僵尸網(wǎng)絡(luò)的排名并不像我們想象的那么簡(jiǎn)單。該系列文章為大家總結(jié)了此類排名的邏輯順序：

僵尸電腦的數(shù)量

發(fā)送的垃圾郵件字節(jié)數(shù)

發(fā)送的垃圾郵件數(shù)量

從宏觀角度看，這之間的先后順序沒(méi)有什么重要性。但是技術(shù)專家們喜歡細(xì)節(jié)。計(jì)算僵尸電腦的數(shù)量或發(fā)送的字節(jié)數(shù)就已經(jīng)可以用來(lái)排序了。也許在加上發(fā)送郵件的數(shù)量就更是足夠了。

下面讓我們來(lái)認(rèn)識(shí)一下這十個(gè)垃圾郵件的僵尸網(wǎng)絡(luò)：

1: Grum (Tedroo)

Grum 可以說(shuō)是垃圾郵件僵尸網(wǎng)絡(luò)的未來(lái)。它采用了內(nèi)核模式的rootkit ，因此很難被檢測(cè)到。同時(shí)它還很狡猾，采用自動(dòng)執(zhí)行的注冊(cè)項(xiàng)來(lái)感染文件。這保證了惡意代碼可以被有效激活。對(duì)于安全研究人員來(lái)說(shuō)，這個(gè)垃圾郵件僵尸網(wǎng)絡(luò)是非常值得研究的。它的規(guī)模相對(duì)較小，僅有60萬(wàn)臺(tái)僵尸電腦，但是它每天發(fā)送的垃圾郵件數(shù)量占每日總垃圾郵件數(shù)量的四分之一，即400億條。

[[20282]]

Grum 發(fā)送的垃圾郵件大部分跟制藥行業(yè)有關(guān)，具體內(nèi)容我就不說(shuō)了。很明顯，這里面有與內(nèi)容相關(guān)的資金支持。#p#

2: Bobax (Kraken/Oderoor/Hacktool.spammer)

Bobax 多多少少與Kraken 僵尸網(wǎng)絡(luò)有聯(lián)系，這是讓僵尸網(wǎng)絡(luò)追蹤者困惑的一點(diǎn)。最近Bobax 又一次改寫(xiě)了代碼，該作者將命令和控制流轉(zhuǎn)變?yōu)榱薍TTP形式，使之更難以被攔截和追蹤。

[[20283]]

目前，Bobax 僅擁有10萬(wàn)臺(tái)僵尸電腦，但是每天發(fā)送的垃圾郵件數(shù)量達(dá)270億條，占全球每日垃圾郵件數(shù)量的15%。更具體一點(diǎn)，每臺(tái)僵尸電腦每分鐘就能發(fā)送出1400封垃圾郵件。Bobax 的垃圾郵件內(nèi)容種類多樣，看上去屬于租用形式。#p#

3: Pushdo (Cutwail/Pandex)

Pushdo 是在2007年和另一個(gè)僵尸網(wǎng)絡(luò) Storm同時(shí)出現(xiàn)的。Storm已經(jīng)不復(fù)存在了，但是Pushdo 卻越來(lái)越強(qiáng)大，每日從大約150萬(wàn)臺(tái)僵尸電腦中發(fā)送190億封垃圾郵件。 Pushdo 是一個(gè)下載器，通過(guò)它可以進(jìn)入被感染的電腦系統(tǒng)，并下載垃圾郵件程序Cutwail。

[[20284]]

Pushdo/Cutwail僵尸網(wǎng)絡(luò)發(fā)送的垃圾郵件內(nèi)容很雜，包括醫(yī)藥產(chǎn)品，網(wǎng)絡(luò)賭博，網(wǎng)絡(luò)釣魚(yú)郵件以及鏈接到包含惡意代碼網(wǎng)站的郵件。#p#

4: Rustock (Costrat)

Rustock 是另一個(gè)至今仍然幸存的僵尸網(wǎng)絡(luò)。在2008年McColo 關(guān)閉的時(shí)候，這個(gè)僵尸網(wǎng)絡(luò)幾乎被滅掉。但是如今它不但卷土重來(lái)，而且成為了規(guī)模最大的僵尸網(wǎng)絡(luò)，擁有大約200萬(wàn)臺(tái)僵尸電腦。在McColo之前，Rustock曾經(jīng)發(fā)送了海量的垃圾郵件，然后進(jìn)入了數(shù)個(gè)月的蟄伏期。如今，Rustock的特點(diǎn)是指在早上三點(diǎn)到七點(diǎn)間(美國(guó)東部時(shí)間)發(fā)送垃圾郵件。

Rustock 以用圖片文件偽裝合法新聞郵件的方式廣為人知。對(duì)于大多數(shù)垃圾郵件過(guò)濾軟件來(lái)說(shuō)，圖片垃圾郵件都是難以檢測(cè)的。另外，Rustock還發(fā)送常見(jiàn)的藥品廣告和基于Twitter的垃圾郵件，每日發(fā)送垃圾郵件總量在170億封左右。#p#

5: Bagle (Beagle/Mitglieder/Lodeight)

Bagle 這個(gè)僵尸網(wǎng)絡(luò)是因?yàn)槠渥髡叩那趭^而出名的。從2004年起，它被修改了上百次。兩年前，這個(gè)僵尸網(wǎng)絡(luò)的開(kāi)發(fā)者決定要利用Bagle掙錢，于是開(kāi)始兜售電子郵件地址庫(kù)。

如今的Bagle僵尸網(wǎng)絡(luò)扮演者中繼代理服務(wù)器的角色，它將上家的垃圾郵件轉(zhuǎn)發(fā)給最終的用戶。Bagle最多擁有大約50萬(wàn)臺(tái)僵尸電腦 ，但是每天的垃圾郵件發(fā)送量高達(dá)140億封。#p#

6: Mega-D (Ozdok)

Mega-D 是否是一個(gè)有名的僵尸網(wǎng)絡(luò)，這取決于你的觀點(diǎn)。在2009年11月，F(xiàn)ireEye 的研究人員本可以通過(guò)注銷該僵尸網(wǎng)絡(luò)命令和控制服務(wù)器域名的方式關(guān)停這個(gè)網(wǎng)絡(luò)。但是由于Mega-D 軟件有一定的智能性，不斷的重新生成新的域名，最終使得開(kāi)發(fā)者重新控制了這個(gè)網(wǎng)絡(luò)。

在前十大僵尸網(wǎng)絡(luò)中， Mega-D算是規(guī)模最小的了，它只有大約5萬(wàn)臺(tái)僵尸電腦。但是從每日發(fā)送110億封電子郵件的數(shù)量看，它可一點(diǎn)也不小。如果用每臺(tái)電腦每分鐘發(fā)送的垃圾郵件數(shù)量來(lái)排名，Mega-D僅次于Bobax。 Mega-D的垃圾郵件內(nèi)容包括網(wǎng)上藥店的廣告，以及男性功能增強(qiáng)藥物廣告。#p#

7: Maazben

Maazben 是在2009年6月才出現(xiàn)的新僵尸網(wǎng)絡(luò)，不過(guò)它也引起了研究人員的高度興趣。Maazben 是第一個(gè)既可以 基于代理服務(wù)器也可以基于模板的僵尸網(wǎng)絡(luò)。垃圾郵件發(fā)送者們喜歡使用基于代理服務(wù)器的模式，因?yàn)榇矸?wù)器可以將發(fā)送源隱藏起來(lái)。但是如果被感染的僵尸電腦位于NAT設(shè)備后方，基于代理服務(wù)器的方式就無(wú)法工作了。

[[20285]]

而新的技術(shù)肯定是有效的，因?yàn)镸aazben的擴(kuò)張速度驚人，其規(guī)模每月增長(zhǎng)5%，在前十大僵尸網(wǎng)絡(luò)中屬于增長(zhǎng)最快的僵尸網(wǎng)絡(luò)。目前Maazben 擁有約30萬(wàn)臺(tái)僵尸電腦，每天發(fā)送關(guān)于賭博的垃圾郵件25億封。#p#

8: Xarvester (Rlsloup/Pixoliz)

Xarvester 是在 McColo關(guān)停后浮現(xiàn)在人們視野里的。研究者認(rèn)為Xarvester僵尸網(wǎng)絡(luò)是從關(guān)停的前輩那里繼承了不少僵尸電腦。研究人員還發(fā)現(xiàn)了 Xarvester和另一個(gè)僵尸網(wǎng)絡(luò)Srizbi (McColo數(shù)據(jù)中心關(guān)停后受到影響的一個(gè)僵尸網(wǎng)絡(luò))之間的很多類似之處。

[[20286]]

目前Xarvester僵尸網(wǎng)絡(luò)擁有6萬(wàn)臺(tái)僵尸電腦，每日發(fā)送垃圾郵件25億封。其中主要內(nèi)容是藥品廣告，虛假文憑，山寨手表以及針對(duì)俄羅斯的垃圾郵件。#p#

9: Donbot (Buzus)

Donbot僵尸網(wǎng)絡(luò) 相當(dāng)獨(dú)特，它是第一批使用縮短網(wǎng)址的僵尸網(wǎng)絡(luò)，目的是隱藏垃圾郵件中的惡意鏈接地址。這么做可以有效增加郵件中鏈接的點(diǎn)擊率。另外Donbot 看上去還被分割成了幾個(gè)獨(dú)立的小部分，每個(gè)小的僵尸網(wǎng)絡(luò)負(fù)責(zé)發(fā)送不同類型的垃圾郵件。

Donbot 擁有10萬(wàn)臺(tái)僵尸電腦，每天發(fā)送的垃圾郵件量為8億封。郵件的內(nèi)容多樣，從減肥藥到股票債券等都有。#p#

10: Gheg (Tofsee/Mondera)

第十大僵尸網(wǎng)絡(luò)擁有三個(gè)明顯的特點(diǎn)。首先，該僵尸網(wǎng)絡(luò)發(fā)送的垃圾郵件按中，大約85%的垃圾郵件源自韓國(guó)。其次，Gheg 是為數(shù)不多的從命令和控制服務(wù)器到終端電腦間通過(guò)443端口采用非標(biāo)準(zhǔn)SSL連接和加密數(shù)據(jù)傳輸?shù)慕┦W(wǎng)絡(luò)。

第三，Gheg可以選擇如何發(fā)送垃圾郵件。它可以作為傳統(tǒng)的代理式垃圾郵件發(fā)送電腦，也可以通過(guò)被感染的網(wǎng)絡(luò)電子郵件服務(wù)器發(fā)送垃圾郵件。 Gheg擁有6萬(wàn)臺(tái)僵尸電腦，每天發(fā)送4億封垃圾郵件，內(nèi)容集中在制藥行業(yè)。

【編輯推薦】

1. 何謂垃圾郵件？為何至今仍難治理？
2. 用戶需警惕以日本地震為內(nèi)容的垃圾郵件
3. 企業(yè)垃圾郵件過(guò)濾器現(xiàn)狀 還可以做得更好嗎