H1N1疫苗接种信息：新的感染途径

更多精彩博文请进入McAfee安全中心

　　12 月 1 日，McAfee Labs 检测到了一次垃圾邮件爆发，该垃圾邮件伪装成来自 CDC 并打着 H1N1 疫苗接种的幌子来为 Zeus 木马的传播提供便利。垃圾邮件谎称 CDC 要求所有人员必须在线填写“疫苗接种信息”。

　　该电子邮件采用过的邮件主题如下所示，不过，随着不法行径的进一步升级，可能还会有更多五花八门的主题出现：

　　Governmental registration program on the H1N1 vaccination(政府制定 H1N1 疫苗接种登记计划)

　　State Vaccination H1N1 Program(全国 H1N1 疫苗接种计划)

　　Your personal Vaccination Profile(您的个人疫苗接种信息)

　　Create your personal Vaccination Profile(创建您的个人疫苗接种信息)

　　State Vaccination Program(全国疫苗接种计划)

　　Creation of personal Vaccination Profile(个人疫苗接种信息创建)

　　Instructions on creation of your personal Vaccination Profile(个人疫苗接种信息创建指南)

　　Creation of your personal Vaccination Profile(创建您的个人疫苗接种信息)

　　这些电子邮件包含指向恶意网站的 url，该网站会假意要求受害者下载疫苗接种信息归档文件：

　　链接指向一个可执行文件，此文件会安装一个非常新的 Zeus 木马变种。Zeus 是一个易用的木马构建工具，大量的僵尸网络(botnet)都与其有关。截至撰写本博文时，迈克菲的引擎是屈指可数的几个将该木马检测出来的 AV 引擎之一(据 VirusTotal统计，41 个引擎中只有 7 个检测到了该变种，迈克菲就占了其中的两席)。

　　电子邮件中的域名是在垃圾邮件爆发前一周被注册或更新的。与域名相关的 whois 信息表明绝大部分域名是通过比利时域名注册商在 active24.be 注册的。

　　专供垃圾邮件域名使用的 DNS 服务器购自中国域名注册商 — 新网(Xin Net Technologies)，但 DNS 服务器本身被托管在美国、日本和香港。我们甚至看到一些 DNS 服务器以前就曾被用于 Cutwail 僵尸网络发送垃圾电子邮件，Cutwail 以使用 Zeus 木马而知名。这表明可能有些 DNS 服务器本身也是受感染的主机。

　　这些主机名与 135 个不同的 IP 地址相关联，而 这些IP 地址又与托管木马程序的网站关联，此类网站源自全球，表面上看是 DSL 帐户。

　　在写本博文时，已知托管此类网站的主要国家包括哥伦比亚、巴西、印度、马来西亚、智利和阿根廷。

　　切记，确保及时更新，时刻获得安全保护!!

更多精彩博文请进入McAfee安全中心