由于將IP地址列入黑名單措施的成功實(shí)施，因此全球垃圾郵件的數(shù)量不斷下降，但是，根據(jù)一名惡意軟件專(zhuān)家的說(shuō)法，IPv6互聯(lián)網(wǎng)協(xié)議的采用可能會(huì)導(dǎo)致互聯(lián)網(wǎng)服務(wù)提供商在使用反垃圾郵件軟件設(shè)置IP地址黑名單時(shí)產(chǎn)生許多問(wèn)題。

“我們必須將這些垃圾郵件程序放入黑名單中，” 戴爾SecureWorks 計(jì)算機(jī)安全公司威脅應(yīng)對(duì)部門(mén)惡意軟件研究主管Joe Stewart表示。“我擔(dān)心的是，互聯(lián)網(wǎng)服務(wù)供應(yīng)商將繼續(xù)使用這些IP地址，并且你所訪(fǎng)問(wèn)的位置恰恰是黑名單中的IP地址，而這些IP地址沒(méi)有能擴(kuò)展到IPv6互聯(lián)網(wǎng)協(xié)議中?！?/P>

設(shè)置IP黑名單僅僅是一個(gè)用來(lái)防止垃圾郵件的很簡(jiǎn)單的方法，因?yàn)榫W(wǎng)絡(luò)犯罪分子可以在數(shù)小時(shí)內(nèi)通過(guò)新的IP地址不然重復(fù)發(fā)送垃圾郵件，Stewart說(shuō)。網(wǎng)絡(luò)犯罪分子也能夠劫持已知的IP地址，例如，盜取一個(gè)郵件帳戶(hù)地址，然后繞過(guò)黑名單的設(shè)置，造成網(wǎng)絡(luò)郵件提供商的癱瘓。

互聯(lián)網(wǎng)工程任務(wù)組(IETF)正在支持對(duì)IPv6互聯(lián)網(wǎng)協(xié)議的部署，IPv6互聯(lián)網(wǎng)協(xié)議將使IP地址長(zhǎng)度從32位擴(kuò)展到128位，因?yàn)榛ヂ?lián)網(wǎng)的發(fā)展正在使IP地址不斷減少。 IPv6互聯(lián)網(wǎng)協(xié)議的部署使網(wǎng)絡(luò)服務(wù)供應(yīng)商可以通過(guò)簡(jiǎn)單的方法提供給用戶(hù)所需的IPv6地址，而不是靜態(tài)地址，Stewart說(shuō)。使用靜態(tài)IP地址是很好，因?yàn)槟憧梢杂肋h(yuǎn)將發(fā)送垃圾郵件的地址置于IP地址黑名單中，” 他說(shuō)。給使用者分配一個(gè)靜態(tài)IP地址對(duì)于互聯(lián)網(wǎng)服務(wù)供應(yīng)商來(lái)說(shuō)過(guò)于昂貴了而且需要做大量的工作。

在2011年RSA信息安全會(huì)議上，Stewart發(fā)表了一份新的戴爾SecureWorks計(jì)算機(jī)安全公司的報(bào)告，根據(jù)Stewart的說(shuō)法，這個(gè)問(wèn)題可能會(huì)導(dǎo)致消費(fèi)者的成本增加。除了概述關(guān)于IPv6部署所帶來(lái)的潛在威脅外，報(bào)告詳細(xì)介紹了僵尸網(wǎng)絡(luò)程序應(yīng)該為其所產(chǎn)生的垃圾郵件和惡意軟件帶給計(jì)算機(jī)用戶(hù)的損失負(fù)責(zé)。 “這不僅僅是那些公司所接收到的垃圾郵件，還有來(lái)自于通過(guò)垃圾郵件程序擴(kuò)散所產(chǎn)生，” Stewart說(shuō)

很多公司還沒(méi)有注意到垃圾郵件程序?qū)τ诠镜念A(yù)算所產(chǎn)生的巨大影響，但是它能夠?qū)е缕渌枰ê芏噱X(qián)才能解決的問(wèn)題，Stewart說(shuō)。公司應(yīng)仔細(xì)檢查已受感染的計(jì)算機(jī)，并確定他們是否應(yīng)該被鏡像恢復(fù)，他說(shuō)。

“很多時(shí)候，垃圾郵件程序僅僅是冰山一角，” Stewart說(shuō)。 “隨著安裝付費(fèi)式惡意軟件的不斷出現(xiàn)，每次當(dāng)一個(gè)垃圾郵件程序運(yùn)行時(shí)，我們就會(huì)看到三個(gè)或更多的惡意軟件隨著它一起被安裝。”

根據(jù)戴爾SecureWorks計(jì)算機(jī)安全公司報(bào)告的解釋?zhuān)琑ustock惡意軟件仍然是垃圾郵件輸出的主要源頭，估計(jì)有25萬(wàn)臺(tái)計(jì)算機(jī)被此惡意軟件感染而傳播垃圾郵件和惡意軟件。 Rustock惡意軟件通過(guò)它的隱秘性感染W(wǎng)indows電腦。它被設(shè)計(jì)成rootkit程序文件，并隱藏在Windows計(jì)算機(jī)的內(nèi)部。Stewart說(shuō)Rustock惡意軟件是最為創(chuàng)新的僵尸網(wǎng)絡(luò)程序，并且目前還沒(méi)有另一個(gè)挑戰(zhàn)者出現(xiàn)。

網(wǎng)絡(luò)罪犯通過(guò)Rustock惡意軟件可以通過(guò)竊取和逃避病毒掃描程序。它使用加密技術(shù)來(lái)掩飾命令和控制指令，以避免被網(wǎng)絡(luò)管理員終止其行為。

“隱藏在Rustock惡意軟件后面的人正在盡其所能維持這個(gè)最強(qiáng)大的僵尸網(wǎng)絡(luò)程序，使其為他們賺錢(qián)，” Stewart說(shuō)。

Cutwail病毒是僵尸網(wǎng)絡(luò)程序中最有競(jìng)爭(zhēng)力的病毒之一。許多僵尸網(wǎng)絡(luò)程序使用Cutwail病毒代碼來(lái)自我復(fù)制垃圾郵件，從而不斷擴(kuò)大其僵尸網(wǎng)絡(luò)。

其它的一些著名的僵尸網(wǎng)絡(luò)包括Lethic，Grum，F(xiàn)esti和Maazben。Stewart說(shuō)，垃圾郵件程序的大小并不意味著它可能帶來(lái)的威脅就小。

“他們肯定都擁有一個(gè)較高的水平，因?yàn)樗鼈兛梢远阍诓《緬呙璩绦蛑虏粫?huì)被發(fā)現(xiàn)，” Stewart說(shuō)。 “他們并沒(méi)有保持一個(gè)很高的姿態(tài)，因此很難去發(fā)現(xiàn)它們，目前僵尸網(wǎng)絡(luò)已經(jīng)有5000或20,000個(gè)僵尸程序，它們?nèi)绱酥?，因此變的更加?qiáng)大?！?/P>

Stewart指出，去年FireEye公司的研究人員對(duì)臭名昭著的Mega-D僵尸網(wǎng)絡(luò)倒閉事件研究顯示該病毒有復(fù)蘇的跡象。該僵尸網(wǎng)絡(luò)的制造者出生于莫斯科，在美國(guó)威斯康星州接受刑事訴訟，他被指控創(chuàng)建和運(yùn)營(yíng)Mega-D僵尸網(wǎng)絡(luò)。被該僵尸程序感染的計(jì)算機(jī)可以用來(lái)傳播和發(fā)送垃圾郵件廣告，其每天估計(jì)可以發(fā)出了超過(guò)千萬(wàn)的垃圾郵件。

“我認(rèn)為這表明，如果一家公司把某些不確定的資源放入到域名中，那么這些僵尸網(wǎng)絡(luò)就會(huì)獲得成功，” Stewart 說(shuō)。 “捕獲這些病毒是不夠的，從長(zhǎng)遠(yuǎn)來(lái)看，需要解決的是防止僵尸網(wǎng)絡(luò)的擴(kuò)散?！?/P>

Stewart在他的報(bào)告中指出，不可能去指責(zé)那些擁有Mega-D代碼的人，因此在未來(lái)可能還會(huì)出現(xiàn)類(lèi)似的病毒。

更多內(nèi)容請(qǐng)瀏覽：RSA 2011大會(huì)專(zhuān)題