本月熱點(diǎn)事件分析
甲型H1N1流感的爆發(fā)引發(fā)垃圾郵件的蔓延
墨西哥爆發(fā)的甲型H1N1流感以及其在全世界的蔓延一直成為新聞的頭條��,疾病控制中心和世界衛(wèi)生組織一直在實(shí)時(shí)更新此方面的信息。賽門鐵克也一直在密切監(jiān)測(cè)利用這些信息發(fā)動(dòng)的網(wǎng)絡(luò)攻擊�����。
目前監(jiān)測(cè)到的前20個(gè)與甲型H1N1流感的爆發(fā)有關(guān)的垃圾郵件主如下:
1.安吉麗娜.茱莉染上豬流感
2.紐約的豬流感
3.麥當(dāng)娜染上豬流感
4.美國(guó)防御豬流感�!
5.麥當(dāng)娜染上豬流感���!
6.美國(guó)防御豬流感��!
7.美國(guó)的豬流感
8.薩爾瑪.海耶克染上豬流感��!
9.美國(guó)豬流感統(tǒng)計(jì)數(shù)字
10.紐約豬流感受害者
11.好萊塢發(fā)現(xiàn)豬流感�����!
12.全世界豬流感爆發(fā)����!
13.美國(guó)第一位豬流感受害者���!
14.豬流感會(huì)襲擊美國(guó)嗎���?
15.趕快抓緊吧!抗豬流感藥物即將售罄
16.美國(guó)豬流感恐慌
17.來(lái)此處購(gòu)買防豬流感藥物
18.即刻訂購(gòu)防豬流感疫苗
19.預(yù)防豬流感感染
20.抵御豬流感死亡威脅�!
我們發(fā)現(xiàn),本月健康類垃圾郵件主要談?wù)摰氖悄軌虻钟鞲械乃幬?��,并提供各種相關(guān)藥物網(wǎng)站的URL��。另一個(gè)例子是向潛在的受害者發(fā)送附有惡意PDF附件的電子郵件��,這些郵件向受害者承諾能夠回答有關(guān)豬流感的問(wèn)題����。賽門鐵克發(fā)現(xiàn),惡意PDF文件名為Bloodhound.Exploit.6�����,而PDF中所包含的惡意文件是InfoStealer��。其他有關(guān)豬流感垃圾郵件的例子包括西班牙語(yǔ)信息及視頻的鏈接����。垃圾郵件信息鼓勵(lì)用戶點(diǎn)擊此視頻鏈接,聲稱"以下視頻介紹了病人從發(fā)病起到死亡可能表現(xiàn)出來(lái)的病癥�����。以下圖片可能不適合所有人�,建議個(gè)人根據(jù)自己的情況來(lái)觀看此視頻。"
雖然豬流感垃圾郵件是否能導(dǎo)致豬流感垃圾郵件的全面爆發(fā)還不得而知���,但以往的歷史告訴我們���,基于目前事件的垃圾郵件將持續(xù)下去,為的是引誘受害者�����,傳播垃圾郵件信息。另外需注意的是����,垃圾郵件發(fā)送者還將在發(fā)生在意大利的地震用于其信息中。同以往一樣����,用戶在打開(kāi)附件或點(diǎn)擊URL鏈接時(shí)應(yīng)多加小心。
垃圾郵件樣本示例:
主題:AH1N1豬流感病毒迅速蔓延 – 您將如何保護(hù)自己��?
疾病控制中心宣布豬流感全球流行級(jí)別為五級(jí)���,您如何保護(hù)自己?
第一步:迅速增強(qiáng)你的免疫系統(tǒng)�,抵御流感病毒的侵襲
建議的處方:免疫提升活力
供貨極其有限
點(diǎn)擊此處,即可獲得免費(fèi)貨品
圖像垃圾郵件卷土重來(lái)
圖像垃圾郵件的定義是�,包含一個(gè)圖像附件但郵件本身沒(méi)有或有很少文字或HTML的垃圾郵件信息。所附圖像常包含各種混淆技術(shù)����,如對(duì)圖像的顏色或字體進(jìn)行細(xì)微改變及在圖像中加入聲音背景,目的是避開(kāi)反垃圾郵件軟件的監(jiān)測(cè)��。
鼓勵(lì)收件者采取某行動(dòng)的信息通常包含在圖像附件中。在以下的示例中�,垃圾郵件發(fā)送者會(huì)要求收件人在其瀏覽器的地址欄中輸入某URL。如果該收件人執(zhí)行了此動(dòng)作�,點(diǎn)擊此URL,他就會(huì)被帶入和一個(gè)推銷某種醫(yī)藥產(chǎn)品的網(wǎng)站����。
雖然目前圖像垃圾郵件不像2007年(當(dāng)時(shí)圖像垃圾郵件占所有垃圾郵件的52%)時(shí)那樣主宰整個(gè)垃圾郵件格局,但到2009年4月末為止�����,圖像垃圾郵件平均占到所有垃圾信息的16%����。
圖:圖像式垃圾郵件所占比例變化
隨著圖像垃圾郵件的卷土重來(lái),我們還發(fā)現(xiàn)其他兩條明顯的垃圾郵件變化特征:
1. 垃圾郵件信息的平均大小有所增長(zhǎng)���,這對(duì)電子郵件基礎(chǔ)設(shè)施將帶來(lái)壓力��,也可能使最終用戶無(wú)法接收到正常電子郵件����。
2.包含URL的垃圾郵件數(shù)量減少���,其原因是包含圖像附件的垃圾郵件信息的主體內(nèi)容中無(wú)URL����。
垃圾郵件制造者發(fā)起的民意調(diào)查:奧巴馬總統(tǒng)任職第一百天
根據(jù)最近舉行的政治民意調(diào)查,奧巴馬總體的支持率目前為65%��。很顯然��,垃圾郵件發(fā)送者在其執(zhí)政一百天后仍繼續(xù)看好這位總統(tǒng)���。我們發(fā)現(xiàn)��,上幾個(gè)星期中使用他的名字和受歡迎度來(lái)推銷某些產(chǎn)品和服務(wù)的垃圾郵件數(shù)量有明顯增長(zhǎng)���。
奧巴馬成為垃圾郵件發(fā)送者的目標(biāo)還要追溯到2008年,當(dāng)時(shí)他和當(dāng)時(shí)的挑戰(zhàn)者約翰.麥凱恩參議員的名字與便攜式祛皺機(jī)垃圾郵件���、醫(yī)療產(chǎn)品垃圾郵件和一夜致富垃圾郵件聯(lián)系到了一起。當(dāng)奧巴馬總統(tǒng)2008年7月將自己的競(jìng)選活動(dòng)擴(kuò)展到歐洲時(shí)��,垃圾郵件發(fā)送者及時(shí)地對(duì)其進(jìn)行跟蹤���,展開(kāi)了一次包含惡意軟件鏈接在內(nèi)的垃圾郵件發(fā)送運(yùn)動(dòng)�����。從奧巴馬總統(tǒng)于2009年1月20日宣誓就職以來(lái)�,包含他名字鏈接的垃圾郵件攻擊就從未斷過(guò)。
隨著奧巴馬總統(tǒng)的聲望持續(xù)攀升���,垃圾郵件發(fā)送者不斷地將郵件信息與他的名字聯(lián)系在一起以試圖躲避反垃圾郵件軟件的過(guò)濾���,這一點(diǎn)絲毫不令人吃驚。這是另一個(gè)垃圾郵件發(fā)送者利用當(dāng)前事件作為誘餌來(lái)傳播垃圾郵件信息的示例����。
前20個(gè)與"奧巴馬"、"巴拉克"有關(guān)的垃圾郵件主題如下:
1.緊急提示�!奧巴馬使美國(guó)失去醫(yī)療保健 – 馬上買藥吧
2.知道奧巴馬在醫(yī)療保健方面說(shuō)了些什么?!
3.奧巴馬的健康處于危險(xiǎn)之中
4.奧巴馬震驚了公共藥物行業(yè)!
5.奧巴馬深陷聳人聽(tīng)聞的丑聞中���!
6.新聞?���。��。W巴馬想使之合法化����!
7.奧巴馬虛偽的新法律
8.奧巴馬:死亡離我很近
9.奧巴馬是一個(gè)懦夫!證據(jù):
10.對(duì)奧巴馬計(jì)劃的揭示結(jié)果令人深感震驚
11.奧巴馬的妻子一絲不掛���!趕快來(lái)看吧
12.新聞?����。��?���!奧巴馬想使之合法化��!
13.奧巴馬建議AIG管理者進(jìn)行原始對(duì)沖交易
14.奧巴馬推出貸款修改計(jì)劃
15.奧巴馬感到震驚
16.奧巴馬
17.奧巴馬批準(zhǔn)網(wǎng)上銷售藥品
18.奧巴馬允許網(wǎng)上銷售藥品
19.奧巴馬批準(zhǔn)網(wǎng)上銷售控制性藥品
20.奧巴馬想幫助你得到所需的藥品���,讓你更健康����,感覺(jué)更好
圖:垃圾郵件發(fā)送者發(fā)起的針對(duì)奧巴馬總統(tǒng)的民意調(diào)查
垃圾郵件送上的母親節(jié)禮物
2009年5月10日星期日在世界上的許多國(guó)家是母親節(jié)��。許多人通過(guò)這一天來(lái)對(duì)自己的母親表示敬意���,垃圾郵件發(fā)送者卻一直在玷污這一節(jié)日����,他們將此日作為傳播垃圾郵件的誘餌�����。利用母親節(jié)發(fā)送垃圾郵件廣告的產(chǎn)品中包括鮮花�、相框、珠寶����、禮品卡、廚房相關(guān)產(chǎn)品以及屢見(jiàn)不鮮的減肥產(chǎn)品�����。
前10個(gè)與母親節(jié)有關(guān)的垃圾郵件主如下:
1.母親節(jié)鮮花��,起價(jià)19.99元 – FTD鮮花
2.母親節(jié)特賣����!鮮花19.99元起價(jià)
3.母親節(jié)鮮花,19.99元起價(jià)
4.用個(gè)性化禮品為母親帶來(lái)驚喜
5.母親節(jié)特價(jià)!鮮花僅需19.99元
6.母親節(jié)鮮花����,僅需19.99元
7.為母親節(jié)送上鮮花,僅需19.99元
8.離母親節(jié)僅有6天�!送上粉紅色的祝福
9.母親節(jié)特供。鮮花只需19.99元
10.今天就為母親送上電子賀卡
顯而易見(jiàn)���,垃圾郵件發(fā)送者一直相信��,如那些賀卡公司一樣����,當(dāng)他們將目標(biāo)對(duì)準(zhǔn)這一特殊節(jié)日時(shí)��,他們將獲得自己的投資回報(bào)����。
圖:母親節(jié)垃圾郵件數(shù)量變化
2009年4月僵尸主機(jī)活動(dòng)IP地址來(lái)源分析
僵尸是指某一計(jì)算機(jī)被病毒侵入,并被控制用于各種相關(guān)犯罪利益之目的��,如發(fā)送垃圾郵件��,作為垃圾郵件廣告網(wǎng)站的主機(jī)���、作為僵尸主機(jī)的DNS服務(wù)器����。我們對(duì)2009年4月活動(dòng)僵尸主機(jī)前十位的國(guó)家與2009年3月的垃圾郵件狀況報(bào)告中的結(jié)果進(jìn)行了比較��,結(jié)果如下表所示:
此表表明��,巴西繼續(xù)成為活動(dòng)僵尸主機(jī)數(shù)量最多的國(guó)家�����。俄羅斯和土耳其所占的份額分別為8%和7%����。有趣的是,美國(guó)下降了1%��,占全球活躍僵尸主機(jī)數(shù)量的5%���。顯而易見(jiàn)�����,在后McColo時(shí)代�,隨著垃圾郵件數(shù)量的持續(xù)上升(目前為McColo之前水平的94%),舊的僵尸網(wǎng)絡(luò)重新回歸到互聯(lián)網(wǎng)上�,產(chǎn)生新僵尸網(wǎng)絡(luò)的地區(qū)是那些IT基礎(chǔ)設(shè)施投資迅速增長(zhǎng)的地方。
垃圾郵件發(fā)送者找到了更多可濫用的免費(fèi)服務(wù)
頂級(jí)域名(TLD)是跟隨任何域名最后一個(gè)"."(dot)的域名部分��。ccTLD是為某個(gè)國(guó)家或獨(dú)立地區(qū)保留或使用的域名�,如co.uk。gTLD是全球頂級(jí)域名���,如com�����。2009年4月����,大約91%的垃圾郵件中包含URL�。
根據(jù)觀察,29%的URL中包含cn ccTLD,64%的URL中有com TL���。有趣的是��,3%的URL包含pl TLD����。包含pl TLD的垃圾郵件數(shù)量的增長(zhǎng)原因可部分歸結(jié)于包含擁有pl TLD的免費(fèi)網(wǎng)絡(luò)URL垃圾郵件信息數(shù)量的增長(zhǎng)。
那些允許用戶建立免費(fèi)賬戶的網(wǎng)站過(guò)去曾被垃圾郵件發(fā)送者用于推銷自己的產(chǎn)品和服務(wù)�����。這些垃圾郵件發(fā)送者使用這些免費(fèi)資源來(lái)建立賬戶的理由圍繞著一個(gè)關(guān)鍵點(diǎn) -垃圾郵件發(fā)送者想用最少的開(kāi)支來(lái)獲利����。對(duì)于垃圾郵件發(fā)送者來(lái)說(shuō)�����,關(guān)鍵是這些服務(wù)是免費(fèi)的�����,如果他們其中的一個(gè)URL被監(jiān)測(cè)到了�����,他們通?���?梢越⒘硗庖粋€(gè)免費(fèi)賬戶。隨著McColo的關(guān)閉��,顯而易見(jiàn),這些垃圾郵件發(fā)送者正尋找其他免費(fèi)服務(wù)來(lái)加以利用���。
本月數(shù)據(jù)分析參考
來(lái)源地區(qū)指過(guò)去30天內(nèi)來(lái)自特定國(guó)家和地區(qū)的垃圾郵件比例以及近期變化情況�����。
圖一:垃圾郵件來(lái)源地區(qū)
圖二:垃圾郵件來(lái)源地區(qū)變化
圖三:全球垃圾郵件類型分類:
垃圾郵件分類數(shù)據(jù)來(lái)源于賽門鐵克探測(cè)網(wǎng)絡(luò)(Symantec Probe Network)的信息分類搜集庫(kù)�。
圖四:垃圾郵件大小變化:
圖五:四月垃圾郵件平均大小
圖六:URL域名與垃圾郵件關(guān)聯(lián)度分析:
圖七:2009年4月URL-TLD域名來(lái)源比例:
