主页→关于我们→ 新闻

垃圾邮件演化报告：2009年9月

Maria Namestnikova

垃圾邮件占全部邮件的比例

2009年9月，垃圾邮件的数量占总邮件数量的平均比例为86.3%。最低和最高比例分别出现于9月18日和9月27日，对应的谷值和峰值分别为83.3%和91.3%。尤其值得注意的是，本月是自从卡巴斯基实验室对垃圾邮件趋势进行分析记录以来，第一次垃圾邮件比例始终保持在83%以上的月份。

2009年9月垃圾邮件占总邮件数量比例

包含恶意文件的邮件占全部邮件数量的1.22%。同上月的1.17%相比，比例略有上升。

包含恶意附件的垃圾邮件

2009年9月期间，包含的恶意附件的垃圾邮件

2009年9月期间，垃圾邮件携带的恶意程序Top10排行榜排名发生了很大的变化。上月的第一名，即Netsky蠕虫家族恶意程序本月风光不再。而在8月份，此家族恶意程序占全部垃圾邮件携带的恶意程序的三分之一。而本月在Top10的位置上只剩下一种变种是属于该家族的恶意程序，名为Win32.NetSky.q worm，而且排名区区第十。

很明显，本月FraudTool木马家族的恶意程序势头很强。几乎一半的含毒垃圾邮件中都包含此家族木马变种。而且正如其名称所示，这种木马会在受感染计算机上安装一个流氓反病毒程序。最近，此类恶意程序在互联网上非常猖獗。

出人意料的是，Trojan-Downloader.Win32.Murlo.cba木马位居本月Top10排行榜首位。这种木马并非某种新型的恶意程序，而是以往木马的一种变种。互联网上28.5%的含毒邮件都包含该木马。

同我们预测不符的是，Zbot家族木马在9月份竟然表现平平。只有一种名为Trojan-Spy.Win32.Zbot.gen的变种以0.81%的感染率位居排行榜第九。这种木马是一种间谍木马，主要用来窃取用户的机密数据。关于该变种的详情，请参阅：http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782783.

另外，8月份较流行的Bredolab家族后门恶意程序本月无缘排行榜前十名。

为了大量传播恶意程序，垃圾邮件散布者又开始故技重施，以压缩文件附件形式传播恶意程序，并在邮件中假冒人们比较信任的快递公司DHL或UPS发送提示信息。

此类垃圾邮件最早出现于2009年5月底至6月初之间。但是，从9月份开始，垃圾邮件散布者开始积极使用这种推广方式。而且，9月份假冒DHL的垃圾邮件同6月份的也有显著的区别。首先，6月份假冒DHL的垃圾邮件攻击目标是德国网民，邮件所用语言是德语。其次，6月份的垃圾邮件不使用压缩包，而是位于一个网页，网页上包含一个指向类似信息的链接。

9月份，形势发生了变化。假冒DHL的垃圾邮件俨然成为假冒UPS的垃圾邮件的“孪生兄弟”，而假冒UPS的垃圾邮件则没有什么变化。这意味着垃圾邮件散布者之间也在互相学习和借鉴各自使用的技术和欺诈手段。

这类邮件可以用来传播很多类型的恶意程序，包括Bredolab家族恶意程序。

一些假冒Western Union发送的垃圾邮件中也能见到类似的后门程序。这充分说明垃圾邮件散布者善于使用社交工程技巧。这种邮件一般会通知收件人准备接受一笔汇款，并声称邮件附件中包含接收汇款必需的所谓汇款控制码[MTCN]。当然，无须我们解释，读者也能明白附件中当然不包含什么MTCN。

此外，还有一类垃圾邮件也采用压缩格式的附件，附件中包含恶意内容。这种邮件也会假冒是正规机构发送的，不过这次假冒的却是在线商店。但事实上，这种伎俩并不高明，因为邮件中连商店名称、收件人地址和联系人信息都没有。

网络钓鱼

所有电子邮件中，有0.84%的邮件包含钓鱼网站链接，同8月份相比，有0.25%的降幅。本月，PayPal再次成为最容易受攻击组织的第一名。攻击数量同8月份相比，有显著上升（增幅18.68%），几乎达到7月份水平（7月和9月的攻击比例分别为40.19%和37.33%）。eBay仍保持8月份水平（有0.45%的增幅），在最容易受攻击组织中排名第三。排名第二的是IRS（美国国税局），针对它的攻击占所有9月份钓鱼攻击数量的11.08%。事实上，这些攻击也并非传统的钓鱼攻击。这些假冒IRS发送的邮件中还包含Zbot系列恶意软件（Trojan-Spy.Win32.Zbot）。上月的第一名，即CHASE 银行在8月份遭受的攻击数量增幅明显，但在本月仅排名第十一，没能入选最容易受攻击组织的前十名。针对它的钓鱼攻击占全部钓鱼攻击总数的2%，同八月份相比，下降了28%。

2009年9月最容易受钓鱼攻击的组织

到9月底，网络钓鱼者已经完善了他们的钓鱼技巧，他们所发的钓鱼邮件同PayPal所发的真实邮件已经非常相似了。

网络钓鱼者通常不会对PayPal的标志以及整体布局进行修改。此外，From（发件人）字段看上去也同正规邮件非常相似。但是，细心的用户还是能够立刻觉察出一些细微的异常之处。首先，正规邮件中包含的PayPal网站的链接指向的是合法资源。而假冒的钓鱼邮件中的链接却是简单的蓝色字体，而且只有一个链接有效。其次，邮件中的新闻标注的日期是2009年12月，但文字本身却声称“未来的十月”。另外，同PayPal发布的真实内容对比一下，也不难发现下面这句话暗示着此邮件很可能是钓鱼邮件：“由于服务协议变更，任何未经验证的账户在收到此信72小时内会被从系统中删除。”

网络钓鱼者虽然极尽所能模仿正规的邮件样式，但还是犯了一个明显的错误，遗漏了“http”中的字母“h”。这一错误将导致浏览器无法识别链接协议，也就无法将用户定向到钓鱼网站。幸运的是，即使一个非常大意的用户收到了这封钓鱼邮件，由于无法打开上面的网站，他也就无法将注册信息发给网络钓鱼者。

另一种有趣的网络攻击所针对的目标是英国Alliance&Leicester银行的客户，用户会收到一封内容如下的邮件：

毫无疑问，其中的链接会将用户指向一个钓鱼网站，网站会要求用户输入自己的登录名和密码，以便打开并浏览信息。奇怪的是，钓鱼者这次并没有甚至懒得掩盖其邮件是群发这个破绽。如果仔细观察To（收件人）字段，会发现所有的收件人名称都是以“Alexander”开头。

9月份，网络钓鱼者突然对WOW（魔兽争霸）游戏帐号产生了兴趣。关于此话题的更多详情，请参阅：http://www.viruslist.com/en/weblog?page=1.

垃圾邮件来源

9月份，美国重新爬升到垃圾邮件输出国的首位。互联网上几乎三分之一的垃圾邮件都源于美国（占全部垃圾邮件的32.47%，同8月份相比，增长了28.67%）。巴西位居第二，其输出的垃圾邮件只有上月份垃圾邮件数量的一半（本月5.97%，八月份11.8%）。其他排名前十位的垃圾邮件输出国还包括位居第三的越南（（-2.61%），然后依次是韩国（-1.3%）、中国（+0.3%）、俄罗斯和印度（-3%）。波兰在八月份排名第二，本月又恢复到其七月份水平，占全部垃圾邮件总数的3.25%（降幅4.75%）。源自英国的垃圾邮件数量比上月增加了0.1%，占总数量的2.1%，位居第九。