近期趋势:
- 2010年第一季度,垃圾邮件占总体邮件数量的85.2%
- 包含指向钓鱼网站链接的邮件占总体邮件数量的0.57%
- 在所有垃圾邮件中,有11.7%含有图片类附件
- 排名前三位的垃圾邮件产出国包括美国、印度以及俄罗斯
- 垃圾邮件发布者开始将域名从.cn转移到.ru
垃圾邮件占全部电子邮件比例
邮件网关中的垃圾邮件情况
2010年第一季度,垃圾邮件平均占全部电子邮件总数量85.2%。此数据同2009年最终数据不谋而合。2010年3月上旬,垃圾邮件数量有明显下降。这可能是由于在2月底,Waledac垃圾邮件僵尸网络服务器的277个域名被关闭所造成的。但是,Waledac并不是垃圾邮件市场上最活跃的垃圾邮件发布组织,所以,很可能它并不是造成此次垃圾邮件数量大幅下降的原因。这一点同以往的McColo案例不同。
我们已经在上篇报告中介绍了垃圾邮件市场的组成。垃圾邮件占总体邮件数量的比例一直保持一个稳定状态,不会发生太大的变化,通常保持在84-87%之间波动。去年整体垃圾邮件数量有所下降,今年这个趋势也比较明显,这表明此类垃圾邮件比例已经接近最高值。其中记录到的最高值出现于2月21日,比例为90.8%,而最低值则出现于3月5日,比例为78%。
垃圾邮件来源
垃圾邮件来源(地区)
垃圾邮件来源地区
同去年相似,亚洲仍然是垃圾邮件的主要来源地(31.7%)。欧洲仅次于亚洲,以30.6%的比例屈居第二。如果我们将俄罗斯也归于欧洲,整个欧洲地区的垃圾邮件则占全部垃圾邮件数量的36.6%。
来源于南美的垃圾邮件数量有所下降。在2009年上半年,来源于南美的垃圾邮件曾经排名第二,占全部垃圾邮件数量的15%。目前,南美垃圾邮件数量占全部垃圾邮件数量的10.5%,同2008年的数据非常接近(11%)。
同时,来源于东欧的垃圾邮件数量却有所上升(16.4%)。2010年第一季度,可以明显看到源自此地区的垃圾邮件数量呈现动态增长趋势。
源于东欧以及中欧地区的垃圾邮件:增长动态
垃圾邮件来源(国家)
垃圾邮件来源
垃圾邮件来源国排名方面,没有显著的变化,也没有黑马杀出。美国依然居垃圾邮件出产国首位,排名第二和第三的分别是印度和俄罗斯。接下来则是一些来自东亚以及东欧地区的国家。去年居前10位的垃圾邮件来源国今年几乎全部上榜,只是排名略有不同。
巴西的情况有明显好转,从排名第三位下降到第六位。土耳其和中国本次则没有进入排名前10位的垃圾邮件出产国名单。造成中国垃圾邮件数量下降的原因有可能是政府实施的域名注册政策的收紧。乌克兰和德国则正相反,又重新进入排名前10位的垃圾邮件来源国的排行榜。2008年期间,这两个国家经常出现于此排行榜上,但是在2009年,他们一度没有上榜。
需要注意的是,从某个国家发送的垃圾邮件所使用的语言常常并非该国家的官方语言。例如,很多俄语内容的垃圾邮件发送地都来自印度,而巴西则会输出很多德语内容的垃圾邮件,德国却会输入数量不菲的西班牙语垃圾邮件。这是由于垃圾邮件所使用的语言并不取决于其发送的地理位置IP,而是取决于控制这些受感染计算机的僵尸网络。
垃圾邮件的体积大小
垃圾邮件的体积
通常情况下,垃圾邮件发布者一般选择发布体积较小的垃圾邮件,通常不会超过1KB。事实上,这种小邮件只包含一个链接,所以很难被根据内容进行检测和屏蔽的邮件过滤程序检测到。此外,发送这类体积较小的邮件,比较节省资源。另外,考虑到当今的计算机用户一旦发现所接受到的邮件为垃圾邮件,会立刻删除,所以,垃圾邮件发布者会尽量压缩其中的广告信息到一句话甚至一个词组,这样用户即使在按“删除”按钮前,就可以阅读完垃圾邮件中包含的广告信息。2010年第一季度,小体积的垃圾邮件平均占全部垃圾邮件数量的三分之一(31.3%)。而本季度中,体积超过50KB的垃圾邮件只占全部垃圾邮件数量的2.9%。
垃圾邮件中的恶意附件种类
垃圾邮件中的恶意附件种类
2010年第一季度中,大部分垃圾邮件包含的是HTML附件。值得注意的是,很多包含HTML附件的小体积邮件仅包含一个链接。所有垃圾邮件中,有8.7%的附件为jpeg格式,6.4%的附件为gif格式。有些邮件中jpeg和gif格式并存,内容是jpeg格式,而退订表格却采用gif格式。
包含图片内容的垃圾邮件平均占全部垃圾邮件数量的11.7%。其中,2月份是包含图片的垃圾邮件发送量最多的月份。
包含图片附件的垃圾邮件
网站钓鱼内容
2010年第一季度,包含指向钓鱼网站链接的垃圾邮件占全部邮件总数量的0.57%。1月份和2月份包含网站钓鱼内容的垃圾邮件比例同去年同期几乎相当。但是到3月份后,此类垃圾邮件比例急剧下降,平均只占到所有邮件总数的0.03%。目前,还无法解释发生此情况的原因,我们将进一步关注其最新发展。
包含指向钓鱼网站链接的垃圾邮件
同以往一样,最容易遭受钓鱼攻击的网站仍然PayPal。2010年第一季度期间,针对PayPal的钓鱼攻击占全部钓鱼攻击的一半还多。排名第二的最容易遭受钓鱼攻击的网站是eBay,同样没有出乎人们的医疗,针对eBay的攻击占全部钓鱼攻击总量的13.3%。
最容易遭受钓鱼攻击的组织(前十名)
出入意料的是Facebook竟然排到了第四名。这是我们首次开始对针对社交网站的攻击进行检测,并且发现此类攻击竟然如此猖獗。目前,Facebook是世界上最流行的社交网站,拥有超过4亿用户,而且用户数量还在不断增长。窃取到用户账号后,网络诈骗者可以利用这些账号发送垃圾邮件,并向账号主人以及其在Facebook网站的好友发送大量垃圾邮件。通过这种方式发送垃圾邮件,可以保证较大数量的接收率。此外,网络诈骗者还可以利用社交网站的一些额外功能,如发送不同的请求、照片链接以及邀请等,并且在这些信息中附上广告内容,同时发送到网站以及用户收件箱中。不仅如此,网络诈骗者还可以将用户在注册网站账号时输入的数据(例如电子邮箱地址等)收集起来,添加到其自身的数据库中。
有趣的是,从3月份开始,俄罗斯的社交网站VKontakte成为第25名最易遭受钓鱼攻击的网站。这表明该网站已经迈出俄罗斯的国门,在世界范围内进行扩张。
包含恶意附件的垃圾邮件
2010年第一季度,包含恶意文件附件的垃圾邮件占全部垃圾邮件数量的0.68%,同2009年最后一个季度相比,有0.3%的跌幅。
下图显示了不同地区由电子邮件造成的计算机感染的具体情况:
不同地区的电子邮件造成计算机感染情况
来自德国、英国、意大利、法国以及西班牙国家(即东欧国家)的用户所收到的垃圾邮件中,有超过35%的邮件都包含恶意附件。日本的垃圾邮件中有7.6%包含恶意附件,而亚洲的其他国家和地区,包括台湾、印度和中国的垃圾邮件中的13%包含恶意附件。美国包含恶意附件的垃圾邮件占全部垃圾邮件总数的7%。
2010年第一季度,垃圾邮件中最常见的前十位恶意文件如下所示:
垃圾邮件中最常见的前十位恶意文件
排首位的是一种名为Packed.Win32.Krap.x的加壳程序。此恶意程序在上个季度曾经排名第四。2010年初,我们发现垃圾邮件中出现Krap.x程序的数量几乎是2009年末的两倍。此外,Krap.x并不是排行榜中唯一出现的加壳程序,排名第六位的也是一种加壳程序,名为Packed.Win32.Katusha.j。事实上,此加壳程序是上季度传播范围最为广泛的新一代加壳程序Packed.Win32.Krap.ah的代表。
通常,Krap.ah (Katusha.j) 和 Krap.x被用来为木马僵尸程序以及其他流氓反病毒程序加壳。此外,Krap.x还经常被用来加壳一种名为Iksmas的邮件蠕虫程序,此蠕虫不仅具有窃取数据的功能,还能够进行垃圾邮件发送服务。
有趣的是,超过55%的包含Packed.Win32.Krap.x恶意程序的垃圾邮件发送地都属于发达国家,其中日本占16.7%,德国占12.7%,美国占大约8%。
此外,采用Krap.x加壳的恶意程序还经常伪装成Microsoft Outlook的更新程序,通过电子邮件进行传播和感染。
排名第二的常见恶意程序为Trojan-Spy.HTML.Fraud.gen木马。此恶意程序主要用来收集用户的个人信息和注册数据。2010年1月和3月期间,此恶意程序是通过电子邮件传播数量最多的恶意软件。
同Packed.Win32.Krap.x相似,超过70%的Trojan-Spy.HTML.Fraud.gen恶意软件样本均来自于发达国家,其中英国占39%。
排名第三位的是Trojan-Downloader.Win32.FraudLoad.gmx下载器木马。这种木马会下载其他恶意程序到受感染计算机,包括用户诈骗受感染用户钱财的流氓反病毒软件。接收到包含此木马垃圾邮件的用户往往都来自官方语言是英语的国家,例如英国、美国、澳大利亚和加拿大。有超过一半的Trojan-Downloader.Win32.FraudLoad.gmx样本都来自上述国家。尤其在三月份,此木马非常活跃,通过大量假冒的Facebook邮件进行传播。
垃圾邮件发布者转移到.ru域名
去年,垃圾邮件发布者使用最多的是中国域名,用于发布伟哥以及其他类型的垃圾邮件广告。到2009年底,中国政府开始收紧域名注册方面的政策,造成使用中国域名发送的垃圾邮件数量有明显下降。但不幸的是,这类垃圾邮件本身没有因此而消失,垃圾邮件发布者已经逐渐从.cn域名转移到.ru域名。
中国当局的这些措施造成三月份两个主要的中国域名注册公司Go Daddy 和 Network Solutions关闭了中文域名注册服务。因为新的措施要求IP地址提供商向中国官方提交能够证明他们身份的文件和照片。
结论
2010年初,整个垃圾邮件产业相对比较平静。电子邮件中的垃圾邮件数量停止增长,就2010年第一季度来说,并未超过去年同期的数据。考虑到近期的发展趋势,我们可以得出结论,垃圾邮件已经达到饱和状态。相关分析也表明,在过去的十年中,垃圾邮件占全部邮件的比例一直呈抛物线趋势发展。
从2000年初开始,垃圾邮件比例逐年翻番:2001年,垃圾邮件占全部邮件的15%,而到2002年,则达到30-40%,2003年达到50%,到2003年底,其比例已经高达70-80%。到2004年底,垃圾邮件产业开始成型,垃圾邮件在所有邮件中的比例增长速度开始减缓。但是从2004年到2009年期间,垃圾邮件比例却迅速上升到75%至85%。造成这一现象的原因很可能是垃圾邮件发布者开始使用新的互联网平台进行垃圾邮件的发布,如博客以及社交网络等。
虽然目前垃圾邮件数量基本保持稳定,但其输出区域却一直在变化。例如,2010年第一季度源自拉丁美洲的垃圾邮件数量有所下降,但源自于中欧以及东欧的垃圾邮件数量却呈现增长趋势。
第一季度,垃圾邮件发布者没有开放新的垃圾邮件投放技术。他们继续使用体积较小的垃圾邮件,从而实现快速以及大批量的发布。
网络诈骗者和病毒编写者充分利用垃圾邮件技术进行诈骗或恶意程序的传播。此外,病毒编写者还会利用社交网络传播他们编写的恶意程序。
2009年底,中国政府收紧了域名注册政策,使得垃圾邮件内容从.cn域名逐渐转移到.ru域名。如果俄罗斯以及其他各国在对抗此类问题方面也表现如此积极的话,由垃圾邮件造成的负面影响应该会减少很多。
