> Электронный журнал "Спамтест" No. 178
>
>
> Создатель троянца haxdoor рассказал о своем творении
>
> 31.01.2007
>
> Журналисту Computer Sweden Линусу Ларссону (Linus Larsson)
> удалось побеседовать с русскоязычным создателем заказного
> троянца haxdoor, который использовался в недавней кампании
> <
> 201100616/n/m4696343/-/www.spamtest.ru/news?id=207508830>
> против клиентов шведского банка Nordea.
>
> Создателя банковского троянца удалось вычислить с помощью
> одного из экспертов по безопасности компании Symantec. В
> интервью с вирусописателем Ларссон фигурировал под
> вымышленным именем и вел переговоры как потенциальный
> покупатель троянской программы. Хакер разговаривал на ломаном
> английском и назвался Corpse ("труп").
>
> В ходе беседы Corpse подтвердил, что для атаки на банк Nordea
> использовался разработанный им специализированный троянец
> haxdoor, который он продает под именем A311 Death, а также
> его версия без бэкдора Nuclear Grabber. По его данным,
> haxdoor использовался и в атаках против австралийских и
> многих других банков, более подробную информацию Ларссону
> получить не удалось. Corpse утверждает, что 99% атак на
> банковские структуры не предаются широкой огласке, чтобы не
> отпугивать банковскую клиентуру.
>
> Обычно состояние взломанных банковских счетов злоумышленникам
> неизвестно, так как фишерские электронные письма с троянской
> "начинкой" рассылаются наугад. Для обхода антивирусных
> программ некоторые версии haxdoor используют руткиты и другие
> защитные средства. По словам Corpse, антивирус Norman,
> который Nordea бесплатно устанавливает на машинах своих
> клиентов, является малоэффективным средством защиты от его
> версии haxdoor.
>
> Троянец haxdoor был предложен Ларссону за 3000 долларов.
> Стандартный графический интерфейс позволяет специализировать
> его для атаки на конкретную банковскую структуру. Форма
> поставки - файл .rar или .zip. Вирус ориентирован на Windows
> всех последних версий, начиная с Windows 98 и включая Vista.
> Он активируется с появлением ключевой фразы на веб-странице,
> например, "временный код 1". Скрипты для сбора персональной
> информации банковских клиентов инсталлируются с помощью
> "службы технической поддержки", в данном случае самого
> Corpse, по получении оплаты и доставке троянской программы заказчику.
>
> Техническая поддержка входит в сумму оплаты за вредоносный
> продукт. Corpse даже предложил предоставить Ларссону серверы
> в Китае, Европе или США - но не в России - для хранения
> похищенной пользовательской информации за 150 долларов в
> месяц. Проблемы личной безопасности, равно как и безопасности
> его клиентов, не волнуют вирусописателя. Он посоветовал
> Ларссону использовать виртуальную сетьVPN или протокол Socks
> и в заключение сообщил, в какое время с ним можно связаться в
> Интернете.
>
> Источник: computerworld.com
> <
> 201100616/n/m4696343/-/www.spamtest.ru/click?_URL=
> omputerworld.com.au/index.php/id;61298791;fp;4194304;fpid;1>
>
>
> Анна Власова отвечает на вопросы журнала Хакерспец
>
>
> Интервью Анны Власовой, начальника группы спам-аналитиков
> "Лаборатории Касперского", было опубликовано в январском
> номере журнала Хакерспец (01 (74) 2007). Мы публикуем это
> интервью с небольшими сокращениями.
>
> Болезнь спама излечима или же это прогрессирующая опухоль с
> летальным исходом? Раньше пользователи вылавливали спам среди
> писем, а теперь вылавливают письма среди спама. И тенденции
> откровенно пугают.
>
>
> - Сразу замечу, что письма среди спама вылавливают только те
> пользователи, которые не защищены спам-фильтрами.
> Пользователи защищенных серверов, наоборот, иногда
> недоумевают, что же это за спам такой, о котором так много
> говорят. Современные программы защиты вполне способны
> обеспечить высокий уровень фильтрации спама, отсекая более 90
> "мусорных" сообщений из 100, атаковавших пользовательский ящик.
>
> Это было небольшое отступление. По существу вопроса: болезнь
> под названием "спам" действительно существует. И этот факт
> наглядно подтверждает статистика. По данным Лаборатории
> Касперского, доля спама в общем потоке почтового трафика
> Рунета уже не опускается ниже 70% (единственное исключение -
> новогодние праздники, когда доля спама падает до 50-60%).
> Конечно, это усредненные данные по многим нашим источникам,
> на серверах бесплатной почтовой службы - например, Mail.ru
> или Yandex - доля спама будет еще выше и может превышать 90%.
> А на небольших корпоративных серверах может быть и ниже 70%.
>
> Несмотря на впечатляющие цифры - семь писем из десяти
> являются "мусором", над доставкой, обработкой, маршрутизацией
> и хранением которого трудятся как "железные", так и людские
> ресурсы, - я бы не назвала общую тенденцию катастрофической:
>
> 1. По сравнению с предыдущим годом не видно резкого скачка
> в доле спама. Похоже, произошло своеобразное "насыщение"
> почты спамом, и сейчас уровень спама замер на той отметке,
> выше которой ситуация действительно может стать критической.
> Конечно, это равновесие очень хрупкое и может быть нарушено в
> любой момент. Особенно если спамеры вложат существенные
> средства и ресурсы в разработку ПО, нацеленного на обход
> наиболее распространенных фильтров. Но ведь и антиспамеры
> сложа руки сидеть не будут.
> 2. Защита, предоставляемая современными фильтрами,
> достаточно сильна. И спамеры это прекрасно ощущают. Именно
> поэтому они активно ищут новые рынки сбыта своих услуг,
> мигрируют в мессенджеры, мобильную связь.
>
> Вывод: о летальном исходе пока говорить преждевременно. Хотя
> трубить победу антиспамеров тоже рано. К сожалению, защита от
> спама пока не стала такой же широкораспространенной, как
> защита от вирусов, и спамерам есть чем поживиться за счет
> почты без спам-фильтров.
>
> Как избежать лавины? Использование существующих спам-фильтров
> отсекает определенный процент мусора, но оставшийся процент
> весьма относителен - чем больше общее количество спама, тем
> больше и количество неотсеченного мусора.
>
>
> - Да, это верно. Практически все производители антиспама
> обещают отсечь только некоторую долю спама. И хотя планка,
> заданная антиспамерами, высока - около 95% фильтрации спама,
> - но оставшиеся 5% действительно могут выражаться в ощутимом
> количестве мусора, который свалится на ни в чем не повинного
> пользователя.
>
> Ситуация осложняется тем, что спамеры тоже не стоят на месте.
> Они вкладывают средства в разработку нового ПО, специально
> настроенного на "пробивание" популярных средств защиты.
> Многие спам-рассылки тестируются спамерами на бесплатных
> антиспам-программах (например, на "СпамАссасин"-е) еще до
> того, как их начнут массово распространять по миллионам адресов.
>
> Самый действенный способ остановить лавину - это... перестать
> реагировать на спам. Сделать его экономически невыгодным для
> спамеров.
>
> На текущий момент спам - это целая индустрия, которая
> работает ради обогащения спамеров. Если пользователи
> перестанут покупать товары, рекламируемые в спаме, и уж тем
> более перестанут "вестись" на мошеннические уловки, научатся
> отличать фишинг от легитимных банковских сообщений и т.п., то
> спам отомрет сам по себе, потому что спамеры работают не ради
> интереса, а исключительно ради денег.
>
> К сожалению, это решение проблемы относится к разряду
> утопических. Интернет постоянно растет, появляются новые
> пользователи и, увы, делают одни и те же ошибки, откликаясь
> на "нигерийские" письма, переводя деньги на "волшебные"
> кошельки webmoney и просто покупая дешевые, но очень
> соблазнительно расписанные рекламой товары. На самом деле
> ровно то же самое происходит и в "реальном" мире. Я лично не
> знаю способа убедить людей отказаться от покупки картин с
> березками, выложенными янтарной крошкой, малахитовых накладок
> на приборную панель автомобиля, универсального устройства для
> экономии электроэнергии, прибора для заплетания косичек,
> ручек с невидимыми чернилами, "вечных" фонариков, бронзовых
> бюстов Путина и т.п. (все это - товары, рекламируемые
> спамерами, но в окружающем "реальном" мире вполне можно найти
> их аналоги).
>
> Что же остается? А остается упорная, отчасти нудная работа по
> борьбе с этой лавиной. Эта работа включает в себя не только
> технические средства противодействия, но и юридическое
> (совершенствование законодательства) и даже образовательное
> направление.
>
> Что делать конечным пользователям? Какие
> фильтры/программы/системы на сегодня наиболее эффективны?
>
>
> - Конечным пользователям - заводить почтовые ящики на
> защищенных от спама серверах. Если это невозможно, то
> использовать персональные средства защиты. Сейчас многие
> производители предлагают для персональных машин антивирус и
> антиспам "в комплекте". "Лаборатория Касперского" в этом
> плане не исключение: у нас есть как серверные, так и
> комплексные персональные решения.
>
> Еще одна возможность - фильтрация спама как сервис. Это
> значит, что пользователю не надо ни возиться с установкой
> программ, ни менять провайдера/почтовый сервер из-за
> неустраивающей его системы защиты от спама (или ее
> отсутствия). Нет, он просто направляет свою почту через
> определенные сервера, на которых стоят спам-фильтры. При этом
> в конце концов письма оказываются в привычном пользователю
> ящике, но только спам будет специальным образом размечен
> (например, спам, прошедший через фильтры сервиса "Спамтест"
> "Лаборатории Касперского" получит метку [!!Spam] в теме
> сообщения). При этом письма не удаляются без ведома
> пользователя и не раскладываются принудительным образом по
> заранее заданным папкам (как это обычно происходит на
> бесплатных почтовых службах). Все, что делает сервис - это
> только проверка и разметка.
>
> В силу массовости проблемы основная нагрузка по борьбе со
> спамом сместилась в сторону администраторов и
> интернет-провайдеров. Какие тенденции и практические
> наработки есть в этом направлении?
>
>
> - Это всевозможные корпоративные решения, предназначенные для
> защиты почтовых серверов. Наиболее известные отечественные
> разработки - это "Kaspersky Anti-Spam" "Лаборатории
> Касперского" и "Спамоборона" компании "Яндекс". Оба продукта
> хорошо себя рекомендуют на рынке, в каждом используются
> уникальные технологии, собственные разработки. Например, в
> антиспаме "Лаборатории Касперского" используется более 15
> методов детекции спама, среди которых есть такие уникумы как
> графический анализатор, умеющий отличать анимированный и
> "зашумленный" графический спам (спам, в котором текст
> сообщения не написан, а по сути нарисован на "картинке",
> которая приложена к сообщению как графическое вложение).
>
> С чем связана пробуксовка? Были приняты определенные поправки
> к закону "О рекламе", но ситуация на рынке спам-индустрии
> практически не изменилась.
>
>
> - В некотором смысле, мы повторяем путь, который уже пройден
> многими западными странами. Австралийское законодательство,
> направленное против спама, считается одним из самых
> эффективных. Законы были приняты в 2003 году, начали
> действовать в 2004, а первый процесс против спамеров начался
> в 2005. Да, государственная машина - медленная. Возможно, это
> не так уж и плохо.
>
> У нас же со времени вступления в силу поправок к Закону о
> рекламе РФ (с 1-го июля 2006 года) прошло всего 4,5 месяца.
> Думаю, пока рано делать выводы о "пробуксовке" закона. Хотя
> работать ему действительно сложно. Внятный механизм, как
> именно конкретному пользователю или даже организации бороться
> со спамом, в законе не прописан, это верно. Кроме того, закон
> затрагивает только ту часть спама, которая является рекламой,
> а это далеко не весь спам. Да, пока большинство спамерских
> сообщений - это реклама, но доля криминализированного спама,
> который рекламой не является (фишинг, поддельные уведомления
> о выигрыше в лотерею, мошенническая эксплуатация SMS-сервисов
> и т.п.), постоянно растет. На первые 9 месяцев 2006 года
> криминализированный спам составляет уже 16% от всего спама. И
> речь идет только о явном мошенничестве. К сожалению,
> существенная часть оставшегося спама также тяготеет к
> криминалу. Например, эксперты "Лаборатории Касперского" пока
> не относят спам с рекламой акций различных компаний, которой
> изобилует осень 2006 года, к "Компьютерному мошенничеству",
> хотя по сути это попытка нечестной накрутки стоимости акции
> за счет голословных обещаний пользователям. Возможно, это еще
> не мошенничество с точки зрения закона, но уже очень близко к этому.
>
> Эффективность спама в почтовых рассылках падает, и спамеры
> уже начали атаковать блоги, форумы, мессенджеры и другие
> массовые средства общения. Что дальше?
>
>
> - Да, дальше объектами спамеров действительно станут блоги,
> форумы, мессенджеры... только это будут не эксперименты, как
> это происходит сейчас, а такие же массовые атаки, как и на
> электронную почту. Хотя спам в блогах и форумах уже поставлен
> на вполне профессиональную основу. Скорее всего, здесь
> впереди тот же путь, который прошла защита почты, вот только
> пройден он будет быстрее. За 2-3 года, а не за десятилетие,
> как это было с почтовым спамом.
>
> Если отследить развитие технологий спамеров, то как они
> эволюционировали? И какие прогнозы можно дать дальнейшему их развитию?
>
>
> - С развитием технологий спамеров есть интересная
> закономерность. Примерно каждые два года неожиданно всплывают
> технологии, которые спамеры уже пытались использовать, но они
> не прижились. Не знаю, с чем это связать. Возможно, "смена
> поколений" у спамеров как раз 2-3 года и составляет, и каждое
> новое поколение хочет самостоятельно убедиться, что рассылка
> спама "в звездочках" и других мелких символах (когда слова
> текста не написаны, а составлены из символов, набранных
> мелким шрифтом) не работает, т.е. не помогает пробить спам-фильтры.
>
> 2006 год практически весь прошел в спамерских экспериментах с
> графикой. Уже упомянутый мной бум рекламы акций тесно связан
> с новыми технологиями спамеров. В августе 2006 года спамеры
> ввели в эксплуатацию технологию анимированного спама.
> Анимация явилась продолжением разработок, связанных с
> "графическим" спамом, впервые массово атаковавшим почтовые
> ящики в 2004 году. Тогда появление графического вариативного
> ("зашумленного") спама пробило серьезную брешь в
> антиспам-защите различных производителей, но спамеры
> торжествовали недолго. Через 1-2 месяца компании-разработчики
> антиспамового программного обеспечения нашли способ решить
> эту проблему.
>
> В 2006 году спамеры снова сделали ставку на графику. Первые
> анимированные рассылки были зафиксированы аналитиками
> "Лаборатории Касперского" в самом конце августа 2006 года. И
> с тех пор они постоянно совершенствуются, хотя прошло всего
> три месяца с момента появления новой технологии.
>
> "Изюминка" новой технологии состоит в том, что пользователь в
> большинстве случаев не понимает, что перед ним анимация.
> "Зашумленные" кадры демонстрируются десятые доли секунды, и
> человеческий глаз просто не успевает их воспринять. Мало
> того, пользователь нередко даже не замечает, что вообще имеет
> дело с графикой. Он видит текст и расценивает его тоже как
> обычный текст. Но программы, предназначенные для борьбы со
> спамом, "видят" все кадры анимации, и поскольку они
> изначально не были рассчитаны на анимированные форматы, то у
> них может не хватить эвристической мощности для классификации
> сообщения как спамерского.
>
> Конечно, для мощных современных фильтров и такой спам особой
> проблемы не составит. Так анимированный спам появился в конце
> августа, а на текущий момент "Лаборатория Касперского" уже
> выпустила обновление, в которое в числе прочего вошел новый
> "графический" модуль, способный справляться с анимацией и
> варьирующими "зашумленными" спам-рассылками с графическими
> вложениями.
>
> Кроме совершенствования формата спам-рассылок, спамеры в
> течение года вели работу над уменьшением времени отдельной
> спам-рассылки (новейшие спамерские технологии позволяют
> разослать сотни тысяч сообщений всего за несколько десятков
> минут), а также начали работать с текстом, успешно применяя
> прием маскировки спама под личное сообщение.
>
> Современный спам "умеет" очень грамотно подделываться под
> личное сообщение. Пользователи предполагают, что им в ящик по
> ошибке попало чужое сообщение. Тем самым они не воспринимают
> его как рекламу, и готовы более доверчиво относиться к
> контенту спама.
>
> Какой прогноз в целом на ближайшие 3 года?
>
>
> - Для Интернета 3 года - это долгий срок. Тут трудно детально
> что-то прогнозировать. Думаю, самое главное - это то, что
> спам никуда не исчезнет. В любом случае пока предпосылок для
> его исчезновения не видно.
>
> Что же касается направлений развития спамерских технологий, то:
>
> 1. Спамеры будут бороться за увеличение скорости отдельной
> спам-рассылки, а также наращивать количество экземпляров
> сообщений в пределах одной рассылки.
> 2. В пределах одной спам-рассылки спам станет более
> "умным", т.е. отдельные сообщения будут варьировать и,
> возможно, так или иначе приспосабливаться под нужды и стиль
> конкретного пользователя.
> 3. Развитие технологий по-прежнему будет носить
> "циклический" характер, т.е. с определенной периодичностью
> спамеры будут пытаться вернуться к хорошо забытому старому и
> повторить его. Скорее всего, буду повторяться попытки
> рассылок "слишком хитрого" спама (например, на ярком и
> пестром фоне, с дублирующимися буквами и т.п.), который
> неэффективен, т.к. пользователю сложно его воспринимать.
> 4. Антиспамеры обладают достаточными ресурсами, чтобы
> противостоять спамерам, и будут успешно бороться со спамом.
> 5. Это, в свою очередь, вынудит спамеров активно осваивать
> новые плацдармы. Например, мобильную связь.
> 6. Материальный ущерб от спама будет резко расти, и в
> связи с появлением новых плацдармов, и в связи с ростом
> Интернета в целом, и Рунета в частности.
> 7. Спам будет становиться все более криминализированным.
>
>
> (C) "Лаборатория Касперского"
