今天遭遇了一封冒充微软技术支持部门发送的电子邮件，如果用户不小心点击邮件附件里名字为“setup.reg”的注册表文件，并选择了注册的话，会发现自己浏览器的默认首页变成了某个导航网站的页面。

　　这封邮件的发送地址为：support@microsoft.com，所显示的发件人为“微软(中国)有限公司”，邮件标题是“您的潜力，我们的动力20345”。

　　====================================================

　　From: 微软(中国)有限公司

　　To: *** <***@staff.***.com>

　　Subject: 您的潜力，我们的动力20345

　　Date: 2008-7-8 11:32:35

　　====================================================

邮件正文：

　　***@staff.***.com，您好：

　　致

　　礼!

　　hxxp://www.microsoft.com/

　　hxxp://www.kao1234.cn/list/81shiyongchaxun.htm

　　hxxp://www.kao1234.cn/list/79baiqiang.htm

　　hxxp://www.kao1234.cn/list/200shipin.htm

　　微软(中国)有限公司

　　support@microsoft.com

　　2008-07-08

附件文件setup.reg内容为：

　　WindowsRegistry Editor Version 5.00

　　[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

　　"Start Page"="hxxp://www.kao1234.cn/?id=248689"

　　如果点击这个文件会弹出提示页面，询问“是否确认要将……setup.reg中的信息添加进注册表?”

　　到这里，问题出来了。微软为什么要发一个附件为注册表文件的邮件，并修改IE默认首页地址呢?难道微软和这个什么“kao1234”有合作?如果是有合作为什么不在正文里予以说明?

　　为此，编辑特与微软(中国)有限公司安全专家就此事进行了沟通，最终确认这是一封假冒微软技术支持部门发送的恶意推广邮件。

　　打假揭秘

　　1、疑点一：IP地址

　　这封邮件最大的破绽就在于它的邮件发出IP地址，通过查看邮件头信息，发现一段可疑文字：

　　Received: from [124.132.21.173] by [211.147.5.154] with StormMail ESMTP id 51975.1915358778;

　　其中211.147.5.154为北京IP地址，而124.132.21.173则露出马脚，其来源是“山东省济宁市 网通”。

　　IP 211.147.5.154 来源

　　IP 124.132.21.173 来源

　　2、疑点二：附件文件

　　这里再来看附件中的“setup.reg”文件。这是一个注册表文件，其中的内容就是要把浏览器主页的默认地址设定为“hxxp://www.kao1234.cn/?id=248689”这个地址(出于安全考虑，文中链接地址中的“http”均被替换为“hxxp”)。

3、疑点三：邮件正文

　　一般而言，真正的微软公司邮件，会在正文里对邮件主题所述事件进行详细解说。但这封邮件，正文没有写任何文字。只是在落款位置放置了几个链接。第一个为微软公司网站地址——这应该是为了进一步迷惑观看邮件者;后3个则为其所推广网站分页面链接。

　　深度分析

　　在没有任何说明的情况下，修改浏览器默认主页地址，而且实际的邮件来源地址还不是微软(中国)有限公司技术支持部门所在地北京。

　　由此综合判断，这是一封冒充微软公司发送的恶意推广邮件。

　　意在使邮件接收者在看到微软地址、字样后放松警惕，点击打开附件中的注册表文件，进而修改浏览器主页为其所推广网站地址，加大其网站的访问量。

　　这封冒充推广邮件，充分运用社会工程学，利用人们对大公司的信任，骗取其去点击打开问题文件，最终达到自己推广的目的。

　　好在这次仅仅是修改浏览器默认主页，而没有其他危害动作。可如果这是一个病毒木马，那造成的损失将远不止一个网页地址那么简单。

　　警示

　　这里提请用户在接收邮件时，要仔细阅读正文，谨慎打开可疑附件。如有问题，及时找专业人员咨询。