赛门铁克发布08.4垃圾邮件报告

尽管近来出现了一些高调的反垃圾邮件诉讼，包括针对“垃圾邮件之王” Robert Soloway的犯罪诉讼以及弗吉尼亚高等法院对Jeremy Jaynes有罪的判罚，但是2008年3月以来垃圾邮件的威胁状况仍在持续，平均占所有邮件的81%，最高纪录达接近88%。美国仍然高居垃圾邮件来源国之首，占所有垃圾邮件来源的近四分之一。

以下是本期重点摘要：

1.垃圾邮件制造者卷土重来。值得邮件传输代理(MTA)管理员们警示的是，垃圾邮件制造者正利用邮件传输代理程序的慷慨，采用Backscatter（通常是虚假的欺骗性的“退信”（垃圾邮件或者是钓鱼邮件），而事实上用户从没有发送过这样的信件）的做法伪造发件地址，在全球范围内反弹发送大量垃圾邮件，直到这些邮件进入收件箱。

2.EMEA（欧洲、中东和非洲）地区垃圾邮件发送者爱上社交。欧洲、中东和非洲 (EMEA) 选定地区的垃圾邮件发送者一直在大量推销社交网络站点—其中有一例已发送给200多万赛门铁克的客户。

3.垃圾邮件制造者提供的是病毒，而非缴税日退税。随着美国缴税日4月15日渐渐临近，赛门铁克已经注意到打着联邦税务局 (IRS) 或者 TurboTax 这样广受欢迎的程序旗号的恶意垃圾邮件信息不断增加。

4.性药物类带附件垃圾邮件的攻击规模较小。尽管样式规模各异的药物垃圾邮件始终是一个普遍被利用的重点，但是垃圾制造者又转而开始采用利用附件的策略，尤其是Zip压缩文件。尽管Zip压缩文件往往被用来躲避垃圾邮件过滤器，但是这种攻击方式目前还并不多，仅占三月份全部垃圾邮件攻击的0.5%。

5.419垃圾邮件制造者瞄准2010年南非世界杯比赛。在有关声名狼藉的419尼日利亚垃圾邮件骗局的最新手法中，垃圾邮件制造者现在通知收件人他们在2010年南非世界杯宣传活动中赢得了200万美元。他们所要做的是提供个人可识别信息，用以处理这笔资金。

6.耻辱墙：电话“性服务”畅销。连续两个月，中国的垃圾邮件制造者早已不屑于利用“色情服务”作标题了，这一次推出的手段是电话“性服务”。

被确定为垃圾邮件的电子邮件比例

定义：全球互联网邮件网关垃圾邮件比例指的是在邮件在经过网关扫描时被处理并分类为垃圾邮件的数量与所处理的邮件总数的比值。这一标准代表的是简单邮件传输协议 (SMTP) 层的过滤到的数据，并不包括在网络层发现的邮件数据。

图中趋势线表明七天的平均走势。

全球垃圾邮件分类：

垃圾邮件分类数据来源于赛门铁克探测网络（Symantec Probe Network）的信息分类搜集库。

垃圾邮件来源国

定义：来源国信息是近30天收集的来自特定国家的垃圾邮件数据比例。

十大来源国：美国、俄罗斯、土耳其、中国、巴西、英国、波兰、意大利、法国、德国

垃圾邮件来源地区

定义：来源地区信息是近30天收集的来自特定地区的垃圾邮件数据比例

欧洲、中东和非洲，亚太与日本，北美地区，拉丁美洲地区

垃圾邮件制造者卷土重来

由于最近的垃圾邮件攻击没有到达“至：收件人”中所列的地址，反弹信息有所增加。虽然很多原始IP地址来自全球各地，但是垃圾邮件原始信息内容却是用俄语写成的。每一轮信息都含有图片及文本，这些图片和文本定期更换，通常是每天一次或两次。这种邮件通过尝试性的或者实际的Backscatter方式分散至互联网各个角落。

垃圾邮件制造者伪造发件地址并把它们插入“来自：垃圾邮件的收件人”时，就会产生反向散射。例如，你是否曾经看到过从你自己发送给自己的垃圾邮件？道理是一样的。垃圾邮件制造者往往还会伪造收件人或者将邮件“发送至：收件人”，或者只是试试各列表中的电子邮件地址，验证其是否存在。无论哪种方式，发送的邮件最终都会到达某处甚至任何地方，而不会返回到垃圾邮件制造者那里。电子邮件处理程序会把信息全文发回给显而易见的邮件发送者，程序的可用性产生了垃圾邮件攻击媒介，这种媒介不时被垃圾邮件制造者利用。

垃圾邮件制造者利用邮件传输代理程序（这种程序设置不仅能发送回一系列未发送至收件人的地址，并解释为什么发送失败，而且还会发送回一份完整的原始信息。垃圾邮件制造者随后可以将他们的信息反弹至整个互联网，直到这些信息最终进入某人的垃圾邮件文件夹，更糟的是，进入某人的收件箱。由于很多用户在收到发送失败的信息时想知道他们是否偶尔拼错了朋友的邮件地址，因此这些反弹的信息往往会逃过反垃圾邮件过滤器的拦截。

　这是垃圾邮件制造者发送的信息内容： 　 这是您收到的信息内容：

垃圾邮件制造者爱上社交

社交网络站点的出现吸引了很多互联网用户的加入，他们希望能通过这些网站与朋友或熟人互相交流。3月份在欧洲、中东和非洲地区我们发现了两起社交网络垃圾邮件攻击事件。

在下面第一个例子中，法文书写的信息伪装成来自朋友的信息，邀请收件人访问“我的个人网页”。

第二个例子写的更简单，只是问“Ukraine（人名），你还在吗！？”没有提供选择退出的机制。3月份，赛门铁克的客户收到了200多万条类似信息。

有些社交网站称，他们正成为这些垃圾邮件攻击的目标，这些垃圾邮件试图将他们的IP空间列入黑名单。普遍推荐的做法是，终端用户不要接受来自不明发件人的网络社交邀请信。

垃圾邮件制造者提供的是病毒，而非缴税日退税

正如赛门铁克2月垃圾邮件状况报告中首次提到的，垃圾邮件制造者继续将自己伪装成联邦税务局，晃着一份退税单引诱不知情的收件人。一旦您把信用卡信息输入到他们的网站，电子邮件就会提供一份退税。但这个网站并没有联邦税务局的URL。这是一个具有欺诈性的网址，只是收集信用卡及其他个人信息的工具。随着美国4月15日缴税日的临近，赛门铁克发现一些与税季有关的垃圾邮件有增加的趋势，这些垃圾邮件中带有更为危险的信息，甚至会指导收件人下载病毒。

在一个例子中，垃圾邮件制造者编造出一项新的法律要求您必须下载税务软件。实际上并不存在任何规定您需要上网填写纳税申报表的法律。

如果这个还不足以成为危险信号的话，那么事实上您下载“软件”的网站并非政府网站，它只是一个IP地址而已。

在邮件正文，URL的确显示的是合法的政府网址 “irs.gov/softwareupdate”。但是，当您点击时，就会被转移到寄居有病毒的IP地址。当您前往联邦税务局官方网站 (irs.gov) 手动输入 irs.gov/softwareupdate 后，“要求访问的页面不存在。请检查您的URL。”这样的报错信息就会显示出来。

另一个例子是利用较为普遍的税务软件TruboTax。垃圾邮件制造者在这里还建议收件人下载软件进行更新，以符合新的联邦税务局要求。第一个危险信号可能是“来自”这一行，它看上去不像源自联邦税务局，因为上面含有 “.cn” 的域名。

第二个危险信号是 “turbotax.com/update” 转化成的URL并没有转向 TurboTax官方网站，而是转向了一个字母数字随机排列的URL，其中包含一个空白页面，会弹出要求您下载可疑文件的信息。

邮件用户受到警告在税季期间要当心，因为制造出的垃圾邮件信息会盗取个人信息或者传播病毒。在上述例子中，用户应该能够通过常识和一些最佳实践进行分析，确定这些邮件不合法。不要在计算机上下载任何来自电子邮件的东西，除非您肯定该邮件真实可靠，来自您认识并信任的某个人或某个公司。同时，要对提供了最新防护措施防止全套安全威胁的邮件安全技术进行确认后再使用。您可以从带有该信息详情的公司官方网站上找到电话号码，拨打热线，要求他们确认信息是否合法有效。

性药物类带附件垃圾邮件的攻击规模较小

所发现的药物类垃圾邮件往往样式规模各异。本月的形式是Zip压缩文件。一旦打开垃圾邮件，就会出现一行文字，如，“Smart in bed games” 及 “She wants you more now” 。Zip压缩文件含有一个HTML页面，显示的信息都与购买药物产品有关。

虽然推销产品的垃圾邮件制造者使用Zip压缩文件的目的是逃过垃圾邮件过滤器，但是这种攻击规模较小，约占3月份所有垃圾邮件攻击的0.5%。

419垃圾邮件制造者针对2010年南非世界杯比赛

欺诈性电子邮件目前占全部垃圾邮件的10%。419垃圾邮件制造者过去往往使用所有人不明的地产类资产来诱骗受害者，但是现在他们也开始利用2010年南非世界杯比赛设骗局。垃圾邮件制造者要求邮件接收者下载Rich Text File (RTF) 文件，称附件文件是一份赢得彩票大奖的通知。

附件样本如下：

耻辱墙：电话“性服务”畅销！

最后，本月检测到的古怪垃圾邮件包括了以“性服务”电话热线为诱饵一些邮件。