本月全球垃圾邮件数量正持续回升,逐渐返回到原来的正常状态,目前为McColo关闭之前水平的94%。垃圾邮件种类也在持续波动,休闲和互联网类垃圾邮件分别减少8%和7%,金融类垃圾邮件上升6%。而甲型H1N1流感在全球的蔓延也成为垃圾邮件发送者当前用来扩大自己知名度的又一绝好机会。
2009年5月垃圾邮件报告的主要内容包括:
- 甲型H1N1流感引发新一轮垃圾邮件攻势
- 图像垃圾邮件卷土重来
- 垃圾邮件制造者发起的民意调查:奥巴马总统任职第一百天
- 垃圾邮件送上的母亲节礼物
- 2009年4月僵尸主机活动IP地址来源分析
- 垃圾邮件发送者找到了更多可滥用的免费服务
垃圾邮件比例:目前用来计算垃圾邮件比例的模型除了考虑SMTP层过滤外,还将网络层阻截因素考虑进来,因此可以更准确地分析互联网上的垃圾邮件的实际比例。
本月热点事件分析
甲型H1N1流感的爆发引发垃圾邮件的蔓延
墨西哥爆发的甲型H1N1流感以及其在全世界的蔓延一直成为新闻的头条,疾病控制中心和世界卫生组织一直在实时更新此方面的信息。赛门铁克也一直在密切监测利用这些信息发动的网络攻击。
目前监测到的前20个与甲型H1N1流感的爆发有关的垃圾邮件主如下:
1. 安吉丽娜.茱莉染上猪流感
2. 纽约的猪流感
3. 麦当娜染上猪流感
4. 美国防御猪流感!
5. 麦当娜染上猪流感!
6. 美国防御猪流感!
7. 美国的猪流感
8. 萨尔玛.海耶克染上猪流感!
9. 美国猪流感统计数字
10. 纽约猪流感受害者
11. 好莱坞发现猪流感!
12. 全世界猪流感爆发!
13. 美国第一位猪流感受害者!
14. 猪流感会袭击美国吗?
15. 赶快抓紧吧!抗猪流感药物即将售罄
16. 美国猪流感恐慌
17. 来此处购买防猪流感药物
18. 即刻订购防猪流感疫苗
19. 预防猪流感感染
20. 抵御猪流感死亡威胁!
我们发现,本月健康类垃圾邮件主要谈论的是能够抵御流感的药物,并提供各种相关药物网站的URL。另一个例子是向潜在的受害者发送附有恶意PDF附件的电子邮件,这些邮件向受害者承诺能够回答有关猪流感的问题。赛门铁克发现,恶意PDF文件名为Bloodhound.Exploit.6,而PDF中所包含的恶意文件是InfoStealer。其他有关猪流感垃圾邮件的例子包括西班牙语信息及视频的链接。垃圾邮件信息鼓励用户点击此视频链接,声称“以下视频介绍了病人从发病起到死亡可能表现出来的病症。以下图片可能不适合所有人,建议个人根据自己的情况来观看此视频。”
虽然猪流感垃圾邮件是否能导致猪流感垃圾邮件的全面爆发还不得而知,但以往的历史告诉我们,基于目前事件的垃圾邮件将持续下去,为的是引诱受害者,传播垃圾邮件信息。另外需注意的是,垃圾邮件发送者还将在发生在意大利的地震用于其信息中。同以往一样,用户在打开附件或点击URL链接时应多加小心。
图像垃圾邮件卷土重来
图像垃圾邮件的定义是,包含一个图像附件但邮件本身没有或有很少文字或HTML的垃圾邮件信息。所附图像常包含各种混淆技术,如对图像的颜色或字体进行细微改变及在图像中加入声音背景,目的是避开反垃圾邮件软件的监测。
鼓励收件者采取某行动的信息通常包含在图像附件中。在以下的示例中,垃圾邮件发送者会要求收件人在其浏览器的地址栏中输入某URL。如果该收件人执行了此动作,点击此URL,他就会被带入和一个推销某种医药产品的网站。
虽然目前图像垃圾邮件不像2007年(当时图像垃圾邮件占所有垃圾邮件的52%)时那样主宰整个垃圾邮件格局,但到2009年4月末为止,图像垃圾邮件平均占到所有垃圾信息的16%。
图:图像式垃圾邮件所占比例变化
随着图像垃圾邮件的卷土重来,我们还发现其他两条明显的垃圾邮件变化特征:
1. 垃圾邮件信息的平均大小有所增长,这对电子邮件基础设施将带来压力,也可能使最终用户无法接收到正常电子邮件。
2.包含URL的垃圾邮件数量减少,其原因是包含图像附件的垃圾邮件信息的主体内容中无URL。
根据最近举行的政治民意调查,奥巴马总体的支持率目前为65%。很显然,垃圾邮件发送者在其执政一百天后仍继续看好这位总统。我们发现,上几个星期中使用他的名字和受欢迎度来推销某些产品和服务的垃圾邮件数量有明显增长。
奥巴马成为垃圾邮件发送者的目标还要追溯到2008年,当时他和当时的挑战者约翰.麦凯恩参议员的名字与便携式祛皱机垃圾邮件、医疗产品垃圾邮件和一夜致富垃圾邮件联系到了一起。当奥巴马总统2008年7月将自己的竞选活动扩展到欧洲时,垃圾邮件发送者及时地对其进行跟踪,展开了一次包含恶意软件链接在内的垃圾邮件发送运动。从奥巴马总统于2009年1月20日宣誓就职以来,包含他名字链接的垃圾邮件攻击就从未断过。
随着奥巴马总统的声望持续攀升,垃圾邮件发送者不断地将邮件信息与他的名字联系在一起以试图躲避反垃圾邮件软件的过滤,这一点丝毫不令人吃惊。这是另一个垃圾邮件发送者利用当前事件作为诱饵来传播垃圾邮件信息的示例。
前20个与“奥巴马”、“巴拉克”有关的垃圾邮件主题如下:
1. 紧急提示!奥巴马使美国失去医疗保健 – 马上买药吧
2. 知道奥巴马在医疗保健方面说了些什么?!
3. 奥巴马的健康处于危险之中
4. 奥巴马震惊了公共药物行业!
5. 奥巴马深陷耸人听闻的丑闻中!
6. 新闻!!!奥巴马想使之合法化!
7. 奥巴马虚伪的新法律
8. 奥巴马:死亡离我很近
9. 奥巴马是一个懦夫!证据:
10. 对奥巴马计划的揭示结果令人深感震惊
11. 奥巴马的妻子一丝不挂!赶快来看吧
12. 新闻!!!奥巴马想使之合法化!
13. 奥巴马建议AIG管理者进行原始对冲交易
14. 奥巴马推出贷款修改计划
15. 奥巴马感到震惊
16. 奥巴马
17. 奥巴马批准网上销售药品
18. 奥巴马允许网上销售药品
19. 奥巴马批准网上销售控制性药品
20. 奥巴马想帮助你得到所需的药品,让你更健康,感觉更好
垃圾邮件送上的母亲节礼物
2009年5月10日星期日在世界上的许多国家是母亲节。许多人通过这一天来对自己的母亲表示敬意,垃圾邮件发送者却一直在玷污这一节日,他们将此日作为传播垃圾邮件的诱饵。利用母亲节发送垃圾邮件广告的产品中包括鲜花、相框、珠宝、礼品卡、厨房相关产品以及屡见不鲜的减肥产品。
前10个与母亲节有关的垃圾邮件主如下:
1. 母亲节鲜花,起价19.99元 – FTD鲜花
2. 母亲节特卖!鲜花19.99元起价
3. 母亲节鲜花,19.99元起价
4. 用个性化礼品为母亲带来惊喜
5. 母亲节特价!鲜花仅需19.99元
6. 母亲节鲜花,仅需19.99元
7. 为母亲节送上鲜花,仅需19.99元
8. 离母亲节仅有6天!送上粉红色的祝福
9. 母亲节特供。鲜花只需19.99元
10. 今天就为母亲送上电子贺卡
显而易见,垃圾邮件发送者一直相信,如那些贺卡公司一样,当他们将目标对准这一特殊节日时,他们将获得自己的投资回报。
2009年4月僵尸主机活动IP地址来源分析
僵尸是指某一计算机被病毒侵入,并被控制用于各种相关犯罪利益之目的,如发送垃圾邮件,作为垃圾邮件广告网站的主机、作为僵尸主机的DNS服务器。我们对2009年4月活动僵尸主机前十位的国家与2009年3月的垃圾邮件状况报告中的结果进行了比较,结果如下表所示:
此表表明,巴西继续成为活动僵尸主机数量最多的国家。俄罗斯和土耳其所占的份额分别为8%和7%。有趣的是,美国下降了1%,占全球活跃僵尸主机数量的5%。显而易见,在后McColo时代,随着垃圾邮件数量的持续上升(目前为McColo之前水平的94%),旧的僵尸网络重新回归到互联网上,产生新僵尸网络的地区是那些IT基础设施投资迅速增长的地方。
垃圾邮件发送者找到了更多可滥用的免费服务
顶级域名(TLD)是跟随任何域名最后一个“.”(dot)的域名部分。ccTLD是为某个国家或独立地区保留或使用的域名,如co.uk。gTLD是全球顶级域名,如com。2009年4月,大约91%的垃圾邮件中包含URL。
根据观察,29%的URL中包含cn ccTLD,64%的URL中有com TL。有趣的是,3%的URL包含pl TLD。包含pl TLD的垃圾邮件数量的增长原因可部分归结于包含拥有pl TLD的免费网络URL垃圾邮件信息数量的增长。
那些允许用户建立免费账户的网站过去曾被垃圾邮件发送者用于推销自己的产品和服务。这些垃圾邮件发送者使用这些免费资源来建立账户的理由围绕着一个关键点 –垃圾邮件发送者想用最少的开支来获利。对于垃圾邮件发送者来说,关键是这些服务是免费的,如果他们其中的一个URL被监测到了,他们通常可以建立另外一个免费账户。随着McColo的关闭,显而易见,这些垃圾邮件发送者正寻找其他免费服务来加以利用。
本月数据分析参考
图一:垃圾邮件来源地区
来源地区指过去30天内来自特定国家和地区的垃圾邮件比例以及近期变化情况。
图二:垃圾邮件来源地区变化
图三:全球垃圾邮件类型分类:
垃圾邮件分类数据来源于赛门铁克探测网络(Symantec Probe Network)的信息分类搜集库。
图四:垃圾邮件大小变化:
图五:四月垃圾邮件平均大小
图六:URL域名与垃圾邮件关联度分析:
图七:2009年4月URL-TLD域名来源比例:
