2008年7月17日，北京――思科公司的安全業(yè)務(wù)部門IronPort® Systems，業(yè)內(nèi)領(lǐng)先的反垃圾郵件、反病毒和反間諜軟件解決方案供應(yīng)商，今天宣布發(fā)現(xiàn)了網(wǎng)上犯罪生態(tài)系統(tǒng)的關(guān)鍵所在：利用僵尸網(wǎng)絡(luò)發(fā)送垃圾郵件來宣傳其網(wǎng)站的非法藥品供應(yīng)鏈。通過把垃圾郵件轉(zhuǎn)換成具有高價值的藥物購買行為，這些藥品供應(yīng)鏈企業(yè)讓兜售信息的僵尸網(wǎng)絡(luò)盈利，為僵尸網(wǎng)絡(luò)攻擊以及持續(xù)的創(chuàng)新提供利潤來源。在IronPort最新的年度網(wǎng)絡(luò)安全趨勢報告中，IronPort分析了這些僵尸網(wǎng)絡(luò)的影響并且揭示了藥品垃圾信息與相關(guān)惡意軟件經(jīng)濟背后的真正驅(qū)動因素。

　　IronPort技術(shù)副總裁同時也是思科院士Patrick Peterson表示：“根據(jù)我們之前的研究，利用僵尸網(wǎng)絡(luò)的加拿大藥品網(wǎng)站按訂單售出的非法藥品背后有一個非常精明的供應(yīng)鏈。但是到目前為止，專注技術(shù)的僵尸網(wǎng)絡(luò)負責人與全球供應(yīng)鏈組織之間的關(guān)系仍然不為人所知。我們的研究表明，Storm和其它僵尸網(wǎng)絡(luò)生成委托訂單，然后由Spamlt.com或GlavMed等供應(yīng)商完成訂單，這些發(fā)布信息的公司每年可以獲得超過1.5億美金的收入。

　　IronPort的研究表明，Storm僵尸網(wǎng)絡(luò)發(fā)布的郵件中有超過80%是網(wǎng)上藥店的廣告，比如CanadianPharmacy.com、TheCanadianMeds.com以及CanadianPharmacyLtd.com。這些垃圾郵件通過多種社會工程詭計以及網(wǎng)絡(luò)數(shù)據(jù)搜索感染的數(shù)以百萬計的個人電腦發(fā)送。進一步研究表明，與Strom（風暴）惡意軟件合作的一個俄羅斯犯罪組織GlavMed提供了垃圾郵件模板、垃圾郵件廣告的網(wǎng)址、網(wǎng)站設(shè)計、信用卡處理、產(chǎn)品實現(xiàn)以及客戶支持。

　　GlavMed利用僵尸網(wǎng)絡(luò)垃圾郵件發(fā)送者來宣傳他們的非法藥品網(wǎng)站，后者將獲得銷售訂單額的40%作為傭金。GlavMed負責完成醫(yī)藥產(chǎn)品訂單、信用卡處理以及客戶支持服務(wù)。但是，IronPort發(fā)起的一個藥品測試顯示：雖然這些藥品中有三分之二含有活性成分，但是劑量不準確，而其他部分則僅僅是安慰劑。最后結(jié)果就是，消費者服下了來自外國分銷商的未知物質(zhì)，面臨很大的風險。

　　關(guān)于Storm僵尸

    網(wǎng)絡(luò)以及它與GlavMed供應(yīng)鏈之間的關(guān)系詳見IronPort的特別報告《2008年互聯(lián)網(wǎng)惡意軟件發(fā)展趨勢：Storm僵尸網(wǎng)絡(luò)與社會工程的未來》。這份報告同時指出了一些惡意軟件感染寄主PC并跳過安全軟件的方法。這些方法包括：

　　網(wǎng)絡(luò)垃圾郵件
　　復雜的僵尸網(wǎng)絡(luò)結(jié)合自動以及手動Captcha破壞程序來產(chǎn)生大量的網(wǎng)絡(luò)郵件賬戶。（“Capcha”表示區(qū)分計算機和人類的全自動公開圖靈測試。一個普通的“Captcha”測試需要有人輸入一系列扭曲的字母和數(shù)字來保證回答不是計算機生成的。）賬戶產(chǎn)生后，僵尸網(wǎng)絡(luò)利用這些賬戶發(fā)送垃圾郵件信息，并且這些垃圾信息接收者以為這些信息源于合法ISP的郵件服務(wù)器，而不是僵尸網(wǎng)絡(luò)。這些信譽盜竊式攻擊在2008年的第一季度占據(jù)了垃圾信息的5%，而在上一個季度還不到1%。

　　利用Google搜索
　　下一代惡意軟件利用Google的“手氣不錯”搜索選項把用戶導向受感染網(wǎng)站。大約1.3%的Google搜索會把惡意軟件網(wǎng)站作為合法結(jié)果。由于每分鐘都會有大量的搜索在進行，這項功能是惡意軟件發(fā)布者的潛在巨大機會。

　　郵件自動回復功能
　　當用戶啟用郵箱的自動回復功能時，垃圾郵件散布者將能夠確定這些郵件地址是存在的，而且使得垃圾信息發(fā)布者劫持此企業(yè)郵件服務(wù)器以看似合法的方式發(fā)送垃圾郵件。這種攻擊方式相當新，它體現(xiàn)了垃圾郵件發(fā)布者在尋求跳過垃圾郵件過濾器時非常精明。

　　報告中研究的僵尸網(wǎng)絡(luò)的特別之處在于它們把垃圾郵件活動和當前事件或者牟利網(wǎng)站聯(lián)系起來，并且通過郵件和網(wǎng)站結(jié)合來傳播。此外，這些分散且高度協(xié)同的攻擊產(chǎn)生了多種多樣的網(wǎng)絡(luò)入侵，從郵件與博客垃圾信息到網(wǎng)絡(luò)釣魚、即時通信（IM）攻擊以及分布式拒絕服務(wù)（DDoS）攻擊。

　　根據(jù)IronPort研究人員的說法，Storm惡意軟件是此復雜社會工程趨勢的先驅(qū)，在2008年1月和2月間累計影響了全球范圍內(nèi)四千萬臺電腦。在2007年7月的高峰期，Storm總共占據(jù)了垃圾信息總量的20%，感染了140萬臺電腦。并且，它每個月會繼續(xù)感染或者重新感染90萬臺電腦。截至2007年9月，生成Storm垃圾消息的同時活躍計算機的數(shù)量減少到每天28萬臺，并且它發(fā)出的垃圾信息只占所有垃圾信息的4%。目前，Storm只占每天發(fā)送的1610億條垃圾信息的一小部分，但是Storm的變種仍然活躍。

　　在評估這類基于社會工程的攻擊帶來損害的同時，此項報告詳細介紹了垃圾信息和病毒的可能的發(fā)展趨勢以及企業(yè)為保證其網(wǎng)絡(luò)安全所應(yīng)采取的措施。垃圾信息已經(jīng)不僅僅是個人尋求榮耀的產(chǎn)物?，F(xiàn)在，它已經(jīng)變種為有組織，有技術(shù)含量的，有資金支持的行為，并且其規(guī)模在一定程度上可以和合法軟件生產(chǎn)商相媲美。為了提高效率以及收益，惡意軟件制造商甚至開始以整套方案出售其產(chǎn)品，包括技術(shù)支持、分析與管理工具以及軟件更新。近期發(fā)現(xiàn)的僵尸網(wǎng)路惡意軟件有Bobax、Kraken/Kracken和Srizbi。

　　為了阻止Storm及后續(xù)僵尸網(wǎng)絡(luò)的擴散，IronPort的報告向每個公司推薦使用垃圾郵件過濾器，評估其網(wǎng)絡(luò)信譽，監(jiān)測端口以及通信活動，并保持所有的反病毒或者反惡意軟件產(chǎn)品時時更新。