【51CTO.com 綜合消息】本期報(bào)告概要：

八月份，垃圾郵件占所有郵件數(shù)量的92.51%，與七月份的91.89%相比有所上升。七月份的報(bào)告中重點(diǎn)介紹了惡意軟件垃圾郵件數(shù)量的上升。蟄伏一個(gè)月后，隨著包含.zip附件的垃圾郵件成為關(guān)注的焦點(diǎn)，此類攻擊卷土重來。與上個(gè)月相比，惡意軟件垃圾郵件數(shù)量增長了三倍之多，而.zip附件垃圾郵件的數(shù)量增長了四倍。除了.zip附件外，包含惡意JavaScript的.html附件也來勢洶洶。

從垃圾郵件來源方面來看，八月份，來自EMEA（歐洲、中東、非洲）地區(qū)的垃圾郵件數(shù)量繼續(xù)下降，占整個(gè)垃圾郵件數(shù)量的43.17%，也就是說，自六月份創(chuàng)48.97%的新高后，其比例下降了五個(gè)百分點(diǎn)。北美地區(qū)借機(jī)發(fā)威，八月份，來自該地區(qū)的垃圾郵件占總數(shù)的25.78%，高于六月份的20.49%。同期內(nèi)，拉美及亞太地區(qū)的比例則保持相對(duì)平穩(wěn)。

在釣魚攻擊方面，該月的釣魚總數(shù)增長了11%，其原因主要是自動(dòng)工具包生成的釣魚攻擊數(shù)量的增長。自動(dòng)工具包創(chuàng)建的釣魚網(wǎng)站數(shù)量增長了92%。特殊URL攻擊略有上升，增加了3%，而含有IP域名的釣魚網(wǎng)站（例如：??http://255.255.255.255??）數(shù)量大幅度增長，約為147%。Web托管服務(wù)則占釣魚總數(shù)的14%，與上個(gè)月相比增長了1%。八月份，非英語類釣魚網(wǎng)站數(shù)量略有增長，約為1%。在非英語類釣魚網(wǎng)站中，法語和意大利語類釣魚攻擊依然占較高比例。

本期報(bào)告主要內(nèi)容：? 

◆2010年八月：垃圾郵件主題分析

◆.zip與.html附件垃圾郵件詳解 ? 

◆利用《歌舞青春》的鏈接發(fā)動(dòng)釣魚攻擊? 

◆釣魚者將目標(biāo)對(duì)準(zhǔn)汽車銷售品牌? 

◆國際垃圾郵件綜述

本月熱點(diǎn)事件分析：

2010年8月：垃圾郵件主題分析

八月份，.zip附件垃圾郵件是重點(diǎn)。這也反映在主題分析中，排名前十位的主題中有多個(gè)是.zip附件垃圾郵件。

.zip和.html附件垃圾郵件詳解

??

 上圖顯示了自六月中旬以來包含附件的垃圾郵件及包含.zip附件郵件的數(shù)量，說明了兩個(gè)重要問題：

◆與之前的六個(gè)星期相比，八月份包含附件的垃圾郵件數(shù)量有大幅度增長。

◆如圖表中所示，在八月份，表示附件垃圾郵件與.zip附件垃圾郵件的兩條線之間的間隙很小，這說明.zip附件垃圾郵件在整個(gè)附件類垃圾郵件數(shù)量中占據(jù)絕大部分。

.zip附件垃圾郵件中的三大主要類別為：

◆含Trojan.Zbot變種的郵件

◆含Trojan.Sasfis變種的郵件

◆Wavy pill郵件

Trojan.Zbot旨在竊取所侵入的計(jì)算機(jī)中的機(jī)密信息，目標(biāo)為系統(tǒng)信息、在線證書以及銀行詳細(xì)信息。它可以通過工具包來量身定制，從而搜集各種類型的信息。Trojan.Zbot主要利用發(fā)送垃圾郵件以及過路式下載的方式來進(jìn)行傳播。根據(jù)賽門鐵克的觀察，Trojan.Zbot能成為三大主要類別之一，也就不足為奇了。

這一郵件（見右圖）聲稱包含了一個(gè)合法附件，并使用了各種矢量來試圖證明自己的合法性。賽門鐵克博客中也對(duì)一些例子進(jìn)行了重點(diǎn)介紹，詳情請(qǐng)點(diǎn)擊這里與這里。在此示例中，垃圾郵件發(fā)送者利用關(guān)于名人的假新聞來引誘用戶上當(dāng)。

??

Trojan.Sasfis是一種下載和執(zhí)行其他惡意內(nèi)容的特洛伊木馬。八月份，垃圾郵件發(fā)送者利用了各種各樣運(yùn)輸/交付服務(wù)的品牌來引誘用戶上當(dāng)。

??

七月份的報(bào)告重點(diǎn)對(duì)波狀圖像技術(shù)進(jìn)行了說明。垃圾郵件發(fā)送者開始將圖像進(jìn)行壓縮，然后發(fā)送.zip附件，而不是直接附上圖像。該手段與上述的兩種特洛伊木馬相結(jié)合的方式在.zip附件垃圾郵件中占了絕大比例。

除了.zip附件外，還有一個(gè)有趣的趨勢。在第一個(gè)圖表中，兩條曲線的間距在月底時(shí)逐漸變寬，其原因是.html附件垃圾郵件數(shù)量的增長。這些.html文件中包含了惡意的JavaScript，并可以執(zhí)行以下操作：

◆利用瀏覽器和插件漏洞來執(zhí)行任意代碼

◆顯示假冒的防病毒掃描及欺詐信息

◆下載JavaScript、HTML和其他文件

◆劫持瀏覽器會(huì)話

◆將用戶重定向到惡意網(wǎng)站

◆竊取個(gè)人/保密信息

賽門鐵克建議用戶在打開電子郵件中的附件時(shí)要保持警惕。用戶還應(yīng)確保實(shí)時(shí)更新自己的操作系統(tǒng)，并安裝綜合的安全套件。

利用《歌舞青春》的鏈接發(fā)動(dòng)釣魚攻擊

2010年八月，賽門鐵克觀測到一些利用電影《歌舞青春》的鏈接、仿冒社交網(wǎng)絡(luò)品牌的釣魚網(wǎng)站。一般來說，釣魚網(wǎng)站的設(shè)計(jì)要與原來的網(wǎng)站保持一致，這樣才會(huì)使用戶難辨真假。在過去的幾個(gè)月里，一些假冒社交網(wǎng)絡(luò)品牌的釣魚網(wǎng)站卻包含了與原始網(wǎng)站不太相同的地方。

那么，詐騙者為什么要設(shè)計(jì)這些與原始網(wǎng)站不同的釣魚網(wǎng)頁呢？事實(shí)上，他們將釣魚網(wǎng)站做些修改，使網(wǎng)頁看起來好像是原始網(wǎng)站正在宣傳某些創(chuàng)意。在許多情況下，這些創(chuàng)意都與名人、特殊節(jié)日、色情、電影、熱點(diǎn)事件等相關(guān)。這些所謂的創(chuàng)意中融入了釣魚網(wǎng)站對(duì)原始網(wǎng)站的一些修改，如品牌的標(biāo)識(shí)、網(wǎng)頁背景以及圖像等。

在這一特殊釣魚網(wǎng)站中，詐騙者加入了一個(gè)圖像，將其作為社交網(wǎng)絡(luò)品牌的廣告。這個(gè)圖像是熱門電影《歌舞青春》的照片。該釣魚網(wǎng)頁給人的印象是，這一社交品牌正在進(jìn)行電視電影的宣傳。登錄信息中可以看到偽造的宣傳詞，要求用戶登錄到該網(wǎng)絡(luò)中《歌舞青春》的網(wǎng)頁上：

??

詐騙者的目的是為了引誘用戶，使他們相信自己在登錄此網(wǎng)站后可以觀看到視頻或閱讀和討論更多有關(guān)該電影的內(nèi)容。當(dāng)然，一旦用戶輸入了登錄詳情，釣魚者便可成功的盜取信息，并將其用于惡意的目的。

這些釣魚網(wǎng)站均依靠免費(fèi)的Web托管站點(diǎn)。釣魚URL表明其內(nèi)容將是電影《歌舞青春》的鏈接。這是此類URL的一個(gè)例子：??http://******/highschoolmusical.htm??（域名隱去）

釣魚者將目標(biāo)對(duì)準(zhǔn)汽車銷售品牌

在過去的幾個(gè)月里，賽門鐵克觀察到針對(duì)位于英國和美國的合法汽車銷售品牌的釣魚攻擊。這些品牌幫助顧客銷售新的和二手交通工具，如汽車和摩托車等。合法網(wǎng)站還為用戶提供他們想要銷售的車輛的廣告服務(wù)。

有多個(gè)釣魚網(wǎng)站被用來獲取用戶的保密信息。這些釣魚網(wǎng)站依靠免費(fèi)的Web托管服務(wù)。其中一個(gè)釣魚網(wǎng)站的網(wǎng)頁上聲稱該品牌正在為用戶提供免費(fèi)做廣告的機(jī)會(huì)。該網(wǎng)頁要求用戶完成身份確認(rèn)（虛假的）以獲得本次免費(fèi)做廣告的機(jī)會(huì)。確認(rèn)流程提示用戶提交電子郵件地址、廣告的ID和確認(rèn)問題及答案。在這類攻擊中，詐騙者試圖通過“為了您，我們與詐騙戰(zhàn)斗！”的標(biāo)題使用戶相信該釣魚網(wǎng)頁是真實(shí)的。事實(shí)恰恰相反，如果用戶成為該釣魚網(wǎng)站的犧牲品，釣魚者就可成功地盜取他們的身份。

??

另一個(gè)釣魚網(wǎng)站聲稱用戶的賬戶被“暫停”，用戶需要登錄來重新激活自己的賬戶。當(dāng)用戶輸入登錄信息后，該網(wǎng)頁將用戶重定向到合法網(wǎng)站。 

??

其他利用此類詐騙伎倆的釣魚網(wǎng)站要求用戶提供保密信息，其中包括用戶的聯(lián)系方式及信用卡信息。這些特殊的釣魚網(wǎng)站聲稱，用戶在購買自己所選的車輛時(shí)需要提交這些信息。要求提供的聯(lián)系人信息包括：用戶的姓名、地址、電話號(hào)碼和電子郵件。信用卡信息包括：信用卡號(hào)碼、信用卡有效期及安全代碼。這些釣魚攻擊背后的主要?jiǎng)訖C(jī)是牟取經(jīng)濟(jì)利益。

??

國際垃圾郵件綜述

以中國的父親節(jié)作為促銷機(jī)會(huì)的垃圾郵件數(shù)量有所增長。  

??

在俄羅斯，垃圾郵件發(fā)送者已開始為新年做準(zhǔn)備。在此示例中，垃圾郵件發(fā)送者希望用戶訂購2011年的日歷。  

??

上個(gè)月的報(bào)告中介紹了推銷空調(diào)的俄語垃圾郵件，當(dāng)時(shí)該國正飽受熱浪之苦。熱浪還導(dǎo)致了嚴(yán)重的森林大火，而垃圾郵件發(fā)送者也快速行動(dòng)起來，借此電子郵件推銷口罩和面具。另一個(gè)有趣的特點(diǎn)是，它是一封以俄語發(fā)音撰寫的英文郵件。

??

附錄一："要"與"不要" 安全秘訣，以應(yīng)對(duì)垃圾郵件，保護(hù)你的企業(yè)、員工和客戶

要：

1. 退訂你不再希望接收的正常郵件。申請(qǐng)接收郵件時(shí)，確定你同時(shí)選擇接收的其它項(xiàng)目。取消你不想接收的郵件項(xiàng)目。

2. 精心選擇注冊電子郵件地址的網(wǎng)站。

3. 避免在互聯(lián)網(wǎng)上公布自己的電子郵件地址。考慮其它選擇 – 例如，訂閱郵件時(shí)使用其它郵箱地址；不同郵箱地址用于不同目的，或可考慮一次性電子郵件地址服務(wù)。

4. 使用郵件管理員提供的郵件地址，如果可能的話，報(bào)告漏檢的垃圾郵件。

5. 刪除所有的垃圾郵件。

6. 不要點(diǎn)擊電子郵件或IM信息中的可疑鏈接，因?yàn)樗鼈兛赡軙?huì)鏈接到釣魚網(wǎng)站。我們建議在瀏覽器中直接輸入網(wǎng)站地址，而不要依賴電子郵件提供的鏈接。

7. 時(shí)刻確保你的操作系統(tǒng)已進(jìn)行實(shí)時(shí)更新，使用綜合安全軟件套裝。更多有關(guān)賽門鐵克安全保護(hù)產(chǎn)品的詳情，請(qǐng)登錄公司網(wǎng)站：??http://www.symantec.com??。 ?

8. 考慮采用一個(gè)知名反垃圾郵件解決方案，如賽門鐵克的Brightmail郵件安全綜合解決方案，以解決整個(gè)組織范圍的郵件過濾問題。

9. 訪問賽門鐵克的垃圾郵件狀態(tài)網(wǎng)站，掌握垃圾郵件的最新趨勢，網(wǎng)址是：??http://www.symantec.com/spam??。

不要：

1. 打開未知的電子郵件附件。這些附件可能使你的電腦感染上病毒。

2. 回復(fù)垃圾郵件。一般來說，發(fā)信人的電子郵件地址都是偽造的，回復(fù)郵件只會(huì)帶來更多的垃圾郵件。

3. 填寫郵件中要求提供個(gè)人信息、財(cái)務(wù)信息或密碼的表格。知名公司不可能通過電子郵件形式要求你提供自己的個(gè)人詳情。如果有疑問，請(qǐng)通過獨(dú)立的、可信的渠道聯(lián)系該公司，如通過核實(shí)的電話號(hào)碼，或?qū)⒁阎木W(wǎng)絡(luò)地址輸入到新的瀏覽窗口（不要點(diǎn)擊郵件中鏈接，或復(fù)制粘貼郵件中的鏈接）。

4. 根據(jù)垃圾郵件信息購買產(chǎn)品或服務(wù)。

5. 打開垃圾郵件信息。

6. 轉(zhuǎn)發(fā)垃圾郵件提供的病毒警告，這些警告通常是圈套。

附錄二：本月數(shù)據(jù)分析參考

圖一：垃圾郵件來源地區(qū)  

??

圖二：垃圾郵件來源地區(qū)變化趨勢  

??

圖三：釣魚攻擊方式的分布  

??

圖四：釣魚攻擊的對(duì)象分布