PDF垃圾邮件隐身半年 再度出现！

有些安全研究人员还正为去年夏天PDF垃圾邮件几乎销声匿迹而纳闷。不过现在，至少有一家公司MX Logic称它正在追踪这种不请自来重新出现的垃圾邮件。

MX Logic公司的威胁管理总监Sam Masiello说，PDF垃圾邮件占上周全球垃圾邮件的比例不到0.5%。但是，他说PDF垃圾邮件的重新出现，意味着制造垃圾邮件者可能正努力测试该文件格式能否逃过某些垃圾邮件过滤器的检查。MX Logic位于美国科罗拉多，是一家反垃圾邮件和运营管理服务的厂商。

“这可能是有的人在测试市场，或者是暴风雨之前的平静，”Masiello说，“通常而言，较小的本地化攻击被检测到的可能性比较小，但是，现在这种情况，很明显邮件的主题就很可疑。”

根据一些安全研究人员的看法，去年七月份出现的PDF垃圾邮件是Storm木马的一种变种。PDF文件格式在企业中广泛应用，所以，这一新方式的出现，引起了安全研究人员的关注。垃圾邮件过滤厂商快速地开发了一种检测不想要消息的方法，帮助决定什么是合法的PDF文件。在发现PDF垃圾邮件的一个月内，安全公司说该文件格式的垃圾邮件几乎销声匿迹。

之前的PDF垃圾邮件包含炒股诈骗的内容。上周发现的PDF垃圾邮件很容易检测到，因为多数垃圾消息里通常包含各种药物的广告。多数公司判断该PDF文件是否合法，不存在困难，Masiello说。

Masiello认为，除了PDF垃圾邮件，Storm仍然继续占领大部分的不想要消息市场。两周前出现的Storm变种“情人节”攻击收件箱。Storm的情人节消息包括一个恶意URL。SANS互联网风暴中心的研究人员称，如果收件人点击URL，就会下载一个可执行文件并受到感染。

Masiello说，垃圾制造者同时也转向更为隐秘的感染方式。这个月早些时候安全研究人员发现MBR（主引导记录）rootkit，据称它通过运行自己的代码悄悄地改写MBR来获得系统的控制权。主引导记录是电脑硬盘上分区存储的一个重要部分。

Masiello说，2008年通过垃圾邮件发出的恶意代码，较早地显示了攻击者除了利用Zombie machinesPill垃圾邮件、病毒和股票欺诈，还利用混合型威胁，诱骗并感染不加防范受害者的进一步趋势。

“我想，这种混合型的模式部分还在萌芽期，因为人们受到感染的方式仍然继续在发展中，”Masiello说，“现在，用户无需访问恶意网站，或者打开文件附件，就会被感染。”

相关介绍：来自Storm木马的“情人节快乐’

情人节虽然未到，但这丝毫阻止不了Storm木马利用节日主题诱骗用户下载恶意软件的行为。

SANS互联网风暴中心的网站介绍了Storm电子邮件的另一波攻击，邮件的主题设计尽量吸引收件人的注意，邮件的内容只有一个包括IP地址的URL。只要用户访问这个网站，就会看到一个漂亮的页面以及一个下载可执行文件的链接。类似下图：

TT中国专家建议一如既往：不要点击来自你不熟悉和不信任的URL和邮件附件！