赛门铁克10月垃圾邮件现状报告中的主要发现:
垃圾邮件形势分析:垃圾邮件与恶意软件之间联系日益密切
垃圾邮件发送者利用人们对经济的忧虑兴风作浪
在“巫毒巫师”(垃圾邮件发送者)的帮助下,僵尸活动方兴未艾
被确定为垃圾邮件的电子邮件比例
全球互联网邮件网关垃圾邮件比例(Worldwide Internet Mail Gateway Spam Percentage),是指在扫描电子邮件网关时,被分类操作列为垃圾邮件占信息总量的比例。这一比例代表了SMTP层的过滤,并且不包括在网络层级所检测到的电子邮件数量。
垃圾邮件形势分析:垃圾邮件与恶意软件之间联系日益密切
从2008年6月至9月,电子邮件中发现的恶意软件比例大幅度上升,从2008年6月的平均0.1%上升到2008年 9月的1.2%。这些包含恶意软件链接的电子邮件不只为推销某种产品,其目的是要用病毒和特洛伊木马感染计算机。这种恶意软件中的大部分是以ZIP及RAR文件出现,它们被防病毒过滤器发现。除了ZIP及RAR文件外,另一种最常见的恶意软件是内置于电子邮件信息内的源代码。
这些数据分析来源于运行了防病毒软件并同意将数据返回的用户。由防病毒软件侦测到的前十位病毒定义码中的排名首位是普通的特洛伊木马,随后是Downloader和Infostealer病毒,三者在所发现的恶意代码中总共达到30%以上。普通特洛伊木马定义码识别的是拥有类似特征的多种特洛伊木马,占所发现的恶意软件的 13.4%。其后是Downloader,这种恶意程序可被用来下载其他恶意软件,占总数的11.8%,Infostealer为11.1% Infostealer是另一种普通的病毒定义码,它阻断那些试图从用户计算机上窃取敏感信息的程序。以下数据也是基于用户返回的信息,病毒定义码由防病毒软件识别。
在实验室环境中对2008年6月至9月中旬的垃圾邮件进行观察时,可以发现它与ZIP和RAR文件之间的关联。随着侦测的ZIP和RAR文件数据中断,模型显示这两种类型的文件数量也有所上升。
包含ZIP和恶意文件的电子邮件来源各不相同,这些邮件来自于世界各地被侵入的服务器,最多的是来自中国、韩国和美国。如果看到一封包含Infostealer恶意软件的电子邮件,用户会发现一些很有趣的题目:“今天就在你的PC上玩iPhone”。电子邮件的正文只是简单的“你能得到8000分以上吗?”这封邮件还有一个附件“Penguin.Panic.zip”,用户打开文件便会释放出这个恶意软件。
在“巫毒巫师”(垃圾邮件发送者)的帮助下,僵尸活动方兴未艾
“僵尸”一词是指被病毒侵入后并被用于各种网络犯罪活动的计算机,如发送垃圾邮件,作为垃圾邮件宣传网站的主机,充当僵尸主机的DNS服务器等。在过去三个月里,赛门铁克发现有关世界各地活跃僵尸的数量呈现有趣的趋势,与今年七月份相比,八月份发送垃圾邮件的僵尸数量有所下降,如下图所示,但九月份我们发现发送垃圾邮件的活跃僵尸数量上升了101%。
以下列出了此阶段拥有活跃僵尸主机数量前十位的国家
国家 僵尸计算机的比例(08年9月)
土耳其 12%
巴西 9%
俄罗斯 8%
美国 6%
印度 6%
中国 6%
德国 5%
阿根廷 4%
波兰 4%
泰国 3%
在这一时期中,EMEA地区是所有僵尸IP地址的首要来源。在EMEA地区的国家中,土耳其在这一方面排名第一。其他地区的此方面排名首位的国家是,拉丁美洲的巴西,北美洲的美国和亚太及日本地区的印度。
为了能够更好地了解哪些国家造成了九月间僵尸活动数量101%的高速增长,我们可以看看各国家僵尸数量 8月到9月间的变化比率。以下显示了僵尸数量增长最快的十个国家:
国家 08年8月至9月间的比例变化
韩国 4236%
哈萨克斯坦 761%
罗马尼亚 607%
沙特阿拉伯 555%
越南 540%
巴基斯坦 454%
土耳其 310%
伊朗 233%
中国 229%
摩洛哥 155%
韩国在僵尸机增长方面遥遥领先,增长率为4236%,土耳其和中国也是僵尸数量排名前十位的国家,两国在过去一个月的增长率分别为310%和229%。其他拥有大量僵尸的国家,如越南,罗马尼亚和沙特阿拉伯在过去的一个月里也呈现出大幅度上升的趋势。
虽然很难确定增长的确切原因,但它与包含可下载恶意软件链接的电子邮件数量增长不无关系,这些邮件的特点是使用了夸张的新闻题目。此外,这种增长还与包含在ZIP和RAR文件附件中病毒的增长相吻合。
垃圾邮件发送者利用人们对经济的忧虑兴风作浪
我们不断看到垃圾邮件发送者将美国房地产市场的下滑和全球经济形势的不稳定作为一种工具来加强垃圾邮件的攻击。垃圾邮件发送者利用人们对当前事件的浓厚兴趣,力图从其攻击目标中搜集个人信息。这类垃圾邮件中最近使用的标题包括:
标题:拯救你的住房
标题:不要丧失抵押品赎回权
标题:担心丧失抵押品赎回权
|