本期報告概要:
八月份����,垃圾郵件占所有郵件數量的92.51%,與七月份的91.89%相比有所上升。七月份的報告中重點介紹了惡意軟件垃圾郵件數量的上升�����。蟄伏一個月后���,隨著包含.zip附件的垃圾郵件成為關注的焦點����,此類攻擊卷土重來���。與上個月相比����,惡意軟件垃圾郵件數量增長了三倍之多�����,而.zip附件垃圾郵件的數量增長了四倍���。除了.zip附件外�����,包含惡意JavaScript的.html附件也來勢洶洶��。
從垃圾郵件來源方面來看����,八月份���,來自EMEA(歐洲�����、中東����、非洲)地區(qū)的垃圾郵件數量繼續(xù)下降��,占整個垃圾郵件數量的43.17%�,也就是說,自六月份創(chuàng)48.97%的新高后����,其比例下降了五個百分點。北美地區(qū)借機發(fā)威�,八月份����,來自該地區(qū)的垃圾郵件占總數的25.78%���,高于六月份的20.49%��。同期內�����,拉美及亞太地區(qū)的比例則保持相對平穩(wěn)����。
在釣魚攻擊方面�,該月的釣魚總數增長了11%,其原因主要是自動工具包生成的釣魚攻擊數量的增長��。自動工具包創(chuàng)建的釣魚網站數量增長了92%��。特殊URL攻擊略有上升���,增加了3%�,而含有IP域名的釣魚網站(例如:http://255.255.255.255)數量大幅度增長��,約為147%。Web托管服務則占釣魚總數的14%�,與上個月相比增長了1%�����。八月份�����,非英語類釣魚網站數量略有增長�����,約為1%����。在非英語類釣魚網站中,法語和意大利語類釣魚攻擊依然占較高比例�。
本期報告主要內容:
◆2010年八月:垃圾郵件主題分析
◆.zip與.html附件垃圾郵件詳解
◆利用《歌舞青春》的鏈接發(fā)動釣魚攻擊
◆釣魚者將目標對準汽車銷售品牌
◆國際垃圾郵件綜述
本月熱點事件分析:
2010年8月:垃圾郵件主題分析
八月份,.zip附件垃圾郵件是重點��。這也反映在主題分析中��,排名前十位的主題中有多個是.zip附件垃圾郵件�����。
.zip和.html附件垃圾郵件詳解
上圖顯示了自六月中旬以來包含附件的垃圾郵件及包含.zip附件郵件的數量,說明了兩個重要問題:
◆與之前的六個星期相比��,八月份包含附件的垃圾郵件數量有大幅度增長��。
◆如圖表中所示����,在八月份,表示附件垃圾郵件與.zip附件垃圾郵件的兩條線之間的間隙很小�����,這說明.zip附件垃圾郵件在整個附件類垃圾郵件數量中占據絕大部分��。
.zip附件垃圾郵件中的三大主要類別為:
◆含Trojan.Zbot變種的郵件
◆含Trojan.Sasfis變種的郵件
◆Wavy pill郵件
Trojan.Zbot旨在竊取所侵入的計算機中的機密信息����,目標為系統(tǒng)信息、在線證書以及銀行詳細信息�。它可以通過工具包來量身定制,從而搜集各種類型的信息�。Trojan.Zbot主要利用發(fā)送垃圾郵件以及過路式下載的方式來進行傳播。根據賽門鐵克的觀察����,Trojan.Zbot能成為三大主要類別之一�,也就不足為奇了��。
這一郵件(見右圖)聲稱包含了一個合法附件��,并使用了各種矢量來試圖證明自己的合法性���。賽門鐵克博客中也對一些例子進行了重點介紹,詳情請點擊這里與這里��。在此示例中�,垃圾郵件發(fā)送者利用關于名人的假新聞來引誘用戶上當。
Trojan.Sasfis是一種下載和執(zhí)行其他惡意內容的特洛伊木馬�����。八月份�,垃圾郵件發(fā)送者利用了各種各樣運輸/交付服務的品牌來引誘用戶上當。
七月份的報告重點對波狀圖像技術進行了說明����。垃圾郵件發(fā)送者開始將圖像進行壓縮,然后發(fā)送.zip附件�����,而不是直接附上圖像。該手段與上述的兩種特洛伊木馬相結合的方式在.zip附件垃圾郵件中占了絕大比例�。
除了.zip附件外,還有一個有趣的趨勢�����。在第一個圖表中���,兩條曲線的間距在月底時逐漸變寬�,其原因是.html附件垃圾郵件數量的增長����。這些.html文件中包含了惡意的JavaScript,并可以執(zhí)行以下操作:
◆利用瀏覽器和插件漏洞來執(zhí)行任意代碼
◆顯示假冒的防病毒掃描及欺詐信息
◆下載JavaScript�����、HTML和其他文件
◆劫持瀏覽器會話
◆將用戶重定向到惡意網站
◆竊取個人/保密信息
賽門鐵克建議用戶在打開電子郵件中的附件時要保持警惕���。用戶還應確保實時更新自己的操作系統(tǒng)���,并安裝綜合的安全套件���。
利用《歌舞青春》的鏈接發(fā)動釣魚攻擊
2010年八月,賽門鐵克觀測到一些利用電影《歌舞青春》的鏈接����、仿冒社交網絡品牌的釣魚網站。一般來說�����,釣魚網站的設計要與原來的網站保持一致����,這樣才會使用戶難辨真假�。在過去的幾個月里,一些假冒社交網絡品牌的釣魚網站卻包含了與原始網站不太相同的地方��。
那么�����,詐騙者為什么要設計這些與原始網站不同的釣魚網頁呢�?事實上,他們將釣魚網站做些修改,使網頁看起來好像是原始網站正在宣傳某些創(chuàng)意����。在許多情況下,這些創(chuàng)意都與名人���、特殊節(jié)日��、色情�、電影�、熱點事件等相關。這些所謂的創(chuàng)意中融入了釣魚網站對原始網站的一些修改��,如品牌的標識�����、網頁背景以及圖像等�。
在這一特殊釣魚網站中,詐騙者加入了一個圖像�,將其作為社交網絡品牌的廣告。這個圖像是熱門電影《歌舞青春》的照片���。該釣魚網頁給人的印象是���,這一社交品牌正在進行電視電影的宣傳�。登錄信息中可以看到偽造的宣傳詞���,要求用戶登錄到該網絡中《歌舞青春》的網頁上:
詐騙者的目的是為了引誘用戶�,使他們相信自己在登錄此網站后可以觀看到視頻或閱讀和討論更多有關該電影的內容��。當然���,一旦用戶輸入了登錄詳情�����,釣魚者便可成功的盜取信息����,并將其用于惡意的目的�����。
這些釣魚網站均依靠免費的Web托管站點����。釣魚URL表明其內容將是電影《歌舞青春》的鏈接。這是此類URL的一個例子:http://******/highschoolmusical.htm(域名隱去)
釣魚者將目標對準汽車銷售品牌
在過去的幾個月里�����,賽門鐵克觀察到針對位于英國和美國的合法汽車銷售品牌的釣魚攻擊���。這些品牌幫助顧客銷售新的和二手交通工具����,如汽車和摩托車等�。合法網站還為用戶提供他們想要銷售的車輛的廣告服務。
有多個釣魚網站被用來獲取用戶的保密信息���。這些釣魚網站依靠免費的Web托管服務����。其中一個釣魚網站的網頁上聲稱該品牌正在為用戶提供免費做廣告的機會����。該網頁要求用戶完成身份確認(虛假的)以獲得本次免費做廣告的機會。確認流程提示用戶提交電子郵件地址�����、廣告的ID和確認問題及答案。在這類攻擊中���,詐騙者試圖通過“為了您���,我們與詐騙戰(zhàn)斗!”的標題使用戶相信該釣魚網頁是真實的��。事實恰恰相反����,如果用戶成為該釣魚網站的犧牲品,釣魚者就可成功地盜取他們的身份��。
另一個釣魚網站聲稱用戶的賬戶被“暫停”��,用戶需要登錄來重新激活自己的賬戶���。當用戶輸入登錄信息后��,該網頁將用戶重定向到合法網站。
其他利用此類詐騙伎倆的釣魚網站要求用戶提供保密信息��,其中包括用戶的聯系方式及信用卡信息�。這些特殊的釣魚網站聲稱��,用戶在購買自己所選的車輛時需要提交這些信息�����。要求提供的聯系人信息包括:用戶的姓名�、地址�、電話號碼和電子郵件。信用卡信息包括:信用卡號碼�����、信用卡有效期及安全代碼����。這些釣魚攻擊背后的主要動機是牟取經濟利益。
國際垃圾郵件綜述
以中國的父親節(jié)作為促銷機會的垃圾郵件數量有所增長�。
在俄羅斯,垃圾郵件發(fā)送者已開始為新年做準備����。在此示例中,垃圾郵件發(fā)送者希望用戶訂購2011年的日歷�。
上個月的報告中介紹了推銷空調的俄語垃圾郵件,當時該國正飽受熱浪之苦�����。熱浪還導致了嚴重的森林大火,而垃圾郵件發(fā)送者也快速行動起來���,借此電子郵件推銷口罩和面具����。另一個有趣的特點是����,它是一封以俄語發(fā)音撰寫的英文郵件。
