赛门铁克总结08年12月垃圾邮件状况.doc

　　赛门铁克总结08年12月垃圾邮件状况～教育资源库 　　2008年11月初发生了垃圾邮件历史上的一个重要里程碑事件，由网上志愿者组成的一个互联网安全联盟HostExploit通过长时间追踪和记录之后，曝光了目前最大的垃圾邮件组织团伙之一McColo，使得本月被确定为垃圾邮件的比例大幅度下降，该公司曾托管了全球大量僵尸网络控制系统。然而最近垃圾邮件数量的猛增表明，垃圾邮件活动正试图恢复到以往的正常状态，这意味着虽然垃圾邮件在此役中败北，但打击垃圾邮件的战争还远未结束。 　　本月另外一部重头戏是无处不在的圣诞礼物垃圾邮件，似乎如果没有兜售冒牌手表或类似圣诞礼品的垃圾邮件，一个就是节日好像就少点什么。 　　以下是赛门铁克12月垃圾邮件现状报告中的主要发现： 　　圣诞气氛无处不在 　　垃圾邮件组织团伙遭曝光，垃圾邮件数量短期下降 　　图片垃圾邮件数量表明，老狗的战斗力犹存 　　与美国总统竞选相关的垃圾邮件活动仍余音未了 　　伴随个人纳税期而来的垃圾邮件 　　不认识英文? Ecco lo Spam Italiano! 　　赌博类垃圾邮件数量攀升 　　孟买恐怖袭击揭示垃圾邮件发送者最丑陋的面目 　　被确定为垃圾邮件的电子邮件比例 　　全球互联网邮件网关垃圾邮件比例(TP层的过滤，并且不包括在网络层级所检测到的电子邮件数量。 　　图1 　　添加的趋势曲线表示一周内的平均动向 　　全球垃圾邮件分类： 　　垃圾邮件分类数据于赛门铁克探测网络（Symantec Probe Netization），通常也被合法邮件发送者使用。然而，通过对一些合法邮件主题的观察，我们能够发现垃圾邮件发送者采取的固定模式，通过将合法邮件的主题做稍微修改，以避开某些反垃圾邮件的过滤器。下面是此方面的几个示例 　　主题：圣诞节惊人价 　　图4 　　主题：圣诞节惊人特卖 　　请点击链接以获得精选礼品的更多详细信息，高档手表、女包，应有尽有。 　　图5 　　主题：年轻一代的超酷圣诞 　　图6 　　这一图表显示，垃圾邮件发送者虽然改变了自己的策略，试图绕开反垃圾邮件过滤器，他们仍继续不遗余力地试图传播自己的垃圾信息。但愿圣诞之灵能够光顾这些垃圾邮件发送者，使他们痛改前非。 　　圣诞季垃圾邮件分类 　　图7 　　垃圾邮件组织团伙遭曝光，垃圾邮件数量短期下降 　　约在2008年11月11日美国东令时晚21:30 ，多个上游网络提供商根据顾客投诉，关闭了McColo.垃圾邮件托管系统的登录权。此举所产生的一个直接结果就是全世界范围垃圾邮件数量迅速且实现大幅降低。赛门铁克监测网络第一时间捕捉到网络流量的变化，该网络发现McColo.co 123下一页 友情提醒：，特别！m网站关闭前二十四小时与关闭后二十四小时的流量相比下降了65%。 　　赛门铁克从这一事件中观察到了多个有趣的现象。其中的一个发现就是，关闭一个托管公司能会对垃圾邮件的总量产生如此之大的影响。然而，鉴于McColo.托管了全球大量的僵尸网络控制系统，这一发现也不足为怪。过去，他们的IP地址曾与Rustock下载器的报告相关联，同时还控制着spambot组件。通过切断这些系统与被它们控制的僵尸电脑之间的联系，就能够有力控制从僵尸网络（如Rustock 和Srizbi）发送垃圾邮件的能力。垃圾邮件数量下降的速度也证明了这样一个事实，即，虽然僵尸网络发展势头强劲，但仍可通过切断关键的指挥控制链来对其有效遏制。 　　图8 　　随着十一月份的结束，赛门铁克发现，垃圾邮件数量曾经历了数次猛增，并再次出现慢慢上行的趋势。赛门铁克对猛增的垃圾邮件的分析后发现，它们是与加拿大药品相关的垃圾邮件，其中使用了HTML信息，其URL中包含可变的域名。在垃圾邮件猛升期间，包含文本/HTML内容类型MIME部分的邮件在所有垃圾邮件中的比例上升到55%。McColo关闭之前，包含文本/HTML内容类型MIME部分的邮件比例超过了55%，关闭之后的平均比例为34%左右。这些垃圾信息中的URL包含了数百个中文顶级域名. TLD。所有的域名服务器或使用相同的IP地址作为域名，或使用其他位于中国的IP地址。 　　图9 　　除了垃圾邮件量的猛增之外，赛门铁克还发现最近恶意软件的数量也在上升。这可能是未来点对点（peer to peer）僵尸攻击抬头的征兆，因为垃圾邮件发送者通常需要恶意软件来推出这些文件。 　　这些垃圾邮件猛增的现象表明，垃圾邮件活动正恢复其通常的状态，可以肯定的是，虽然McColo被关闭事件从短期来看可能会对垃圾邮件发送者传播自己的信息产生阻力，但获利的动机仍存在，并毫无疑问将推动新的大规模垃圾邮件发送活动。 　　图片垃圾