本期报告概要：

　　Rustock再次成为垃圾邮件威胁方面的热门话题。几个月前，Rustock沉寂了大约两周，然后于2011年3月16日被关闭。Rustock的关闭对全球垃圾邮件数量产生了极大影响。继前一个月增加8.7%之后，3月的日均垃圾邮件数量下降了27.43%。伴随着垃圾邮件发送总量的下降，垃圾邮件所占邮件发送总数的比例也相应减少。此外，垃圾邮件发送者继续利用日本地震来发送垃圾邮件、制造骗局、传播恶意软件并发动钓鱼攻击。总而言之，3月份垃圾邮件数量占邮件发送总量的74.68%，而2月为80.65%。

　　3月份的钓鱼攻击总量减少了22.71%。自动工具包攻击与特殊域名攻击的数量较上月也有所减少。利用自动工具包创建的钓鱼网站数量减少了大约41.54%，而特殊URL攻击的数量则下降了14.02%，含有IP域名的钓鱼网站（如http://255.255.255.255）数量下降了约30.94%。Web托管服务占钓鱼攻击总数的13%，比上月减少22.31%。非英语类钓鱼网站的数量猛降58.22%。在非英语类钓鱼网站中，葡萄牙语、意大利语和西班牙语钓鱼网站所占比例最高。

　　本期报告主要内容：

　　? 2011年3月：垃圾邮件主题分析
　　? Rustock的关闭
　　? 垃圾邮件发送者利用日本地震发动攻击
　　? 钓鱼者对日本无丝毫怜悯之心
　　? 新西兰地震受害者遭遇虚假捐献

　　本月热点事件分析：

　　2011年3月：垃圾邮件主题分析

　　2011年3月，在线购药、假冒软件、成人约会垃圾邮件出现在主题名单的前10名之列。

　　Rustock的关闭

　　全球垃圾邮件数量在2011年3月16日明显下降，原因则是Rustock被关闭，这是一项由政府牵头并协同微软公司开展的行动。全球垃圾邮件数量在3月16日比前一天减少了24.7%，而在3月17日又减少了11.9%。之后，垃圾邮件发送数量一直处于低水平。

　　Rustock实际上在2010年底就处于休眠状态。在本期报告中，赛门铁克探讨了Rustock僵尸网络在2010年12月25日消失，又在2011年1月10日回归的现象。随着最近这次关闭，我们现在有两个时段来得出其它衡量标准方面的关联。由于Rustock曾经是全球最“多产”的僵尸网络之一，因此关闭行动产生的影响在垃圾邮件数量之外的其它衡量标准上也得到了显现。

　　下图表明了含有.ru的顶级域URL的垃圾邮件的比例。当Rustock在去年年底临时关闭时，含有.ru的顶级域URL的垃圾邮件比例下降了，但当该僵尸网络回归后，此类垃圾邮件数量相应增加。之后，在3月16日时，该比例再次猛降。

　　另外，类似的趋势还可在邮件大小衡量标准里得出。下图表明了2KB至5KB垃圾邮件的比例。

　　赛门铁克还观察到在接近3月底时，附件为压缩文件的垃圾邮件有所增加。所有观察到的样本均假冒那些来自速递服务公司的合法送货提醒或通知。邮件正文要求收件人打开压缩的可执行文件，以便了解送货所需的进一步详情或行动。

　　一旦收件人下载压缩文件，就会安装以下威胁（下面超链接为赛门铁克安全响应中心关于每种威胁的详细说明）：

　　Trojan.FakeAV
　　Backdoor.Cycbot
　　Trojan.Sasfis

　　尽管这一僵尸网络已被关闭，但垃圾邮件发送者似乎正在尝试新方法，准备重整旗鼓。

　　垃圾邮件发送者利用日本地震发动攻击

　　在之前的东南亚海啸、智利地震等等自然灾难中，垃圾邮件发送者利用这些惨剧获利，发送恶意软件、垃圾邮件，并制造骗局以及发动钓鱼攻击。该趋势借助上个月的日本大地震得以延续。

　　在第一个例子中，垃圾邮件发送者嵌入了一段似乎是关于这场灾难的视频，以此诱骗用户。

　　但是，它只是一幅含有恶意软件链接的图像。一旦打开了链接，用户就会被要求下载并安装一个可执行文件，它是一个和巴西银行木马有关的恶意软件。该图像所指引的链接hxxp://xxx.<removed>trade.com/globo.com.html能够导致用户从发起攻击的机器上下载恶意软件。在恶意软件成功安装后，便会收集用户的网上银行证书和其它敏感信息。

　　此外，自这场自然灾难发生以来，诈骗者普遍已经开始利用救援工作，发送419诈骗类型的邮件。最近观察到尼日利亚骗局的另一个变种，该变种显示，在日本应对核危机时，虚假信息促使人们向地震与海啸的幸存者提供帮助。

　　除此之外，钓鱼攻击也利用了这场灾难。详细内容请见下一部分“钓鱼者对日本无丝毫怜悯之心”。

　　赛门铁克建议用户通过合法而安全的渠道向地震与海啸受害者伸出援手。

　　钓鱼者对日本毫无怜悯之心

　　2011年3月11日，一场9.0级大地震来袭，日本遭遇了有史以来最大的噩梦。世界各国都向日本伸出援手。此时，钓鱼者们却试图利用这一灾难来窃取捐赠者的钱财，借他们的善心谋得利益。

　　赛门铁克观察到一个钓鱼网站，它假冒一个流行的支付网关，请求人们为日本地震受害者捐赠。钓鱼者们对所有细微之处都很在意，这使得网页看起来与合法品牌网站十分相似。在网页的左上角，钓鱼者使用了人道主义组织美国红十字会的标识，让捐赠显得更加真实。一份捐赠概要突出地放在该网页的左侧，显示1欧元金额，并含有一个超级链接——“向日本地震受害者捐款”，该超级链接将重定向回该钓鱼网页。钓鱼者把金额固定在小小的1欧元，目的就是希望用户会毫不犹豫地支付该笔金额。

　　用户被要求在两个支付选项当中做出选择。第一个选项是针对该品牌的客户，提醒他们通过在该品牌设立的账户付钱。第二个选项是要求提供信用卡或借记卡详情。该详情包括卡片类型、用户名、出生日期、社保号码、母亲结婚前的名字、邮政地址、电话号码、邮箱。在要求的信息被输入后，钓鱼网站则显示“谢谢您”的信息。该钓鱼网站的主机托管于在美国的服务器。钓鱼者通过设计一些计谋来窃取用户的机密信息，最终获取经济利益。类似这样的虚假捐赠已经变成司空见惯的诱饵。

　　新西兰地震受害者遭遇虚假捐献

　　2011年2月22日，一场6.3级大地震摧毁了新西兰克赖斯特彻奇市。数千新西兰人因此失去了家园。诈骗者像往常一样，利用这一灾难发送垃圾邮件，请求捐赠。而在1月份，钓鱼者已经利用相同的伎俩请求人们为塞拉那洪灾的受害者捐赠。

　　钓鱼网站假冒红十字会在新西兰的网站，请求终端用户提供帮助。首先，该网页假冒网站提供了地震详情，强调了城市受损程度。其次，它详细介绍了如何安全地在网上捐赠。用户在网上捐赠后，会立即通过电邮收到收据（出于交税的目的）。其中，用户可在三种信用卡服务中进行选择。

　　为了完成捐赠，用户被要求输入指定的保密信息。第一个部分是一个下拉式菜单，用户必须从中选择将为哪一个慈善事业捐赠。这些慈善事业包括2011年新西兰地震、Annual Appeal 2011、澳大利亚洪灾基金、Landmine Appeal、太平洋灾难预备基金会（Pacific Disaster Preparedness Fund）、General Fund Appeal。

　　要求提供的保密信息包括电子邮件、邮政地址、信用卡号码、三位社保号码、卡片有效期、四位PIN代码、驾照号码、出生日期。输入需要的信息后，网页立即重定向回合法的红十字会网站。该钓鱼网站的主机托管于位于奥地利维也纳的服务器。

　　附录一：“要”与“不要” 安全秘诀，以应对垃圾邮件，保护你的企业、员工和客户

　　要：

　　1. 要退订你不再希望接收的正常邮件。申请接收邮件时，确定你同时选择接收的其他项目。取消你不想接收的邮件项目。
　　2. 要精心选择注册电子邮件地址的网站。
　　3. 要避免在互联网上公布自己的电子邮件地址。考虑其他选择 – 例如，订阅邮件时使用其他邮箱地址；不同邮箱地址用于不同目的，或可考虑一次性电子邮件地址服务。
　　4. 要使用邮件管理员提供的邮件地址，如果可能的话，报告漏检的垃圾邮件。
　　5. 要删除所有的垃圾邮件。
　　6. 要避免点击电子邮件或IM信息中的可疑链接，因为它们可能会链接到钓鱼网站。建议在浏览器中直接输入网站地址，而不要依赖电子邮件提供的链接。
　　7. 要时刻确保你的操作系统已进行实时更新，使用综合安全软件套装。更多有关赛门铁克安全保护产品的详情，请登录公司网站：http://www.symantec.com。 ?
　　8. 要考虑采用一个知名的反垃圾邮件解决方案，如赛门铁克的Brightmail邮件安全综合解决方案，以解决整个组织范围内的邮件过滤问题。
　　9. 要访问赛门铁克的垃圾邮件状态网站，掌握垃圾邮件的最新趋势，网址是：http://www.symantec.com/spam。

　　不要：

　　1. 不要打开未知的电子邮件附件。这些附件可能使你的电脑感染上病毒。
　　2. 不要回复垃圾邮件。一般来说，发信人的电子邮件地址都是伪造的，回复邮件只会带来更多的垃圾邮件。
　　3. 不要填写邮件中要求提供个人信息、财务信息或密码的表格。知名公司不可能通过电子邮件形式要求你提供自己的个人详情。如果有疑问，请通过独立的、可信的渠道联系该公司，如通过核实的电话号码，或将已知的网络地址输入到新的浏览窗口（不要点击邮件中链接，或复制粘贴邮件中的链接）。
　　4. 不要根据垃圾邮件信息购买产品或服务。
　　5. 不要打开垃圾邮件信息。
　　6. 不要转发垃圾邮件提供的病毒警告，这些警告通常是圈套。

　　附录二：本月数据分析参考

　　图一：垃圾邮件来源地区

　　图二：垃圾邮件来源地区变化趋势

　　图三：钓鱼攻击方式的分布

　　图四：钓鱼攻击的对象分布