赛门铁克发布十月份垃圾邮件现状报告

本期报告概要:

2009年9月,垃圾邮件占邮件总量的比例略高于86%。携带恶意软件的垃圾邮件在所有垃圾邮件中的比例有明显上升,一度达到了4.5%,与上月相比,携带恶意软件的垃圾邮件数量增长了八倍。此外,本月发现的另外一个有趣的现象是,以推荐网络职业学校为噱头的垃圾邮件再次抬头,这类邮件主要以提供各类网络职业教育机会为主题,并鼓吹在很短时间内就能拿到学位,尽快帮助收件人获得新的职业发展机会。随着很多大学在8月和9月期间迎来新学期,而经济危机又迫使许多人迫切需要新的工作机会,因此这类骗术及有可能吸引更多收件人的注意。

本期报告主要内容:

垃圾邮件制造者办起职业教育速成班 Career Opportunities @ Spammers.EDU

垃圾邮件趋势聚焦:恶意垃圾邮件增多的启示

2009年9月垃圾邮件标题栏分析

假期垃圾邮件运动花样百出

俄罗斯垃圾邮件发送者每周工作三天

08年10月至09年9月垃圾邮件比例变化趋势:
垃圾邮件比例:这种用来计算垃圾邮件比例的模式不但纳入了SMTP层的过滤,还加入了网络层的阻截,因而更准确地体现了互联网上实际的垃圾邮件比例。

本月热点事件分析:

垃圾邮件制造者办起职业速成班
Career Opportunities @ Spammers.EDU
以推荐网络职业学校为噱头的垃圾邮件已经有一段历史了,这类邮件主要以提供各类网络职业教育机会为主题,鼓吹在很短时间内就能拿到学位,能尽快帮助收件人获得新的职业发展机会。随着很多大学在8月和9月期间迎来新学期,而经济危机又迫使许多人迫切需要新的工作机会,因此这类骗术及有可能吸引更多收件人的注意。

有趣的是,垃圾邮件发送者很有专业眼光,排行榜上的大多数职业是在当前经济形势下比较稳定的职业,以及经常出现缺口的职业,如护士。继五大学位后,榜上有名的职业包括:犯罪现场调查、超声波技师、药剂师、放射学、摄影师、助理律师和医疗销售等。

"职业速成班"中排名前五的学位:
1.警官
2.联邦探员
3.护士
4.厨师
5.教师

除了提供学位,这类垃圾邮件还使用一些专业术语。以下文字内容经常轮流出现于标题栏和发件人栏。

1.发件人栏:用词旨在表明此类职业需求的急迫性。
举例:
+++护士在招+++即刻上岗
教师在招
警官在招
摄影学校
厨师培训

2.标题栏:用词旨在鼓励收件人追求某一职业
举例:
成为犯罪现场调查员!!!
成为超声波技师
想成为一名教师吗
渴望成为厨师嘛!!

垃圾邮件趋势聚焦:恶意垃圾邮件增多的启示
最近数据显示,携带恶性软件的垃圾邮件比例呈明显上升趋势。2009年9月,携带恶意软件的邮件平均占邮件总量的1.3%,数量比上月提高了八倍,在垃圾邮件总量中的比例一度达到了4.5%的最高值。

尽管单纯的数字百分比增长乍看来显得无足轻重,但若考虑到在2009年9月垃圾邮件占邮件总量的比例已经高达86.39%,在这样庞大的基数下,恶意垃圾邮件将带来的威胁可想而知。

随着携带恶意软件的垃圾邮件的数量增多,垃圾邮件的平均大小也有所增加。从下文的垃圾邮件攻击向量图可以看出,2009年9月垃圾附件的数量有所增长;10k以上的垃圾邮件增多了5%,平均大小在0-2k之间的垃圾邮件减少了7%。众所周知,较大的邮件定会给IT资源造成严重负担,阻碍合法邮件传输到目标客户,更何况是较大的垃圾邮件。

过去一年中,不少从事于僵尸网络活动的互联网服务提供商被查封取缔。如,由于接到滥用投诉,在格林威治时间2008年11月11日21:30分左右,众多上游网络供应商关闭了McColo.com主系统的访问路径,此举带来的最有效的结果就是全球垃圾邮件发送量迅速大幅下降。但如今垃圾邮件又卷土重来,恶意软件的发送和某些机器的潜在感染性等因素将为多个僵尸网络的兴风作浪提供新的机会。

2009年9月垃圾邮件标题栏分析

所有垃圾邮件:9月标题栏 通知天数 所有垃圾邮件:8月标题栏 通知天数
1 少报收入通知 20 发送状态通知(失败) 31
2 发送状态通知(失败) 30 发送状态通知 31
3 系统退信 30 回复:订货状况 31
4 未送达邮件返回发送者 30 您的订货 31
5 感谢您单号为475456的订货 17 回复:信息 31
6 回邮:详见下文说明 30 返回邮件 31
7 推进3英寸 27 无应答 31
8 发送状态通知 30 新邮件 31
9 您的订货 22 返回邮件 31
10 回复:信息 20 未送达邮件返回发送者 31

在2009年9月报告中,垃圾邮件发送者使用的标题栏主要包括:发送状态通知(失败)、返回邮件和未送达邮件返回发送者。与这些标题栏相对应的是,未送达报告弹回垃圾邮件的增多。2009年9月,未送达报告弹回垃圾邮件的数量占垃圾邮件总量的平均比例为6.14%,较上个月增长0.4%,出现了与恶意软件相关的标题栏,包括"少报收入通知"、"感谢您单号为475456的订货"等。

2009年9月报告强调的两大明显与恶意软件有关的邮件攻击概括如下:

美国国税局(IRS)曾出台一项合法声明,允许拥有外国银行账户的美国纳税人在2009年9月23日前全面公开并支付相应的退税、利息、或罚金。垃圾邮件发送者利用这个机会以"少报收入通知"为主题,发送了伪造的IRS邮件通知,并诱导收件人点击伪造的URL链接来"下载并执行"所谓的美国国税局声明。经赛门铁克调查,这个名为"tax-statement.exe"的可执行的下载文件实为恶意软件。

第二个例子是标题栏为"感谢您单号为475456的订货"的垃圾邮件,邮件提示说包裹和现金可能没有送达。邮件内容会根据递送现金还是包裹有细微区别。赛门铁克公司的反病毒产品检测到此次垃圾邮件运动中所携带的已知的恶意软件实为"Packed.Generic.243"。

节日垃圾邮件运动花样百出

针对年末假期(如圣诞节)的垃圾邮件运动在2009年8月就已开展起来。受经济衰退的影响,加之消费者继续削减开支带来的压力,预计8月份就会出现以圣诞节主题为目标的垃圾邮件运动。而针对万圣节的垃圾邮件运动仍在继续中,此外还有印度的排灯节和中国的中秋节,以此证明节日垃圾邮件运动的确是花样百出。

• 在印度,10月份的排灯节是举国同欢的节日,绝大多数印度人都会外出购物,或者在节日期间做点买卖。以推销企业联系人信息(姓名、邮件地址、年龄、电话等)数据光盘的为由的垃圾邮件便通过添加"排灯节"这样的字眼来吸引收信人的眼球。以下邮件样例中所提供的数据库光盘涵盖了印度57000个中小型公司的联系方式。

在中国,中秋节是最重要的传统佳节之一。每年的农历8月15为中秋节,今年恰逢阳历10月3日。这一天,家家户户都会吃月饼、赏明月。亲朋好友互赠月饼、欢喜重逢已成为一大文化传统。果然,垃圾邮件发送者早在中秋前几周就开始推销月饼和节日礼品了。

俄罗斯垃圾邮件发送者每周工作三天
在2009年1月,推销当地各种商贸服务的俄罗斯垃圾邮件开始增多。这些邮件并未诱使收件人点击恶意网站,而是在正文的广告中加入电话号码和ICQ号码。最近出现了一种新的攻击向量,垃圾邮件发送者把混淆后的电话号码插入信息标头,包括在标题栏的数字之间插入某些符号(如+*^)。

随着俄罗斯出现这种新的垃圾邮件攻击向量,俄罗斯的垃圾邮件量也开始出现波动,在每周前几天达到峰值,具体就是周一、周二、周三这三天;垃圾邮件量在后来的几天出现下滑。7月和8月也出现了这种数量上的波动。