Z pierwszych analiz wynika, że za wysyłanie tego spamu odpowiedzialna jest grupa przestępcza, która stworzyła i kontroluje konia trojańskiego Storm. Do wysyłania spamu w MP3 wykorzystywany jest tzw. botnet - czyli kontrolowana przez przestępców sieć komputerów zarażonych Stormem (szerzej na temat tego "szkodnika" pisaliśmy m.in. w tekście "Storm - powrót trojana z kotem w tle").

Kup pan akcję...

Akcja rozsyłania reklam w plikach MP3 rozpoczęła się we środę po południu i wciąż trwa - tak przynajmniej wynika z informacji dostarczonych przez firmy SecureWorks Inc. oraz MessageLabs Ltd. Każdej godziny wysyłanych jest ok. 10 tys. takich e-maili - w załączonych do nich plikach MP3 znajdziemy reklamę zachęcającą do kupowania akcji pewnej firmy, notowanej na amerykańskiej giełdzie.

Reklamowanie ofert giełdowych to nie nowość - przestępcy od dawna wykorzystują spam do manipulowania kursem akcji. Standardowy mechanizm takiej operacji wygląda tak: przestępcy kupują pakiet akcji niezbyt popularnego przedsiębiorstwa, a następnie zaczynają masowo wysyłać reklamy tych aktywów (wiadomości takie często sugerują, że ich nadawca jest w posiadaniu pewnych nieoficjalnych informacji na temat danej firmy). Gdy internauci - zachęceni spamem - zaczną kupować te akcje, ich cena wzrasta, a wtedy przestępcy sprzedają zakupiony na początku pakiet (niekiedy z całkiem pokaźnym zyskiem). Wtedy cena spada, a osoby, które uwierzyły spamerom, tracą swoje inwestycje.

Z pierwszych analiz, przeprowadzonych przez ekspertów z brytyjskiej firmy Sophos PLC, wynika, że wiadomości z załączonymi plikami MP3 mogą bez problemu sforsować większość filtrów antyspamowych - ponieważ często nie mają one tytułu ani treści (a jedynie załączony plik audio). Co więcej - nazwy plików muzycznych są sfałszowane - w większości przypadków tak, by przypominały tytuły popularnych piosenek lub nazwy wykonawców (np. Fergie, Elvis czy Carrie Underwood). Dźwięk jest fatalnej jakości (MP3, 16 Kbit/s), a tekst reklamy czytany jest przez komputerowy syntezator mowy. Tekst jest w języku angielskim - jego treść to (w wolnym tłumaczeniu): "Witaj, oto alert dla inwestora. Firma [Nazwa firmy] informuje o uruchomieniu nowej strony internetowej - [Nazwa domeny] - która odniosła już wielki sukces w Kanadzie. Oczekujemy podobnego sukcesu w USA. Symbol tej firmy to [Symbol]. Dziękuję za uwagę".

Pierwszy dźwiękowy spam

Plik dźwiękowy występuje w kilku wersjach, różniących się tempem czytania oraz wielkością pliku (zdaniem specjalistów, ma to utrudnić blokowanie spamu). Przedstawiciele SecureWorks oraz MessageLabs zwracają uwagę, że jest to pierwszy przypadek wykorzystania reklam dźwiękowych przez spamerów - wcześniej zdarzały się co prawda przypadki załączania do spamu plików o rozszerzeniu MP3, jednak były to zwykłe pliki graficzne ze sfałszowanym rozszerzeniem.

Eksperci są przekonani, że spam wysyłany jest przez grupę kontrolującą trojana Storm - świadczy o tym choćby to, że w wysyłanym przez nią od kilku dni "tradycyjnym" spamie reklamowana jest ta sama firma, którą obecnie zachwala "cyfrowy" lektor w MP3. Z danych dostarczonych przez kalifornijską firmę Commtouch wynika, że "dźwiękowy" spam stanowił w ciągu ostatnich 18 godzin od 7 do 10% całego wysyłanego spamu.