图文:捕获假冒微软的恶意推广邮件

ZDNet 频道 更新时间:2008-07-10 作者:木淼鑫 来源:SohuIT

本文关键词:

  作者: 木淼鑫,  出处:赛迪网, 责任编辑: 郭秋爽,  2008-07-10 09:56

  今天遭遇了一封冒充微软技术支持部门发送的电子邮件,如果用户点击邮件附件里名字为“setup.reg”的注册表文件并选择注册的话,自己浏览器的默认首页将变成某个导航网站的页面。

  今天遭遇了一封冒充微软技术支持部门发送的电子邮件,如果用户不小心点击邮件附件里名字为“setup.reg”的注册表文件,并选择了注册的话,会发现自己浏览器的默认首页变成了某个导航网站的页面。

  这封邮件的发送地址为:support@microsoft.com,所显示的发件人为“微软(中国)有限公司”,邮件标题是“您的潜力,我们的动力20345”。

  ====================================================

  From: 微软(中国)有限公司

  To: *** <***@staff.***.com>

  Subject: 您的潜力,我们的动力20345

  Date: 2008-7-8 11:32:35

  ====================================================

邮件正文:

  ***@staff.***.com,您好:

  致礼!

  hxxp://www.microsoft.com/

  hxxp://www.kao1234.cn/list/81shiyongchaxun.htm

  hxxp://www.kao1234.cn/list/79baiqiang.htm

  hxxp://www.kao1234.cn/list/200shipin.htm

  微软(中国)有限公司

  support@microsoft.com

  2008-07-08

附件文件setup.reg内容为:

  Windows Registry Editor Version 5.00

  [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

  "Start Page"="hxxp://www.kao1234.cn/?id=248689"

  如果点击这个文件会弹出提示页面,询问“是否确认要将……setup.reg中的信息添加进注册表?”

  作者: 木淼鑫,  出处:赛迪网, 责任编辑: 郭秋爽,  2008-07-10 09:56

  今天遭遇了一封冒充微软技术支持部门发送的电子邮件,如果用户点击邮件附件里名字为“setup.reg”的注册表文件并选择注册的话,自己浏览器的默认首页将变成某个导航网站的页面。

  到这里,问题出来了。微软为什么要发一个附件为注册表文件的邮件,并修改IE默认首页地址呢?难道微软和这个什么“kao1234”有合作?如果是有合作为什么不在正文里予以说明?

  为此,编辑特与微软(中国)有限公司安全专家就此事进行了沟通,最终确认这是一封假冒微软技术支持部门发送的恶意推广邮件。

  打假揭秘

  1、疑点一:IP地址

  这封邮件最大的破绽就在于它的邮件发出IP地址,通过查看邮件头信息,发现一段可疑文字:

  Received: from [124.132.21.173] by [211.147.5.154] with StormMail ESMTP id 51975.1915358778;

  其中211.147.5.154为北京IP地址,而124.132.21.173则露出马脚,其来源是“山东省济宁市 网通”。

  IP 211.147.5.154 来源

  IP 124.132.21.173 来源

  2、疑点二:附件文件

  这里再来看附件中的“setup.reg”文件。这是一个注册表文件,其中的内容就是要把浏览器主页的默认地址设定为“hxxp://www.kao1234.cn/?id=248689”这个地址(出于安全考虑,文中链接地址中的“http”均被替换为“hxxp”)。

3、疑点三:邮件正文

  一般而言,真正的微软公司邮件,会在正文里对邮件主题所述事件进行详细解说。但这封邮件,正文没有写任何文字。只是在落款位置放置了几个链接。第一个为微软公司网站地址——这应该是为了进一步迷惑观看邮件者;后3个则为其所推广网站分页面链接。

  深度分析

  在没有任何说明的情况下,修改浏览器默认主页地址,而且实际的邮件来源地址还不是微软(中国)有限公司技术支持部门所在地北京。

  由此综合判断,这是一封冒充微软公司发送的恶意推广邮件。

  意在使邮件接收者在看到微软地址、字样后放松警惕,点击打开附件中的注册表文件,进而修改浏览器主页为其所推广网站地址,加大其网站的访问量。

  这封冒充推广邮件,充分运用社会工程学,利用人们对大公司的信任,骗取其去点击打开问题文件,最终达到自己推广的目的。

  好在这次仅仅是修改浏览器默认主页,而没有其他危害动作。可如果这是一个病毒木马,那造成的损失将远不止一个网页地址那么简单。

  警示

  这里提请用户在接收邮件时,要仔细阅读正文,谨慎打开可疑附件。如有问题,及时找专业人员咨询。

[an error occurred while processing this directive]