捕获假冒微软的恶意推广邮件

今天遭遇了一封冒充微软技术支持部门发送的电子邮件，如果用户不小心点击邮件附件里名字为“setup.reg”的注册表文件，并选择了注册的话，会发现自己浏览器的默认首页变成了某个导航网站的页面。

这封邮件的发送地址为：support@microsoft.com，所显示的发件人为“微软(中国)有限公司”，邮件标题是“您的潜力，我们的动力20345”。

====================================================
   From: 微软(中国)有限公司 <support@microsoft.com>
   To: *** <***@staff.***.com>
   Subject: 您的潜力，我们的动力20345
   Date: 2008-7-8 11:32:35
====================================================

邮件正文：

***@staff.***.com，您好：


　　　　　　　　致
礼！

hxxp://www.microsoft.com/

hxxp://www.kao1234.cn/list/81shiyongchaxun.htm

hxxp://www.kao1234.cn/list/79baiqiang.htm

hxxp://www.kao1234.cn/list/200shipin.htm


                    微软(中国)有限公司
                    support@microsoft.com
                    2008-07-08

附件文件setup.reg内容为：

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://www.kao1234.cn/?id=248689"

如果点击这个文件会弹出提示页面，询问“是否确认要将……setup.reg中的信息添加进注册表？”

到这里，问题出来了。微软为什么要发一个附件为注册表文件的邮件，并修改IE默认首页地址呢？难道微软和这个什么“kao1234”有合作？如果是有合作为什么不在正文里予以说明？

为此，编辑特与微软(中国)有限公司安全专家就此事进行了沟通，最终确认这是一封假冒微软技术支持部门发送的恶意推广邮件。

打假揭秘

1、疑点一：IP地址

这封邮件最大的破绽就在于它的邮件发出IP地址，通过查看邮件头信息，发现一段可疑文字：

Received: from [124.132.21.173] by [211.147.5.154] with StormMail ESMTP id 51975.1915358778;

其中211.147.5.154为北京IP地址，而124.132.21.173则露出马脚，其来源是“山东省济宁市 网通”。

2、疑点二：附件文件

这里再来看附件中的“setup.reg”文件。这是一个注册表文件，其中的内容就是要把浏览器主页的默认地址设定为“hxxp://www.kao1234.cn/?id=248689”这个地址(出于安全考虑，文中链接地址中的“http”均被替换为“hxxp”)。

3、疑点三：邮件正文

一般而言，真正的微软公司邮件，会在正文里对邮件主题所述事件进行详细解说。但这封邮件，正文没有写任何文字。只是在落款位置放置了几个链接。第一个为微软公司网站地址——这应该是为了进一步迷惑观看邮件者；后3个则为其所推广网站分页面链接。

深度分析

在没有任何说明的情况下，修改浏览器默认主页地址，而且实际的邮件来源地址还不是微软(中国)有限公司技术支持部门所在地北京。

由此综合判断，这是一封冒充微软公司发送的恶意推广邮件。

意在使邮件接收者在看到微软地址、字样后放松警惕，点击打开附件中的注册表文件，进而修改浏览器主页为其所推广网站地址，加大其网站的访问量。

这封冒充推广邮件，充分运用社会工程学，利用人们对大公司的信任，骗取其去点击打开问题文件，最终达到自己推广的目的。

好在这次仅仅是修改浏览器默认主页，而没有其他危害动作。可如果这是一个病毒木马，那造成的损失将远不止一个网页地址那么简单。

警示

这里提请用户在接收邮件时，要仔细阅读正文，谨慎打开可疑附件。如有问题，及时找专业人员咨询。