Rustock再次成為垃圾郵件威脅方面的熱門話題。幾個月前，Rustock沉寂了大約兩周，然后于2011年3月16日被關閉。Rustock的關閉對全球垃圾郵件數量產生了極大影響。繼前一個月增加8.7%之后，3月的日均垃圾郵件數量下降了27.43%。伴隨著垃圾郵件發送總量的下降，垃圾郵件所占郵件發送總數的比例也相應減少。此外，垃圾郵件發送者繼續利用日本地震來發送垃圾郵件、制造騙局、傳播惡意軟件并發動釣魚攻擊。總而言之，3月份垃圾郵件數量占郵件發送總量的74.68%，而2月為80.65%。

3月份的釣魚攻擊總量減少了22.71%。自動工具包攻擊與特殊域名攻擊的數量較上月也有所減少。利用自動工具包創建的釣魚網站數量減少了大約41.54%，而特殊URL攻擊的數量則下降了14.02%，含有IP域名的釣魚網站數量下降了約30.94%。Web托管服務占釣魚攻擊總數的13%，比上月減少22.31%。非英語類釣魚網站的數量猛降58.22%。在非英語類釣魚網站中，葡萄牙語、意大利語和西班牙語釣魚網站所占比例最高。

本期報告主要內容：

2011年3月：垃圾郵件主題分析

Rustock的關閉

垃圾郵件發送者利用日本地震發動攻擊

釣魚者對日本無絲毫憐憫之心

新西蘭地震受害者遭遇虛假捐獻

本月熱點事件分析：

??

2011年3月，在線購藥、假冒軟件、成人約會垃圾郵件出現在主題名單的前10名之列。

Rustock的關閉

全球垃圾郵件數量在2011年3月16日明顯下降，原因則是 Rustock被關閉，這是一項由政府牽頭并協同微軟公司開展的行動。全球垃圾郵件數量在3月16日比前一天減少了24.7%，而在3月17日又減少了11.9%。之后，垃圾郵件發送數量一直處于低水平。

??

Rustock實際上在2010年底就處于休眠狀態。在本期報告中， 賽門鐵克探討了 Rustock僵尸網絡在2010年12月25日消失，又在2011年1月10日回歸的現象。隨著最近這次關閉，我們現在有兩個時段來得出其它衡量標準方面的關聯。由于Rustock曾經是全球最“多產”的僵尸網絡之一，因此關閉行動產生的影響在垃圾郵件數量之外的其它衡量標準上也得到了顯現。

下圖表明了含有.ru的頂級域URL的垃圾郵件的比例。當Rustock在去年年底臨時關閉時，含有.ru的頂級域URL的垃圾郵件比例下降了，但當該僵尸網絡回歸后，此類垃圾郵件數量相應增加。之后，在3月16日時，該比例再次猛降。

??

另外，類似的趨勢還可在郵件大小衡量標準里得出。下圖表明了2KB至5KB垃圾郵件的比例。

??

賽門鐵克還觀察到在接近3月底時，附件為壓縮文件的垃圾郵件有所增加。所有觀察到的樣本均假冒那些來自速遞服務公司的合法送貨提醒或通知。郵件正文要求收件人打開壓縮的可執行文件，以便了解送貨所需的進一步詳情或行動。

??

一旦收件人下載壓縮文件，就會安裝以下威脅（下面超鏈接為賽門鐵克安全響應中心關于每種威脅的詳細說明）：

Trojan.FakeAV

Backdoor.Cycbot

Trojan.Sasfis

盡管這一僵尸網絡已被關閉，但垃圾郵件發送者似乎正在嘗試新方法，準備重整旗鼓。

垃圾郵件發送者利用日本地震發動攻擊

在之前的東南亞海嘯、智利地震等等自然災難中，垃圾郵件發送者利用這些慘劇獲利，發送惡意軟件、垃圾郵件，并制造騙局以及發動釣魚攻擊。該趨勢借助上個月的日本大地震得以延續。

在第一個例子中，垃圾郵件發送者嵌入了一段似乎是關于這場災難的視頻，以此誘騙用戶。

??

但是，它只是一幅含有惡意軟件鏈接的圖像。一旦打開了鏈接，用戶就會被要求下載并安裝一個可執行文件，它是一個和巴西銀行木馬有關的惡意軟件。該圖像所指引的鏈接hxxp://xxx.<removed>trade.com/globo.com.html能夠導致用戶從發起攻擊的機器上下載惡意軟件。在惡意軟件成功安裝后，便會收集用戶的網上銀行證書和其它敏感信息。

??

此外，自這場自然災難發生以來，詐騙者普遍已經開始利用救援工作，發送419詐騙類型的郵件。最近觀察到尼日利亞騙局的另一個變種，該變種顯示，在日本應對核危機時，虛假信息促使人們向地震與海嘯的幸存者提供幫助。

??

除此之外，釣魚攻擊也利用了這場災難。詳細內容請見下一部分“釣魚者對日本無絲毫憐憫之心”。

賽門鐵克建議用戶通過合法而安全的渠道向地震與海嘯受害者伸出援手。

釣魚者對日本毫無憐憫之心

2011年3月11日，一場9.0級大地震來襲，日本遭遇了有史以來最大的噩夢。世界各國都向日本伸出援手。此時，釣魚者們卻試圖利用這一災難來竊取捐贈者的錢財，借他們的善心謀得利益。

??

賽門鐵克觀察到一個釣魚網站，它假冒一個流行的支付網關，請求人們為日本地震受害者捐贈。釣魚者們對所有細微之處都很在意，這使得網頁看起來與合法品牌網站十分相似。在網頁的左上角，釣魚者使用了人道主義組織美國紅十字會的標識，讓捐贈顯得更加真實。一份捐贈概要突出地放在該網頁的左側，顯示1歐元金額，并含有一個超級鏈接——“向日本地震受害者捐款”，該超級鏈接將重定向回該釣魚網頁。釣魚者把金額固定在小小的1歐元，目的就是希望用戶會毫不猶豫地支付該筆金額。

用戶被要求在兩個支付選項當中做出選擇。第一個選項是針對該品牌的客戶，提醒他們通過在該品牌設立的賬戶付錢。第二個選項是要求提供信用卡或借記卡詳情。該詳情包括卡片類型、用戶名、出生日期、社保號碼、母親結婚前的名字、郵政地址、電話號碼、郵箱。在要求的信息被輸入后，釣魚網站則顯示“謝謝您”的信息。該釣魚網站的主機托管于在美國的服務器。釣魚者通過設計一些計謀來竊取用戶的機密信息，最終獲取經濟利益。類似這樣的虛假捐贈已經變成司空見慣的誘餌。

新西蘭地震受害者遭遇虛假捐獻

2011年2月22日，一場6.3級大地震摧毀了新西蘭克賴斯特徹奇市。數千新西蘭人因此失去了家園。詐騙者像往常一樣，利用這一災難發送垃圾郵件，請求捐贈。而在1月份，釣魚者已經利用相同的伎倆請求人們 為塞拉那洪災的受害者捐贈 。

??

釣魚網站假冒紅十字會在新西蘭的網站，請求終端用戶提供幫助。首先，該網頁假冒網站提供了地震詳情，強調了城市受損程度。其次，它詳細介紹了如何安全地在網上捐贈。用戶在網上捐贈后，會立即通過電郵收到收據（出于交稅的目的）。其中，用戶可在三種信用卡服務中進行選擇。

為了完成捐贈，用戶被要求輸入指定的保密信息。第一個部分是一個下拉式菜單，用戶必須從中選擇將為哪一個慈善事業捐贈。這些慈善事業包括2011年新西蘭地震、Annual Appeal 2011、澳大利亞洪災基金、Landmine Appeal、太平洋災難預備基金會（Pacific Disaster Preparedness Fund）、General Fund Appeal。

要求提供的保密信息包括電子郵件、郵政地址、信用卡號碼、三位社保號碼、卡片有效期、四位PIN代碼、駕照號碼、出生日期。輸入需要的信息后，網頁立即重定向回合法的紅十字會網站。該釣魚網站的主機托管于位于奧地利維也納的服務器。

“要”與“不要” 安全秘訣，以應對垃圾郵件，保護你的企業、員工和客戶

要：

1.要退訂你不再希望接收的正常郵件。申請接收郵件時，確定你同時選擇接收的其他項目。取消你不想接收的郵件項目。

2.要精心選擇注冊電子郵件地址的網站。

3.要避免在互聯網上公布自己的電子郵件地址。考慮其他選擇 – 例如，訂閱郵件時使用其他郵箱地址；不同郵箱地址用于不同目的，或可考慮一次性電子郵件地址服務。

4.要使用郵件管理員提供的郵件地址，如果可能的話，報告漏檢的垃圾郵件。

5.要刪除所有的垃圾郵件。

6.要避免點擊電子郵件或IM信息中的可疑鏈接，因為它們可能會鏈接到釣魚網站。建議在瀏覽器中直接輸入網站地址，而不要依賴電子郵件提供的鏈接。

7.要時刻確保你的操作系統已進行實時更新，使用綜合安全軟件套裝。

8.要考慮采用一個知名的反垃圾郵件解決方案，如賽門鐵克的Brightmail郵件安全綜合解決方案，以解決整個組織范圍內的郵件過濾問題。

9.要訪問賽門鐵克的垃圾郵件狀態網站，掌握垃圾郵件的最新趨勢，網址是： http://www.symantec.com/spam 。#p#

不要：

1.不要打開未知的電子郵件附件。這些附件可能使你的電腦感染上病毒。

2.不要回復垃圾郵件。一般來說，發信人的電子郵件地址都是偽造的，回復郵件只會帶來更多的垃圾郵件。

3.不要填寫郵件中要求提供個人信息、財務信息或密碼的表格。知名公司不可能通過電子郵件形式要求你提供自己的個人詳情。如果有疑問，請通過獨立的、可信的渠道聯系該公司，如通過核實的電話號碼，或將已知的網絡地址輸入到新的瀏覽窗口（不要點擊郵件中鏈接，或復制粘貼郵件中的鏈接）。

4.不要根據垃圾郵件信息購買產品或服務。

5.不要打開垃圾郵件信息。

6.不要轉發垃圾郵件提供的病毒警告，這些警告通常是圈套。

附錄二：本月數據分析參考

圖一：垃圾郵件來源地區

圖二：垃圾郵件來源地區變化趨勢

圖三：釣魚攻擊方式的分布

??

圖四：釣魚攻擊的對象分布

??

【編輯推薦】

1. ??華為賽門鐵克發布萬兆UTM新品??
2. ??華為賽門鐵克N8500集群NAS系統刷新SPEC測試記錄??
3. ??卡巴斯基：全球垃圾郵件比例略有上升??
4. ??利用假冒SSL證書的釣魚攻擊瞄準信用卡服務品牌??
5. ??梭子魚垃圾郵件解決方案減負企業郵箱??