本期报告概要:
八月份,垃圾邮件占所有邮件数量的92.51%,与七月份的91.89%相比有所上升。七月份的报告中重点介绍了恶意软件垃圾邮件数量的上升。蛰伏一个月后,随着包含.zip附件的垃圾邮件成为关注的焦点,此类攻击卷土重来。与上个月相比,恶意软件垃圾邮件数量增长了三倍之多,而.zip附件垃圾邮件的数量增长了四倍。除了.zip附件外,包含恶意JavaScript的.html附件也来势汹汹。
从垃圾邮件来源方面来看,八月份,来自EMEA(欧洲、中东、非洲)地区的垃圾邮件数量继续下降,占整个垃圾邮件数量的43.17%,也就是说,自六月份创48.97%的新高后,其比例下降了五个百分点。北美地区借机发威,八月份,来自该地区的垃圾邮件占总数的25.78%,高于六月份的20.49%。同期内,拉美及亚太地区的比例则保持相对平稳。
在钓鱼攻击方面,该月的钓鱼总数增长了11%,其原因主要是自动工具包生成的钓鱼攻击数量的增长。自动工具包创建的钓鱼网站数量增长了92%。特殊URL攻击略有上升,增加了3%,而含有IP域名的钓鱼网站(例如:http://255.255.255.255)数量大幅度增长,约为147%。Web托管服务则占钓鱼总数的14%,与上个月相比增长了1%。八月份,非英语类钓鱼网站数量略有增长,约为1%。在非英语类钓鱼网站中,法语和意大利语类钓鱼攻击依然占较高比例。
本期报告主要内容:
◆2010年八月:垃圾邮件主题分析
◆.zip与.html附件垃圾邮件详解
◆利用《歌舞青春》的链接发动钓鱼攻击
◆钓鱼者将目标对准汽车销售品牌
◆国际垃圾邮件综述
本月热点事件分析:
2010年8月:垃圾邮件主题分析
八月份,.zip附件垃圾邮件是重点。这也反映在主题分析中,排名前十位的主题中有多个是.zip附件垃圾邮件。
.zip和.html附件垃圾邮件详解
上图显示了自六月中旬以来包含附件的垃圾邮件及包含.zip附件邮件的数量,说明了两个重要问题:
◆与之前的六个星期相比,八月份包含附件的垃圾邮件数量有大幅度增长。
◆如图表中所示,在八月份,表示附件垃圾邮件与.zip附件垃圾邮件的两条线之间的间隙很小,这说明.zip附件垃圾邮件在整个附件类垃圾邮件数量中占据绝大部分。
.zip附件垃圾邮件中的三大主要类别为:
◆含Trojan.Zbot变种的邮件
◆含Trojan.Sasfis变种的邮件
◆Wavy pill邮件
Trojan.Zbot旨在窃取所侵入的计算机中的机密信息,目标为系统信息、在线证书以及银行详细信息。它可以通过工具包来量身定制,从而搜集各种类型的信息。Trojan.Zbot主要利用发送垃圾邮件以及过路式下载的方式来进行传播。根据赛门铁克的观察,Trojan.Zbot能成为三大主要类别之一,也就不足为奇了。
这一邮件(见右图)声称包含了一个合法附件,并使用了各种矢量来试图证明自己的合法性。赛门铁克博客中也对一些例子进行了重点介绍,详情请点击这里与这里。在此示例中,垃圾邮件发送者利用关于名人的假新闻来引诱用户上当。
Trojan.Sasfis是一种下载和执行其他恶意内容的特洛伊木马。八月份,垃圾邮件发送者利用了各种各样运输/交付服务的品牌来引诱用户上当。
七月份的报告重点对波状图像技术进行了说明。垃圾邮件发送者开始将图像进行压缩,然后发送.zip附件,而不是直接附上图像。该手段与上述的两种特洛伊木马相结合的方式在.zip附件垃圾邮件中占了绝大比例。
除了.zip附件外,还有一个有趣的趋势。在第一个图表中,两条曲线的间距在月底时逐渐变宽,其原因是.html附件垃圾邮件数量的增长。这些.html文件中包含了恶意的JavaScript,并可以执行以下操作:
◆利用浏览器和插件漏洞来执行任意代码
◆显示假冒的防病毒扫描及欺诈信息
◆下载JavaScript、HTML和其他文件
◆劫持浏览器会话
◆将用户重定向到恶意网站
◆窃取个人/保密信息
赛门铁克建议用户在打开电子邮件中的附件时要保持警惕。用户还应确保实时更新自己的操作系统,并安装综合的安全套件。
利用《歌舞青春》的链接发动钓鱼攻击
2010年八月,赛门铁克观测到一些利用电影《歌舞青春》的链接、仿冒社交网络品牌的钓鱼网站。一般来说,钓鱼网站的设计要与原来的网站保持一致,这样才会使用户难辨真假。在过去的几个月里,一些假冒社交网络品牌的钓鱼网站却包含了与原始网站不太相同的地方。
那么,诈骗者为什么要设计这些与原始网站不同的钓鱼网页呢?事实上,他们将钓鱼网站做些修改,使网页看起来好像是原始网站正在宣传某些创意。在许多情况下,这些创意都与名人、特殊节日、色情、电影、热点事件等相关。这些所谓的创意中融入了钓鱼网站对原始网站的一些修改,如品牌的标识、网页背景以及图像等。
在这一特殊钓鱼网站中,诈骗者加入了一个图像,将其作为社交网络品牌的广告。这个图像是热门电影《歌舞青春》的照片。该钓鱼网页给人的印象是,这一社交品牌正在进行电视电影的宣传。登录信息中可以看到伪造的宣传词,要求用户登录到该网络中《歌舞青春》的网页上:
诈骗者的目的是为了引诱用户,使他们相信自己在登录此网站后可以观看到视频或阅读和讨论更多有关该电影的内容。当然,一旦用户输入了登录详情,钓鱼者便可成功的盗取信息,并将其用于恶意的目的。
这些钓鱼网站均依靠免费的Web托管站点。钓鱼URL表明其内容将是电影《歌舞青春》的链接。这是此类URL的一个例子:http://******/highschoolmusical.htm(域名隐去)
钓鱼者将目标对准汽车销售品牌
在过去的几个月里,赛门铁克观察到针对位于英国和美国的合法汽车销售品牌的钓鱼攻击。这些品牌帮助顾客销售新的和二手交通工具,如汽车和摩托车等。合法网站还为用户提供他们想要销售的车辆的广告服务。
有多个钓鱼网站被用来获取用户的保密信息。这些钓鱼网站依靠免费的Web托管服务。其中一个钓鱼网站的网页上声称该品牌正在为用户提供免费做广告的机会。该网页要求用户完成身份确认(虚假的)以获得本次免费做广告的机会。确认流程提示用户提交电子邮件地址、广告的ID和确认问题及答案。在这类攻击中,诈骗者试图通过“为了您,我们与诈骗战斗!”的标题使用户相信该钓鱼网页是真实的。事实恰恰相反,如果用户成为该钓鱼网站的牺牲品,钓鱼者就可成功地盗取他们的身份。
另一个钓鱼网站声称用户的账户被“暂停”,用户需要登录来重新激活自己的账户。当用户输入登录信息后,该网页将用户重定向到合法网站。
其他利用此类诈骗伎俩的钓鱼网站要求用户提供保密信息,其中包括用户的联系方式及信用卡信息。这些特殊的钓鱼网站声称,用户在购买自己所选的车辆时需要提交这些信息。要求提供的联系人信息包括:用户的姓名、地址、电话号码和电子邮件。信用卡信息包括:信用卡号码、信用卡有效期及安全代码。这些钓鱼攻击背后的主要动机是牟取经济利益。
国际垃圾邮件综述
以中国的父亲节作为促销机会的垃圾邮件数量有所增长。
在俄罗斯,垃圾邮件发送者已开始为新年做准备。在此示例中,垃圾邮件发送者希望用户订购2011年的日历。
上个月的报告中介绍了推销空调的俄语垃圾邮件,当时该国正饱受热浪之苦。热浪还导致了严重的森林大火,而垃圾邮件发送者也快速行动起来,借此电子邮件推销口罩和面具。另一个有趣的特点是,它是一封以俄语发音撰写的英文邮件。