赛门铁克2009年4月份 垃圾邮件现状报告

本月热点事件分析

垃圾邮件制造者借Conficker蠕虫病毒之名兜售假冒防病毒软件

Conficker蠕虫病毒曾被声称在愚人节爆发的日子，并有可能引发严重威胁。我们发现，一些垃圾邮件样本试图利用人们对Conficker（别名Downadup）的恐慌，提供一些号称可使用户免遭Conficker威胁的最新反病毒安全软件。在点击信息中的链接之后，我们发现，它把用户引向了某站点，并通知用户如何付钱。这有可能是攻击者获取用户信息的骗局，即便可以得到所述产品，它的有效性也仍然值得怀疑，因为它很可能是流氓应用程序或盗版软件。

目前赛门铁克公司已发布了针对W32.Downadup.E的最新安全定义。赛门铁克安全产品的启发式技术能够及时对新病毒进行分析与检测。同时，赛门铁克也提供针对Downadup病毒的免费移除工具Symantec FixDownadup.exe，用户可前往以下站点下载使用：http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

McColo被查封对于垃圾邮件数量的影响渐微

自从2008年11月垃圾邮件组织团伙McColo被查封以来，垃圾邮件数量曾显著减少，但现在已缓慢回升到了“正常水平”。旧的僵尸网络重新出现，同时新的僵尸网络还在不断繁衍。垃圾邮件数量目前已回到McColo被关闭前的91%。

“僵尸”电脑（俗称“肉鸡”）是指受到病毒远程控制的电脑，它通常被用于各种不法利益或传播病毒威胁，例如发送垃圾邮件，作为垃圾邮件广告网站的主机，以及充当僵尸电脑的DNS服务器。

以下是2009年3月僵尸电脑数量位居前十位的国家与其在2008年9月僵尸电脑数量对比的结果（见2008年10月的《赛门铁克垃圾邮件状况报告》）：

和2008年9月类似的是，欧洲/中东/非洲(EMEA)地区在2009年3月依然是僵尸主机IP地址的首要来源地，有45%的活跃的僵尸主机位于该地区。在EMEA地区的各国当中，俄罗斯目前位列首位，领先土耳其一个百分点，后者的活跃僵尸数量比去年9月减少了一半以上。虽然EMEA依然是首要的僵尸电脑来源地，但巴西所占的百分比跳升了五个百分点，达到14%，已成为全球首位僵尸主机IP地址来源国。随着巴西、印度、中国（中产阶级在这些国家迅速发展）继续在互联网和IT基础设施领域投入巨资，活跃僵尸电脑的来源地将不断变化。 

垃圾邮件制造者改变其针对“房产抵押”话题的战略

你是否因为房地产市场低迷而沮丧？“信用违约交换”这样的话题是否让你觉得脊背冰凉？垃圾邮件发送者来帮忙！2009年初以来，垃圾邮件发送者一直在利用抵押贷款行业的常用术语吸引房产市场的受困者。我们监测的术语包括：foreclose/foreclosure（止赎/丧失抵押品赎回权）、interest rates（利率）、mortage（房产抵押贷款）等。

看一看这些术语，会发现两个明显的特征。首先，如往常一样，垃圾邮件发送者一直在利用与经济低迷等等当前事件有关的术语作为其营销词汇。其次，某类垃圾邮件的主题正在悄然变化，比如标题为“快速挣钱”类垃圾邮件，它们实际上是一些围绕购买止赎住宅的诡计，然而很多垃圾主体信息中已不再直接使用“止赎”一类的字样。

前15个与抵押贷款有关的垃圾邮件主题如下：

1.回复：抵押贷款支付
2.抵押贷款信息
3.成功的重要手段就是抵押贷款
4.按邮政编码免费搜索全国的止赎清单！
5.创记录的止赎申请：住宅出让！
6.对止赎忧心忡忡？
7.嗨，妈妈，这可以支付你的抵押贷款
8.避免止赎
9.别让你的贷款人取消你的赎回权
10.住房抵押困境：你的30秒紧急援助
11.应对止赎
12.现在就让你的住房免遭止赎
13.减少你的抵押贷款：电视上的流行话题
14.来自止赎大师Robert Allen的免费书籍
15.你想了解反向抵押贷款是否适合自己吗？

纳税日倒计时——请勿通过邮件递交“纳税支出”

假如你是美国居民，并且尚未递交纳税申报单，那么你或许应该看一看以下内容。“美国纳税日”（美国时间4月14日）倒计时目前进入最后阶段，美国国税局(IRS)正在发布每日申报提示。

在美国，临近纳税日的这段日子已成为了仿冒美国国税局的网络钓鱼活动盛行的时期。正如赛门铁克此前公布的《垃圾邮件状况报告》所示，垃圾邮件发送者继续试图冒充美国国税局，用退税提议来引诱那些未起疑心的人们。

此类垃圾邮件的目标是那些还未意识到美国国税局“绝不通过电子邮件与纳税人沟通” 的收件人，而攻击的目的是骗取包括生日、借记卡/信用卡信息在内的用户个人信息。目前，这类与纳税有关的垃圾邮件攻击已不仅限于美国，因为垃圾邮件发送者企图冒充世界各地的税收部门。爱尔兰税务局最近就成为了最新的目标之一。

除了垃圾邮件发送者冒充美国国税局和其它税务部门以外，赛门铁克还注意到，垃圾邮件发送者在提供一些准备纳税时的省钱方法，以此吸引用户的眼球。

以下是前15个与纳税有关的垃圾邮件主题，排列顺序依照它们在2009年2月1日至3月23日这段时间出现在垃圾信息中的频率：

1.退税处理员职位——我们现在需要你的帮助 2.我们现在能帮你处理IRS债务 3.不想知道一些避税妙招吗？ 4.回复：你是否欠税？请参照 5.退税处理员职位使你有机会在家工作 6.退税处理员职位——轻松的工作——丰厚的报酬 7.想知道一些避税妙招吗？ 8.回复：需要我们帮你处理IRS退税吗？ 9. 97%的申请者可以获得IRS退税方面的帮助 10.担保和还税政策，还有大幅折扣！ 11.回复：你是否该获得退税？我们可以帮你 12.389美元的台式机，499美元的笔记本。纳税期内仅售两天！ 13.纳税额再也不会增加 14.用专家的纳税建议来与IRS打交道，免费咨询 15.在家上班的退税处理员职位，每天390美元报酬

     

“好奇害死猫！” 当心以恐怖活动做噱头的恶意垃圾邮件

看到这个不祥的标题行“当心你自己！”，兼具担忧和好奇心的收件人也许会不顾安全方面的后果，点击那些指向恶意站点的链接。在下面的这个例子中，地理定位服务被用于锁定信息接收者。“恐怖攻击”的地点各有不同，这当然取决于收信人所处的相对位置。

例如针对某地的收件人，垃圾邮件发送者说“今天早晨在圣帕布罗发生剧烈爆炸”，而在另一个地点，他们又说“今天早晨在普恩发生剧烈爆炸”。这条信息之后是一段关于爆炸的简短说明：“在一起炸弹爆炸事件中，至少12人被炸死，40多人受伤，爆炸是由一枚人体炸弹引起。”

垃圾邮件样本示例：

今天早上在圣巴布罗发生巨大爆炸事件 在圣巴布罗（San Pablo）一个市场附近发生的炸弹爆炸事件中至少有12人死亡，40多人受伤。当局认 为，爆炸是由“肮脏”炸弹引发。警方说，炸弹通过附近电缆被引爆。一位在自己店铺听到爆炸声的目 击者说：“这太可怕了！地板都在震动，很多人因此逃跑。”到目前为止，还没有人声称对本次事件负责。 如需最新Flash播放器观看视频内容，请点击这里下载。

某个著名的在线新闻栏目的logo被用来增加真实感。一些用户在看到垃圾邮件发送者给出的提示：“你需要最新版Flash播放软件才能观看视频内容，请点击此处下载。”人类的好奇心也许会占上风。用户不该点击这个链接，因为它包含了恶意软件的下载链接。人们不应低估恶意软件和垃圾邮件之间的联系。

垃圾邮件发送者经常利用人类的好奇心来诱惑收件人打开某条垃圾信息，并点击某个链接，或者诱使用户进行其它行为。在本例中，垃圾邮件发送者相信，把垃圾邮件内容与某个地理位置关联起来，他们就可以实现自己的目标。

本月数据分析参考

图一：垃圾邮件来源地区

来源地区指过去30天内来自特定国家和地区的垃圾邮件比例以及近期变化情况。

图二：垃圾邮件来源地区变化

图三：全球垃圾邮件类型分类：

垃圾邮件分类数据来源于赛门铁克探测网络（Symantec Probe Network）的信息分类搜集库。

图四：垃圾邮件大小变化：

图五：URL域名与垃圾邮件关联度分析：

图六：2009年3月URL-TLD域名来源比例：