【賽迪網(wǎng)-IT技術(shù)報(bào)道】本月全球垃圾郵件數(shù)量正持續(xù)回升，逐漸返回到原來的正常狀態(tài)，目前為McColo關(guān)閉之前水平的94%。垃圾郵件種類也在持續(xù)波動(dòng)，休閑和互聯(lián)網(wǎng)類垃圾郵件分別減少8%和7%，金融類垃圾郵件上升6%。而甲型H1N1流感在全球的蔓延也成為垃圾郵件發(fā)送者當(dāng)前用來擴(kuò)大自己知名度的又一絕好機(jī)會(huì)。

    2009年5月垃圾郵件報(bào)告的主要內(nèi)容包括：

    ?甲型H1N1流感引發(fā)新一輪垃圾郵件攻勢

    ?圖像垃圾郵件卷土重來

    ?垃圾郵件制造者發(fā)起的民意調(diào)查：奧巴馬總統(tǒng)任職第一百天

    ?垃圾郵件送上的母親節(jié)禮物

    ?2009年4月僵尸主機(jī)活動(dòng)IP地址來源分析

    ?垃圾郵件發(fā)送者找到了更多可濫用的免費(fèi)服務(wù)

    垃圾郵件比例：目前用來計(jì)算垃圾郵件比例的模型除了考慮SMTP層過濾外，還將網(wǎng)絡(luò)層阻截因素考慮進(jìn)來，因此可以更準(zhǔn)確地分析互聯(lián)網(wǎng)上的垃圾郵件的實(shí)際比例。

    本月熱點(diǎn)事件分析

    甲型H1N1流感的爆發(fā)引發(fā)垃圾郵件的蔓延

    墨西哥爆發(fā)的甲型H1N1流感以及其在全世界的蔓延一直成為新聞的頭條，疾病控制中心和世界衛(wèi)生組織一直在實(shí)時(shí)更新此方面的信息。賽門鐵克也一直在密切監(jiān)測利用這些信息發(fā)動(dòng)的網(wǎng)絡(luò)攻擊。

    目前監(jiān)測到的前20個(gè)與甲型H1N1流感的爆發(fā)有關(guān)的垃圾郵件主如下：

    我們發(fā)現(xiàn)，本月健康類垃圾郵件主要談?wù)摰氖悄軌虻钟鞲械乃幬铮⑻峁└鞣N相關(guān)藥物網(wǎng)站的URL。另一個(gè)例子是向潛在的受害者發(fā)送附有惡意PDF附件的電子郵件，這些郵件向受害者承諾能夠回答有關(guān)豬流感的問題。賽門鐵克發(fā)現(xiàn)，惡意PDF文件名為Bloodhound.Exploit.6，而PDF中所包含的惡意文件是InfoStealer。其他有關(guān)豬流感垃圾郵件的例子包括西班牙語信息及視頻的鏈接。垃圾郵件信息鼓勵(lì)用戶點(diǎn)擊此視頻鏈接，聲稱“以下視頻介紹了病人從發(fā)病起到死亡可能表現(xiàn)出來的病癥。以下圖片可能不適合所有人，建議個(gè)人根據(jù)自己的情況來觀看此視頻?！?

    雖然豬流感垃圾郵件是否能導(dǎo)致豬流感垃圾郵件的全面爆發(fā)還不得而知，但以往的歷史告訴我們，基于目前事件的垃圾郵件將持續(xù)下去，為的是引誘受害者，傳播垃圾郵件信息。另外需注意的是，垃圾郵件發(fā)送者還將在發(fā)生在意大利的地震用于其信息中。同以往一樣，用戶在打開附件或點(diǎn)擊URL鏈接時(shí)應(yīng)多加小心。

    垃圾郵件樣本示例：

    圖像垃圾郵件卷土重來

    圖像垃圾郵件的定義是，包含一個(gè)圖像附件但郵件本身沒有或有很少文字或HTML的垃圾郵件信息。所附圖像常包含各種混淆技術(shù)，如對圖像的顏色或字體進(jìn)行細(xì)微改變及在圖像中加入聲音背景，目的是避開反垃圾郵件軟件的監(jiān)測。

    鼓勵(lì)收件者采取某行動(dòng)的信息通常包含在圖像附件中。在以下的示例中，垃圾郵件發(fā)送者會(huì)要求收件人在其瀏覽器的地址欄中輸入某URL。如果該收件人執(zhí)行了此動(dòng)作，點(diǎn)擊此URL，他就會(huì)被帶入和一個(gè)推銷某種醫(yī)藥產(chǎn)品的網(wǎng)站。

    雖然目前圖像垃圾郵件不像2007年（當(dāng)時(shí)圖像垃圾郵件占所有垃圾郵件的52%）時(shí)那樣主宰整個(gè)垃圾郵件格局，但到2009年4月末為止，圖像垃圾郵件平均占到所有垃圾信息的16%。

圖　圖像式垃圾郵件所占比例變化

    隨著圖像垃圾郵件的卷土重來，我們還發(fā)現(xiàn)其他兩條明顯的垃圾郵件變化特征：

    1. 垃圾郵件信息的平均大小有所增長，這對電子郵件基礎(chǔ)設(shè)施將帶來壓力，也可能使最終用戶無法接收到正常電子郵件。

    2.包含URL的垃圾郵件數(shù)量減少，其原因是包含圖像附件的垃圾郵件信息的主體內(nèi)容中無URL。

    垃圾郵件制造者發(fā)起的民意調(diào)查：奧巴馬總統(tǒng)任職第一百天

    根據(jù)最近舉行的政治民意調(diào)查，奧巴馬總體的支持率目前為65%。很顯然，垃圾郵件發(fā)送者在其執(zhí)政一百天后仍繼續(xù)看好這位總統(tǒng)。我們發(fā)現(xiàn)，上幾個(gè)星期中使用他的名字和受歡迎度來推銷某些產(chǎn)品和服務(wù)的垃圾郵件數(shù)量有明顯增長。

    奧巴馬成為垃圾郵件發(fā)送者的目標(biāo)還要追溯到2008年，當(dāng)時(shí)他和當(dāng)時(shí)的挑戰(zhàn)者約翰.麥凱恩參議員的名字與便攜式祛皺機(jī)垃圾郵件、醫(yī)療產(chǎn)品垃圾郵件和一夜致富垃圾郵件聯(lián)系到了一起。當(dāng)奧巴馬總統(tǒng)2008年7月將自己的競選活動(dòng)擴(kuò)展到歐洲時(shí)，垃圾郵件發(fā)送者及時(shí)地對其進(jìn)行跟蹤，展開了一次包含惡意軟件鏈接在內(nèi)的垃圾郵件發(fā)送運(yùn)動(dòng)。從奧巴馬總統(tǒng)于2009年1月20日宣誓就職以來，包含他名字鏈接的垃圾郵件攻擊就從未斷過。

    隨著奧巴馬總統(tǒng)的聲望持續(xù)攀升，垃圾郵件發(fā)送者不斷地將郵件信息與他的名字聯(lián)系在一起以試圖躲避反垃圾郵件軟件的過濾，這一點(diǎn)絲毫不令人吃驚。這是另一個(gè)垃圾郵件發(fā)送者利用當(dāng)前事件作為誘餌來傳播垃圾郵件信息的示例。

    前20個(gè)與“奧巴馬”、“巴拉克”有關(guān)的垃圾郵件主題如下：

圖　垃圾郵件發(fā)送者發(fā)起的針對奧巴馬總統(tǒng)的民意調(diào)查

    垃圾郵件送上的母親節(jié)禮物

    2009年5月10日星期日在世界上的許多國家是母親節(jié)。許多人通過這一天來對自己的母親表示敬意，垃圾郵件發(fā)送者卻一直在玷污這一節(jié)日，他們將此日作為傳播垃圾郵件的誘餌。利用母親節(jié)發(fā)送垃圾郵件廣告的產(chǎn)品中包括鮮花、相框、珠寶、禮品卡、廚房相關(guān)產(chǎn)品以及屢見不鮮的減肥產(chǎn)品。

    前10個(gè)與母親節(jié)有關(guān)的垃圾郵件主如下：

    顯而易見，垃圾郵件發(fā)送者一直相信，如那些賀卡公司一樣，當(dāng)他們將目標(biāo)對準(zhǔn)這一特殊節(jié)日時(shí)，他們將獲得自己的投資回報(bào)。

圖　母親節(jié)垃圾郵件數(shù)量變化

    2009年4月僵尸主機(jī)活動(dòng)IP地址來源分析

    僵尸是指某一計(jì)算機(jī)被病毒侵入，并被控制用于各種相關(guān)犯罪利益之目的，如發(fā)送垃圾郵件，作為垃圾郵件廣告網(wǎng)站的主機(jī)、作為僵尸主機(jī)的DNS服務(wù)器。我們對2009年4月活動(dòng)僵尸主機(jī)前十位的國家與2009年3月的垃圾郵件狀況報(bào)告中的結(jié)果進(jìn)行了比較，結(jié)果如下表所示：

    此表表明，巴西繼續(xù)成為活動(dòng)僵尸主機(jī)數(shù)量最多的國家。俄羅斯和土耳其所占的份額分別為8%和7%。有趣的是，美國下降了1%，占全球活躍僵尸主機(jī)數(shù)量的5%。顯而易見，在后McColo時(shí)代，隨著垃圾郵件數(shù)量的持續(xù)上升（目前為McColo之前水平的94%），舊的僵尸網(wǎng)絡(luò)重新回歸到互聯(lián)網(wǎng)上，產(chǎn)生新僵尸網(wǎng)絡(luò)的地區(qū)是那些IT基礎(chǔ)設(shè)施投資迅速增長的地方。

    垃圾郵件發(fā)送者找到了更多可濫用的免費(fèi)服務(wù)

    頂級域名（TLD）是跟隨任何域名最后一個(gè)“.”（dot）的域名部分。ccTLD是為某個(gè)國家或獨(dú)立地區(qū)保留或使用的域名，如co.uk。gTLD是全球頂級域名，如com。2009年4月，大約91%的垃圾郵件中包含URL。

    根據(jù)觀察，29%的URL中包含cn ccTLD,64%的URL中有com TL。有趣的是，3%的URL包含pl TLD。包含pl TLD的垃圾郵件數(shù)量的增長原因可部分歸結(jié)于包含擁有pl TLD的免費(fèi)網(wǎng)絡(luò)URL垃圾郵件信息數(shù)量的增長。

    那些允許用戶建立免費(fèi)賬戶的網(wǎng)站過去曾被垃圾郵件發(fā)送者用于推銷自己的產(chǎn)品和服務(wù)。這些垃圾郵件發(fā)送者使用這些免費(fèi)資源來建立賬戶的理由圍繞著一個(gè)關(guān)鍵點(diǎn) 垃圾郵件發(fā)送者想用最少的開支來獲利。對于垃圾郵件發(fā)送者來說，關(guān)鍵是這些服務(wù)是免費(fèi)的，如果他們其中的一個(gè)URL被監(jiān)測到了，他們通常可以建立另外一個(gè)免費(fèi)賬戶。隨著McColo的關(guān)閉，顯而易見，這些垃圾郵件發(fā)送者正尋找其他免費(fèi)服務(wù)來加以利用。

    本月數(shù)據(jù)分析參考

    圖一：垃圾郵件來源地區(qū)

    來源地區(qū)指過去30天內(nèi)來自特定國家和地區(qū)的垃圾郵件比例以及近期變化情況。

圖二：垃圾郵件來源地區(qū)變化

圖三：全球垃圾郵件類型分類

    垃圾郵件分類數(shù)據(jù)來源于賽門鐵克探測網(wǎng)絡(luò)（Symantec Probe Network）的信息分類搜集庫。

圖四：垃圾郵件大小變化

圖五：四月垃圾郵件平均大小

圖六：URL域名與垃圾郵件關(guān)聯(lián)度分析

圖七：2009年4月URL-TLD域名來源比例