТБ в сутки.
>
> В своем стремлении обойти антиспам-защиту спамеры прибегают к
> разным ухищрениям. Графические изображения, используемые в
> спам-сообщениях, в разных рассылках и даже отдельных письмах
> могут варьироваться по цветовому фону, толщине и рисунку
> обрамления, шрифту текстового элемента. Статическое
> изображение бывает составлено из отдельных элементов, может
> быть многослойным, включать произвольно подобранные элементы.
> Наконец, спамеры стали использовать анимацию.
>
> Все эти уловки призваны скрыть контент от антиспам-фильтров и
> донести сообщение до адресата. Однако для мощных современных
> фильтров и такой спам особой проблемы не составит. Так,
> анимированный спам появился в конце августа, а на текущий
> момент "Лаборатория Касперского" уже выпустила обновление
> <
> 123110549/n/m4696343/-/www.kaspersky.ru/technews?id=203178877>
> , в которое в числе прочего вошел новый "графический"
> модуль, способный справляться с анимацией и варьирующими
> "зашумленными" спам-рассылками с графическими вложениями.
>
> Источник: COMPUTERWORLD
> <
> 123110549/n/m4696343/-/www.spamtest.ru/click?_URL=
> omputerworld.com.au/index.php/id;441511209;fp;16;fpid;1>
>
>
> UDS: реагирование на спам в режиме реального времени
>
>
> Андрей Калинин, "Лаборатория Касперского"
> <
> 123110549/n/m4696343/-/www.kaspersky.ru/>
>
> Принципы работы
>
>
> Для классификации почтовых сообщений программный комплекс
> Kaspersky Anti-Spam использует подготавливаемую
> спам-аналитиками "Лаборатории Касперского" базу данных о
> спаме, в которую входят как сигнатуры известного спама, так и
> различные эвристики, имеющие предсказательную силу и
> позволяющие "ловить" не только уже известный спам, но и
> подобный ему, который может распространяться в будущем. Для
> эффективной работы KAS требуется, чтобы используемая база
> данных поддерживалась в актуальном состоянии, то есть
> качество работы антиспама зависит от того, как часто
> обновляется база. Рекомендуемая скорость обновлений базы KAS
> - раз в двадцать минут.
>
> Однако, за те два года, которые прошли с момента выхода KAS
> 2.0, скорость рассылки спамерских сообщений выросла на
> несколько порядков. Использование сетей зомби-компьютеров
> (ботнетов) позволило спамерам распространять миллионы
> сообщений буквально за минуты. Это означает, что если спамер
> подготовит некое письмо, "пробивающее" KAS в данный момент
> времени, и если он успеет разослать его в пределах 20 минут,
> то он может надеяться, что KAS не отреагирует на это письмо,
> поскольку знания об этой рассылке, о ее характерных
> признаках, в это время еще не будут актуализированы в
> локальной базе данных KAS.
>
> Для уменьшения скорости реакции KAS на новые спамерские
> рассылки была разработана новая технология - Urgent Detection
> Service (UDS). Она позволяет программному комплексу KAS,
> установленному на почтовом сервере клиента, получить прямой
> доступ к данным антиспам-лаборатории, не ожидая следующего
> обновления локальной базы.
>
> Во время обработки почтового сообщения UDS-клиент,
> интегрированный в KAS 3.0, подготавливает небольшой блок
> информации о почтовом сообщении, куда входит следующая информация:
>
> * размер письма;
> * путь, по которому письмо пришло к клиенту (IP-адреса
> трех последних почтовых релеев);
> * md5-хеши, посчитанные от нескольких вариантов
> преобразования исходного текста письма (удаление стоп-слов,
> нормализация орфографии, сортировка слов по количеству
> вхождений и т.п.);
> * сигнатуры GSG, то есть результат обработки графических
> аттачментов.
>
> Размер такого блока обычно не превышает 150 байт. Эта
> информация не позволяет восстановить текст сообщения, однако
> она позволяет группировать одинаковые или похожие почтовые сообщения.
>
> Затем UDS-клиент посылает подготовленный запрос выбранному
> UDS-серверу и ждет получения вердикта: является ли данное
> почтовое сообщение спамом, содержит ли вредоносную программу
> или UDS-серверу про него пока что ничего не известно. Таким
> образом, если образец некой спамерской рассылки уже попал в
> антиспам-лабораторию, то при помощи UDS спам-аналитики могут
> моментально заблокировать данную рассылку.
>
> Наполнение базы UDS
>
>
> Наполнение базы данных UDS-сервера может производиться тремя
> способами:
>
> * вручную;
> * автоматически, при наличии образца блокируемого сообщения;
> * автоматически, основываясь на статистических
> исследованиях запросов UDS-клиентов.
>
> Первый вариант, ручной, подразумевает, что информация о
> рассылке добавится в базу UDS-серверов только после
> соответствующего действия спам-аналитика. Такой подход
> позволяет практически полностью избежать ложных срабатываний,
> но имеет временную задержку в блокировании рассылки, равную
> времени реакции спам-аналитика на новое сообщение.
>
> При использовании второго, автоматического способа,
> информация о рассылках добавляется в базу без подтверждения
> спам-аналитиком, что повышает время реакции на новые
> спамерские рассылки. Поскольку имеется образец рассылки,
> который был добавлен в базу, то возможна последующая проверка
> этого образца и удаление его из базы в случае ошибки. То
> есть, в этой ситуации возможны ложные срабатывания, но только
> в течение того времени, которое нужно для доставки
> спам-аналитику почтового сообщения и последующей его оценки -
> является ли оно спамом или не-спамом.
>
> Третий подход, статистический, подразумевает анализ журналов
> запросов UDS-сервера и блокирование каких-либо рассылок, на
> основании наличия признаков массовости их распространения,
> использования большого количества компьютеров, уже
> рассылавших спам, распространяемый из ADSL-сетей и т.п. Такой
> способ имеет еще большую скорость реакции, чем
> автоматический, так как не требует получения образца
> спамерского сообщения антиспам-лабораторией. Однако,
> количество ложных срабатываний на легигимные рассылки оценить
> достаточно сложно, а также сложно их контролировать.
>
> Сейчас при наполнении базы UDS-серверов используются первые
> два подхода, потому что они обеспечивают достаточное время
> реакции на спамерские рассылки и гарантируют практическое
> отсутствие ложных срабатываний. Статистический подход требует
> большого количества исследований, проводимых сейчас
> специалистами антиспам-лаборатории "Лаборатории Касперского".
>
> Технические детали
>
>
> UDS-запросы и UDS-ответы передаются при помощи UDP (User
> Datagram Protocol). Это означает, прежде всего, отсутствие
> постоянного соединения между почтовыми серверами клиентов и
> UDS-серверами. Список доступных UDS-серверов обновляется
> вместе с апдейтами антиспам-баз KAS 3.0. Для обеспечения
> коммуникаций на UDS-серверах используется UDP-порт 7060.
>
> UDS-клиент, интегрированный в KAS 3.0, собирает статистику
> доступности UDS-серверов, вычисляет среднее время ответа и на
> основании этой статистики использует наиболее быстро
> отвечающий сервер. Переключение на новый сервер происходит
> прозрачно и не требует никаких действий со стороны системного
> администратора.
>
> При настройке KAS 3.0 системный администратор может выбрать
> максимальное время ожидания ответа от UDS-серверов (таймаут),
> по умолчанию равное 10 секундам. В течение этого времени
> UDS-клиент может пытаться перепослать датаграммы серверу,
> чтобы избежать их случайной потери по пути от клиента к серверу.
>
> Заключение
>
>
> Таким образом, технология UDS позволяет быстро и эффективно
> реагировать на новые спамерские рассылки, а иногда и на новые
> спамерские методы, так как UDS-сервера находятся под
> контролем "Лаборатории Касперского" и могут модифицироваться
> без изменений клиентской части UDS, интегрированной в KAS 3.0.
>
> Технология UDS не является заменой старым методам, она их
> дополняет и дает возможность реагировать на новый спам в
> момент его появления. Тем самым, с одной стороны, она
> позволяет поднять уровень распознавания спама на еще
> несколько процентов, с другой стороны, позволяет нивелировать
> проблемы с доступностью серверов регулярных апдейтов в тех
> редких случаях, когда это потребуется. Результаты, получаемые
> с вердиктом, помогают принимать решения более точно: к
> примеру, UDS может вернуть вердикт "не спам", но при этом
> сообщить клиенту, что обрабатываемое письмо было послано с
> одного из серверов, подозреваемых антиспам-лабораторией в
> рассылке спама.
>
> ________________________________
