McAfee 2009年第一季度安全威胁报告

　　目 录

　　垃圾邮件：仍然是一个全球性问题

　　下降原因

　　新的僵尸网络正在搭建

　　垃圾邮件制造者无视任何国家/地区的主权，即使是他们自己的国家/地区

　　Web：每天都会出现新的恶意网站

　　匿名工具活动

　　一般 Web 趋势

　　恶意软件：Confcker 言过其实，AutoRun 不可小觑

　　预测更新

　　警惕您的好友

　　欺诈性网络

　　利用母语发动的威胁

　　McAfee Avert Labs 博客

　　Google 和搜索引擎的滥用

　　经济和恐慌

　　关于 McAfee Avert Labs

　　关于 McAfee, Inc.
--------------------------------------------------------------------------------------------

　　《迈克菲威胁报告》 为您提供了有关基于电子邮件和 Web 威胁的最新统计和分析信息。 此报告由 McAfee Avert Labs 的研究人员编写， 每季度发布一次。 McAfee Avert Labs 研究人员遍布世界各地， 他们以独特的视角分析当前存在的威胁， 这些威胁可能来自美国乃至世界各地， 并将影响个人及企业用户。 我们将分析过去三个月中出现的主要安全问题， 请立即加入我们吧。 您加入后便可以在迈克菲威胁中心查找更多信息： http://www.mcafee.com/us/threat_center/default.asp 或 www.trustedsource.org。 与一年前甚至几个月前相比， 我们发现 2009 年第一季度出现的威胁发生了很多重大变化。 没有人能够在十二个月前预测到垃圾邮件数量会下降， 但是 2008 年 11 月 McColo 关闭后， 这种情况确实发生了。 现在垃圾邮件数量仍比峰值水平低 30%， 与历史同期相比， 我们并没有发现三月份的垃圾邮件数量出现增长。问题并不在于垃圾邮件数量是否会恢复到以前的水平， 而在于何时会恢复到以前的水平。 有关新搭建的僵尸网络的数据表明， 恐怕用不了多久就将达到这一数量。

　　随着恶意网站数量的增加， 提供恶意软件的网站也会增加， 每天都会新增数千个这样的网站。 每天都会出现新形式的恶意软件， 本报告将详细说明最流行的恶意软件。

　　与最近出现的所有安全威胁一样， Con?cker 蠕虫 (正式名称为 W32/Con?cker.worm) 受到了广泛关注。本报告将从多个角度分析这种威胁是媒体炒作， 还是确实存在的。 我们还将着重介绍一些并未获得媒体同等关注的威胁。 事实上， 这些威胁可能比那些备受关注的威胁更加危险。

　　威胁的地域分布情况也在不断发生变化。 本报告将分析威胁的地域分布情况， 其中包括垃圾邮件源、 僵尸网络搭建、 恶意软件网站位置以及如何识别刚出现的新威胁。 本报告还披露了一些有趣的细节， 可以从中看出制造这些威胁的国家/地区并不吝于对其本土用户散布这些威胁。

　　最后， 讨论重点转回到我们自身。 我们将浏览一月份所发布的《2009 年威胁预测》报告中的一些预测结果，看看这些预测是否变为现实， 或者它们与现实有多大差距。 本报告将重点介绍利用当前发生的事件和社交网站向毫不设防的用户传播威胁的情况。

　　垃圾邮件： 仍然是一个全球性问题

　　下降原因

　　在 2009 年第一季度， 电子邮件和垃圾邮件总量几乎降到两年前的水平。 难道垃圾邮件制造者也随着其他行业遭受到了金融危机的影响? 事实并非如此。 实际情况是： 2008 年 11 月关闭 McColo 后， 垃圾邮件数量还没有完全恢复。 与去年同期相比， 2009 年第一季度垃圾邮件数量下降了 20%; 与 2008 年第三季度相比， 则下降了 30% (去年第三季度的垃圾邮件数量达到了历史最高点) 。 自垃圾邮件主机被关闭后， 垃圾邮件数量恢复了约 70%， 但还没有达到以前的水平。

　　在最近几年里， 电子邮件数量往往在三月份达到最高点， 但今年三月份没有出现这种情况。 去年， 平均每天有 1530 亿封邮件， 而今年三月份平均每天只有大约 1000 亿封邮件。

　　自 2006 年以来， 垃圾邮件占电子邮件总量的比例首次降到了 90% 以下。 在 2008 年全年， 电子邮件总量的 90% 是垃圾邮件， 而上一季度这个比例只达 86%。 虽然电子邮件帐户及其活动千差万别， 但我们还是可以估算出每个帐户每天比去年少收到 6-12 封电子邮件。 我们相信垃圾邮件数量必定会恢复到 2008 年的水平， 但垃圾邮件制造者在 McColo 关闭后重新搭建指

　　中心和僵尸网络的时间比很多人最初预测的要长。 从根本上讲， 对于垃圾邮件制造者来说， 这是一个投资回报问题， 与其他行业并无两样。

　　新的僵尸网络正在搭建

　　在本季度， 我们检测到将近有 1200 万个新 IP 地址是以 “僵尸计算机” (受垃圾邮件制造者或其他人控制的计算机) 的形式存在的。 与 2008 年第四季度相比， 这一数字已显著增加， 增幅接近 50%。 2008 年第三季度新增的僵尸计算机数量就已创下历史记录， 但仍比本季度少 100 万台。 虽然垃圾邮件数量还没有从 McColo 关闭中恢复， 但新僵尸计算机的活动程度表明， 垃圾邮件制造者正在开足马力重建所拆掉的架构。不久， 垃圾邮件数量就会恢复到以前的水平。

　　我们可以按国家/地区划分被感染的系统。 上一季度， 63% 的新僵尸计算机来自前 10 个国家/地区。 与之前的两个季度相比， 这一数字略有下降。 这表明垃圾邮件制造者正将魔爪伸向更多国家/地区的计算机， 以达到他们的最终目的。

　　在过去三个季度里， 中国和美国一直占据着榜首位置， 受垃圾邮件制造者控制的僵尸计算机数量一直居高不下。 另一个值得注意的国家是澳大利亚， 该国在 2008 年第三季度还没有进入前 10 位。 可在随后的两个季度里， 僵尸计算机数量快速攀升到第 3 位， 在新增僵尸计算机总量中占到 6%。 南方大陆真可谓是一块 “沃土” ， 为僵尸计算机提供了赖以滋生的温床。

　　美国汽车厂商可能遇到了生产和销售问题， 但美国的垃圾邮件制造者继续成为全球领跑者， 其制造的垃圾邮件占全球垃圾邮件输出量的 35%。 虽然垃圾邮件指挥和控制操作的基础设施是全球性的， 但是垃圾邮件制造者仍然偏爱使用美国境内的计算机来制造垃圾邮件。 前 10 个国家/地区在垃圾邮件生产方面遥遥领先，几乎占到垃圾邮件总量的 70%， 远高于世界其他 200 多个国家/地区的总和。

　　从过去的两个季度看， 我们发现印度的增长比例最大， 现在占到全球垃圾邮件的 7% 左右。 与上一季度相比， 他们输出的垃圾邮件增加了一倍。 这也许是印度产业外包所尝试的最新行业。

　　除印度之外， 泰国、 罗马尼亚和波兰也跻身到前 10 位。 这些数据印证了垃圾邮件制造者正在四处寻找新的源头， 以便为其垃圾邮件引擎提供动力。

　　在发送的垃圾邮件类型中， 男性保健品、 处方药和一般广告一直名列前茅。 在过去的三个季度里， 这三类垃圾邮件约占发送的垃圾邮件总量的 60%。 好象曾经流行一时的文化口号 “性、 毒品和摇滚乐” 又回来了，但只是好像。 可能我们已经发展到一定程度， 所以现在的口号更像是 “性、 毒品和经济” 。

　　仿制品垃圾邮件 (大多是仿制手表) 的数量在本季度大幅攀升， 大约占到垃圾邮件总量的 19%。 这种仿制品垃圾邮件过去就十分流行， 但本季度仍然涨幅明显。 这表明， 在经济形势非常恶劣的情况下， 垃圾邮件制造者正在通过销售价格低廉的冒牌货来扩大我们的购买力。

　　发送状态通知垃圾邮件数量保持稳定， 占到垃圾邮件总量的 8%。 这些邮件大多与网络钓鱼攻击有关， 在骗取受害人的电子邮件地址后将向受害人发送退信通知。 很明显， 网络钓鱼仍然十分猖獗。 其中的很多邮件与财务有关， 并试图获取受害人的个人信息。

　　垃圾邮件制造者无视任何国家/地区的主权， 即使是他们自己的国家/地区

　　网络安全社区流传着这样一种说法， 网络犯罪分子更愿意将西方国家作为攻击目标， 而避免攻击受本地司法管辖的个人或公司， 据称这些网络犯罪分子大多居住在东欧国家。 但是我们逐渐发现与这一说法并不相符的数据。 互联网没有地域界限。 很显然， 网络犯罪分子会攻击他们发现的任何目标。 我们已经找到一些证据， 表明俄罗斯和东欧国家的一些重要政府机构和公司及其高级官员饱受网络骗子的侵扰。

　　McAfee TrustedSource? 最近发现， 来自俄罗斯的很多政府部门和银行机构的电子邮件和垃圾邮件含有恶意软件。 根据我们的分析， 饱受侵扰的俄罗斯银行包括：

　　Rusnance Bank

　　OGO Bank

　　Tusarbank

　　Link Capital Investment Bank

　　The Maritime Bank

　　Vladivostok Alfa Bank

　　Bank Eurotreid

　　Bank Voronezh

　　Bashcreditbank

　　Enisey ’s United Bank

　　Inter-Svayz Bank

　　我们的数据还表明， 以下俄罗斯政府办公室的计算机系统也被网络犯罪团伙控制：

　　纳兹兰地区税务局

　　俄罗斯国家互联网

　　地区财经学院

　　联合核研究所

　　俄罗斯联邦总统办公厅医疗中心

　　俄罗斯联邦养老金协会

　　俄罗斯联邦法院的个人网络

　　JSC 车臣蜂窝通信系统

　　俄罗斯的这些数据表明， 网络犯罪分子大多对其目标一视同仁， 他们会攻击任何金融机构或其他感兴趣的机构。 虽然这种活动主要集中在俄罗斯 (并且他们制造的垃圾邮件的绝对数量也最多) ， 但我们的分析表明这种活动在前苏联国家中也非常猖獗， 其中包括乌克兰、 白俄罗斯、 亚美尼亚、 阿塞拜疆、 格鲁吉亚、哈萨克斯坦、 吉尔吉斯斯坦、 摩尔多瓦、 塔吉克斯坦、 土库曼斯坦和乌兹别克斯坦。