【51CTO.com 綜合消息】本期報告概要：

八月份，垃圾郵件占所有郵件數(shù)量的92.51%，與七月份的91.89%相比有所上升。七月份的報告中重點介紹了惡意軟件垃圾郵件數(shù)量的上升。蟄伏一個月后，隨著包含.zip附件的垃圾郵件成為關(guān)注的焦點，此類攻擊卷土重來。與上個月相比，惡意軟件垃圾郵件數(shù)量增長了三倍之多，而.zip附件垃圾郵件的數(shù)量增長了四倍。除了.zip附件外，包含惡意JavaScript的.html附件也來勢洶洶。

從垃圾郵件來源方面來看，八月份，來自EMEA（歐洲、中東、非洲）地區(qū)的垃圾郵件數(shù)量繼續(xù)下降，占整個垃圾郵件數(shù)量的43.17%，也就是說，自六月份創(chuàng)48.97%的新高后，其比例下降了五個百分點。北美地區(qū)借機發(fā)威，八月份，來自該地區(qū)的垃圾郵件占總數(shù)的25.78%，高于六月份的20.49%。同期內(nèi)，拉美及亞太地區(qū)的比例則保持相對平穩(wěn)。

在釣魚攻擊方面，該月的釣魚總數(shù)增長了11%，其原因主要是自動工具包生成的釣魚攻擊數(shù)量的增長。自動工具包創(chuàng)建的釣魚網(wǎng)站數(shù)量增長了92%。特殊URL攻擊略有上升，增加了3%，而含有IP域名的釣魚網(wǎng)站（例如：??http://255.255.255.255??）數(shù)量大幅度增長，約為147%。Web托管服務(wù)則占釣魚總數(shù)的14%，與上個月相比增長了1%。八月份，非英語類釣魚網(wǎng)站數(shù)量略有增長，約為1%。在非英語類釣魚網(wǎng)站中，法語和意大利語類釣魚攻擊依然占較高比例。

本期報告主要內(nèi)容：? 

◆2010年八月：垃圾郵件主題分析

◆.zip與.html附件垃圾郵件詳解 ? 

◆利用《歌舞青春》的鏈接發(fā)動釣魚攻擊? 

◆釣魚者將目標對準汽車銷售品牌? 

◆國際垃圾郵件綜述

本月熱點事件分析：

2010年8月：垃圾郵件主題分析

八月份，.zip附件垃圾郵件是重點。這也反映在主題分析中，排名前十位的主題中有多個是.zip附件垃圾郵件。

.zip和.html附件垃圾郵件詳解

??

 上圖顯示了自六月中旬以來包含附件的垃圾郵件及包含.zip附件郵件的數(shù)量，說明了兩個重要問題：

◆與之前的六個星期相比，八月份包含附件的垃圾郵件數(shù)量有大幅度增長。

◆如圖表中所示，在八月份，表示附件垃圾郵件與.zip附件垃圾郵件的兩條線之間的間隙很小，這說明.zip附件垃圾郵件在整個附件類垃圾郵件數(shù)量中占據(jù)絕大部分。

.zip附件垃圾郵件中的三大主要類別為：

◆含Trojan.Zbot變種的郵件

◆含Trojan.Sasfis變種的郵件

◆Wavy pill郵件

Trojan.Zbot旨在竊取所侵入的計算機中的機密信息，目標為系統(tǒng)信息、在線證書以及銀行詳細信息。它可以通過工具包來量身定制，從而搜集各種類型的信息。Trojan.Zbot主要利用發(fā)送垃圾郵件以及過路式下載的方式來進行傳播。根據(jù)賽門鐵克的觀察，Trojan.Zbot能成為三大主要類別之一，也就不足為奇了。

這一郵件（見右圖）聲稱包含了一個合法附件，并使用了各種矢量來試圖證明自己的合法性。賽門鐵克博客中也對一些例子進行了重點介紹，詳情請點擊這里與這里。在此示例中，垃圾郵件發(fā)送者利用關(guān)于名人的假新聞來引誘用戶上當。

??

Trojan.Sasfis是一種下載和執(zhí)行其他惡意內(nèi)容的特洛伊木馬。八月份，垃圾郵件發(fā)送者利用了各種各樣運輸/交付服務(wù)的品牌來引誘用戶上當。

??

七月份的報告重點對波狀圖像技術(shù)進行了說明。垃圾郵件發(fā)送者開始將圖像進行壓縮，然后發(fā)送.zip附件，而不是直接附上圖像。該手段與上述的兩種特洛伊木馬相結(jié)合的方式在.zip附件垃圾郵件中占了絕大比例。

除了.zip附件外，還有一個有趣的趨勢。在第一個圖表中，兩條曲線的間距在月底時逐漸變寬，其原因是.html附件垃圾郵件數(shù)量的增長。這些.html文件中包含了惡意的JavaScript，并可以執(zhí)行以下操作：

◆利用瀏覽器和插件漏洞來執(zhí)行任意代碼

◆顯示假冒的防病毒掃描及欺詐信息

◆下載JavaScript、HTML和其他文件

◆劫持瀏覽器會話

◆將用戶重定向到惡意網(wǎng)站

◆竊取個人/保密信息

賽門鐵克建議用戶在打開電子郵件中的附件時要保持警惕。用戶還應確保實時更新自己的操作系統(tǒng)，并安裝綜合的安全套件。

利用《歌舞青春》的鏈接發(fā)動釣魚攻擊

2010年八月，賽門鐵克觀測到一些利用電影《歌舞青春》的鏈接、仿冒社交網(wǎng)絡(luò)品牌的釣魚網(wǎng)站。一般來說，釣魚網(wǎng)站的設(shè)計要與原來的網(wǎng)站保持一致，這樣才會使用戶難辨真假。在過去的幾個月里，一些假冒社交網(wǎng)絡(luò)品牌的釣魚網(wǎng)站卻包含了與原始網(wǎng)站不太相同的地方。

那么，詐騙者為什么要設(shè)計這些與原始網(wǎng)站不同的釣魚網(wǎng)頁呢？事實上，他們將釣魚網(wǎng)站做些修改，使網(wǎng)頁看起來好像是原始網(wǎng)站正在宣傳某些創(chuàng)意。在許多情況下，這些創(chuàng)意都與名人、特殊節(jié)日、色情、電影、熱點事件等相關(guān)。這些所謂的創(chuàng)意中融入了釣魚網(wǎng)站對原始網(wǎng)站的一些修改，如品牌的標識、網(wǎng)頁背景以及圖像等。

在這一特殊釣魚網(wǎng)站中，詐騙者加入了一個圖像，將其作為社交網(wǎng)絡(luò)品牌的廣告。這個圖像是熱門電影《歌舞青春》的照片。該釣魚網(wǎng)頁給人的印象是，這一社交品牌正在進行電視電影的宣傳。登錄信息中可以看到偽造的宣傳詞，要求用戶登錄到該網(wǎng)絡(luò)中《歌舞青春》的網(wǎng)頁上：

??

詐騙者的目的是為了引誘用戶，使他們相信自己在登錄此網(wǎng)站后可以觀看到視頻或閱讀和討論更多有關(guān)該電影的內(nèi)容。當然，一旦用戶輸入了登錄詳情，釣魚者便可成功的盜取信息，并將其用于惡意的目的。

這些釣魚網(wǎng)站均依靠免費的Web托管站點。釣魚URL表明其內(nèi)容將是電影《歌舞青春》的鏈接。這是此類URL的一個例子：??http://******/highschoolmusical.htm??（域名隱去）

釣魚者將目標對準汽車銷售品牌

在過去的幾個月里，賽門鐵克觀察到針對位于英國和美國的合法汽車銷售品牌的釣魚攻擊。這些品牌幫助顧客銷售新的和二手交通工具，如汽車和摩托車等。合法網(wǎng)站還為用戶提供他們想要銷售的車輛的廣告服務(wù)。

有多個釣魚網(wǎng)站被用來獲取用戶的保密信息。這些釣魚網(wǎng)站依靠免費的Web托管服務(wù)。其中一個釣魚網(wǎng)站的網(wǎng)頁上聲稱該品牌正在為用戶提供免費做廣告的機會。該網(wǎng)頁要求用戶完成身份確認（虛假的）以獲得本次免費做廣告的機會。確認流程提示用戶提交電子郵件地址、廣告的ID和確認問題及答案。在這類攻擊中，詐騙者試圖通過“為了您，我們與詐騙戰(zhàn)斗！”的標題使用戶相信該釣魚網(wǎng)頁是真實的。事實恰恰相反，如果用戶成為該釣魚網(wǎng)站的犧牲品，釣魚者就可成功地盜取他們的身份。

??

另一個釣魚網(wǎng)站聲稱用戶的賬戶被“暫?！保脩粜枰卿泚碇匦录せ钭约旱馁~戶。當用戶輸入登錄信息后，該網(wǎng)頁將用戶重定向到合法網(wǎng)站。 

??

其他利用此類詐騙伎倆的釣魚網(wǎng)站要求用戶提供保密信息，其中包括用戶的聯(lián)系方式及信用卡信息。這些特殊的釣魚網(wǎng)站聲稱，用戶在購買自己所選的車輛時需要提交這些信息。要求提供的聯(lián)系人信息包括：用戶的姓名、地址、電話號碼和電子郵件。信用卡信息包括：信用卡號碼、信用卡有效期及安全代碼。這些釣魚攻擊背后的主要動機是牟取經(jīng)濟利益。

??

國際垃圾郵件綜述

以中國的父親節(jié)作為促銷機會的垃圾郵件數(shù)量有所增長。  

??

在俄羅斯，垃圾郵件發(fā)送者已開始為新年做準備。在此示例中，垃圾郵件發(fā)送者希望用戶訂購2011年的日歷。  

??

上個月的報告中介紹了推銷空調(diào)的俄語垃圾郵件，當時該國正飽受熱浪之苦。熱浪還導致了嚴重的森林大火，而垃圾郵件發(fā)送者也快速行動起來，借此電子郵件推銷口罩和面具。另一個有趣的特點是，它是一封以俄語發(fā)音撰寫的英文郵件。

??

附錄一："要"與"不要" 安全秘訣，以應對垃圾郵件，保護你的企業(yè)、員工和客戶

要：

1. 退訂你不再希望接收的正常郵件。申請接收郵件時，確定你同時選擇接收的其它項目。取消你不想接收的郵件項目。

2. 精心選擇注冊電子郵件地址的網(wǎng)站。

3. 避免在互聯(lián)網(wǎng)上公布自己的電子郵件地址?？紤]其它選擇 – 例如，訂閱郵件時使用其它郵箱地址；不同郵箱地址用于不同目的，或可考慮一次性電子郵件地址服務(wù)。

4. 使用郵件管理員提供的郵件地址，如果可能的話，報告漏檢的垃圾郵件。

5. 刪除所有的垃圾郵件。

6. 不要點擊電子郵件或IM信息中的可疑鏈接，因為它們可能會鏈接到釣魚網(wǎng)站。我們建議在瀏覽器中直接輸入網(wǎng)站地址，而不要依賴電子郵件提供的鏈接。

7. 時刻確保你的操作系統(tǒng)已進行實時更新，使用綜合安全軟件套裝。更多有關(guān)賽門鐵克安全保護產(chǎn)品的詳情，請登錄公司網(wǎng)站：??http://www.symantec.com??。 ?

8. 考慮采用一個知名反垃圾郵件解決方案，如賽門鐵克的Brightmail郵件安全綜合解決方案，以解決整個組織范圍的郵件過濾問題。

9. 訪問賽門鐵克的垃圾郵件狀態(tài)網(wǎng)站，掌握垃圾郵件的最新趨勢，網(wǎng)址是：??http://www.symantec.com/spam??。

不要：

1. 打開未知的電子郵件附件。這些附件可能使你的電腦感染上病毒。

2. 回復垃圾郵件。一般來說，發(fā)信人的電子郵件地址都是偽造的，回復郵件只會帶來更多的垃圾郵件。

3. 填寫郵件中要求提供個人信息、財務(wù)信息或密碼的表格。知名公司不可能通過電子郵件形式要求你提供自己的個人詳情。如果有疑問，請通過獨立的、可信的渠道聯(lián)系該公司，如通過核實的電話號碼，或?qū)⒁阎木W(wǎng)絡(luò)地址輸入到新的瀏覽窗口（不要點擊郵件中鏈接，或復制粘貼郵件中的鏈接）。

4. 根據(jù)垃圾郵件信息購買產(chǎn)品或服務(wù)。

5. 打開垃圾郵件信息。

6. 轉(zhuǎn)發(fā)垃圾郵件提供的病毒警告，這些警告通常是圈套。

附錄二：本月數(shù)據(jù)分析參考

圖一：垃圾郵件來源地區(qū)  

??

圖二：垃圾郵件來源地區(qū)變化趨勢  

??

圖三：釣魚攻擊方式的分布  

??

圖四：釣魚攻擊的對象分布