IRCRE201104066
شركت سايمانتك در گزارش ماه مارس MessageLabs Intelligence، آخرين تهديدات در ماه مارس 2011 را مورد بررسي قرار داده و در مورد جنگهاي جاري عليه ويروسها، هرزنامه ها، جاسوس افزارها و ساير بدافزارها اطلاع رساني كرده است.
كاهش هرزنامه ها
در روز 16 مارس botnet معروف Rustock كه يكي از منابع اصلي ارسال هرزنامه بود از كار انداخته شد. در نتيجه در اين ماه شاهد كاهش محسوس هرزنامه هاي ارسال شده بوديم.
يافته هاي سايمانتك نشان ميدهد كه بين روزهاي 15 و 17 مارس، حدود 33.6 درصد كاهش در حجم ايميلهاي هرزنامه اي را شاهد بوده ايم.
در روزهاي پس از 16 مارس و از كار افتادن Rustock، ميزان هرزنامه ها به حدود 33 ميليارد ايميل در روز رسيد كه در مقايسه با روزهاي پيش از 16 مارس، حدود 20 ميليارد كاهش داشت.
Botnet هاي ارسال كننده هرزنامه در سال 2011
در ماه مارس 83.1 درصد از هرزنامه ها از طريق botnet ها ارسال شده اند. اين موضوع نشان دهنده يك افزايش 6.1 درصدي نسبت به پايان سال 2010 است كه 77 درصد از هرزنامه ها از طريق botnet ها ارسال ميشدند. به طور ميانگين در طول سال 2010 حدود 88.2 درصد از هرزنامه ها به وسيله botnet ها انتشار مي يافتند. Botnet ها همچنان يكي از منابع مخرب مجرمان اينترنتي بوده و از ابزارهاي اصلي هرزنامه نويسان به شمار ميروند. علاوه بر ارسال هرزنامه، بسياري از botnet ها ميتوانند براي اهداف ديگري از جمله حملات انكار سرويس توزيع شده، ميزباني وب سايتهاي غير قانوني بر روي كامپيوترهاي آلوده، جمع آوري داده هاي شخصي از اين كامپيوترها و نصب جاسوس افزار براي رديابي فعاليت كاربران كامپيوترهاي آلوده به كار روند.
در ماه مارس و پيش از از كار افتادن botnet مشهور Rustock، اين botnet حدود 13.82 ميليارد ايميل هرزنامه اي در روز ارسال ميكرد كه اين ميزان، حدود 28.5 درصد از هرزنامه هاي ارسال شده توسط تمامي botnet ها در ماه مارس بود. بنابراين كاهش ميزان هرزنامه هاي ارسال شده از سوي botnet ها پس از از كار افتادن اين botnet حدود يك سوم كاهش يافت. در پايان سال 2010، Rustock مسئول حدود 47.5 درصد از تمامي هرزنامه ها بوده و حدودا 44.1 ميليارد هرزنامه در طول روز ارسال ميكرد.
در نبود Rustock، ساير botnet ها فعاليت خود را براي استفاده از اين فرصت افزايش دادند. جدول زير ده botnet برتر ارسال كننده هرزنامه در ماه مارس را نمايش ميدهد.
از پايان سال 2010 تا كنون botnet ديگري به نام Bagle فعالتر شده و حدود 8.31 ميليارد هرزنامه را در طول روز ارسال مينمايد كه اغلب آنها به محصولات پزشكي مرتبط هستند. اگرچه تعداد اعضاي Bagle به Rustock نرسيده و در نتيجه ترافيك ارسالي آن بسيار كمتر از Rustock است، ولي خروجي آن از ثبات بيشتري برخوردار است. در حال حاضر Bagle فعالترين botnet در زمينه ارسال هرزنامه است.
در ماه مارس، هزرنامه هاي ارسال شده از طريق Bagle به بيشترين مقدار خود از سال 2009 تا كنون رسيد.
تحليل كشورهاي برتر ميزبان botnet هاي ارسال كننده هرزنامه در جدول زير نمايش داده شده است. فدراسيون روسيه بيشترين منبع هرزنامه ها در ماه مارس بوده است.
براي نخستين بار در طول يك سال گذشته، جدول فوق شامل كشورهاي زيادي از اروپا نيست.
علي رغم اينكه در سال 2010 بارها Cutwail از كار انداخته شد، ولي همچنان اين botnet در ميان ده botnet برتر ارسال كننده هرزنامه در مارس 2011 قرار دارد.
تحقيقات نشان دهنده افزايش در هرزنامه هاي حاوي يك فايل ZIP ميباشند كه اين افزايش در ماه فوريه بيش از ماه مارس بوده است. در سال 2010 هرزنامه هايي با فايل پيوست بسيار كمتر مشاهده ميشدند. اين هرزنامه ها در ژوئن 2010 حدود 3 درصد از كل هرزنامه ها را تشكيل ميدادند كه اين ميزان در ماه سپتامبر به 11 درصد رسيد. هر چه اندازه فايلهاي پيوست هرزنامه ها بزرگتر باشد، تعداد ايميلهايي كه هرزنامه نويسان قادر به ارسال آن هستند كاهش مي يابد.
سوء استفاده كلاهبرداران از انقلابهاي كشورهاي عربي، فريب 419
كلاهبرداراني كه از فريب 419 استفاده ميكنند، همواره به دنبال وقايع جديد جهان هستند تا با استفاده از آن قربانيان خود را فريب داده و از آنان پول دريافت نمايند. اين بار يك ايميل 419 كه به زبان آلماني نوشته شده بود، ادعا ميكرد كه از طرف وكيل رئيس جمهور پيشين مصر (حسني مبارك) نوشته شده است و از گيرندگان ايميل درخواست ميكرد كه براي بازيابي 2.5 ميليون دلار سرمايه رئيس جمهور كه در بانك بلژيك مسدود شده است كمك نمايند.
همچنين در مورد ديگري فريبكاران سعي در سوء استفاده از ناآراميهاي ليبي داشتند. اين ايميل ادعا ميكرد توسط شخصي مرتبط با سنوسي (كه در سال 1969 توسط قذافي سرنگون شد) نوشته شده است و از گيرندگان درخواست ميكرد براي خروج پولهاي وي به خارج از كشور كمك نمايند.
سوء استفاده هرزنامه نويسان از سرويسهاي كوتاه كننده URL
IDN اجازه ميدهد كه نامهاي دامنه شامل كاراكترهاي عربي، چيني، روسي و بسياري كاراكترهاي ديگر باشند. اخيرا تعدادي ايميلهاي هرزنامه اي در آلمان، استراليا و سوئيس مشاهده شده اند كه شامل لينكهايي به يك سايت كوتاه كننده URL مشهور هستند. اين لينكها كاربر را به وب سايتي منتقل ميكنند كه تحت يك دامنه IDN ميزباني ميشود و آن وب سايت، به وب سايت حقيقي هرزنامه نويسان منتقل ميگردد.
تحليل حملات سرقت هويت
در ماه مارس فعاليتهاي سرقت هويت، 0.065 درصد نسبت به فوريه 2011 كاهش نشان داد. به طور كلي در اين ماه يكي از هر 252.5 ايميل به شكلي حاوي حملات سرقت هويت بود.
يك بار ديگر آفريقاي جنوبي بيشترين هدف ايميلهاي سرقت هويت در ماه مارس بود. بسياري از اين ايميلها چهار بانك ملي اصلي اين كشور را هدف قرار ميدهند.
در انگلستان يك ايميل از هر 98.3 ايميل حاوي فعاليت سرقت هويت است. اين ميزان در ايالات متحده يك ايميل از هر 535.5 ايميل و در كانادا يك ايميل از هر 161.0 ايميل است. اين تعداد در ژاپن به يك ايميل از هر 1724 ايميل ميرسد.
- 2