垃圾郵件演化報告：2010年1月-3月

近期趨勢：

• 2010年第一季度，垃圾郵件佔總體郵件數量的 85.2%
• 包含指向釣魚網站鏈接的郵件佔總體郵件數量的 0.57%
• 在所有垃圾郵件中，有11.7%含有圖片類附件
• 排名前三位的垃圾郵件產出國包括美國、印度以及俄羅 斯
• 垃圾郵件發佈者開始將域名從.cn轉移到.ru

垃圾郵件佔全部電子郵件 比例

郵 件網關中的垃圾郵件情況

2010年第一季度，垃圾郵件平均佔全部 電子郵件總數量85.2%。此數據同2009年最終數據不謀而合。2010年3月上旬，垃圾郵件數量有明顯下降。這可能是由於在2 月底，Waledac垃圾郵件殭屍網絡服務器的277個域名被關閉所造成的。但是，Waledac並不是垃圾郵件市場上最活躍的垃圾郵件發佈組 織，所以，很可能它並不是造成此次垃圾郵件數量大幅下降的原因。這一點同以往的McColo案例不同。

我們已經在上篇報告中介紹了垃圾郵件市場 的組成。垃圾郵件佔總體郵件數量的比例一直保持一個穩定狀態，不會發生太大的變化，通常保持在84-87%之間波動。去年整體垃圾郵件數量有所下降，今年 這個趨勢也比較明顯，這表明此類垃圾郵件比例已經接近最高值。其中記錄到的最高值出現於2月21日，比例為90.8%，而最低值則出現於3月5日，比例為 78%。

垃圾郵件來源

垃圾郵件來源（地區）

垃 圾郵件來源地區

同去年相似，亞洲仍然是垃圾郵件的主要來 源地（31.7%）。歐洲僅次於亞洲，以30.6%的比例屈居第二。如果我們將俄羅斯也歸於歐洲，整個歐洲地區的垃圾郵件則佔全部垃圾郵件數量的 36.6%。

來源於南美的垃圾郵件數量有所下降。在 2009年上半年，來源於南美的垃圾郵件曾經排名第二，佔全部垃圾郵件數量的15%。目前，南美垃圾郵件數量佔全部垃圾郵件數量的10.5%，同2008 年的數據非常接近（11%）。

同時，來源於東歐的垃圾郵件數量卻有所上 升（16.4%）。2010年第一季度，可以明顯看到源自此地區的垃圾郵件數量呈現動態增長趨勢。

源 於東歐以及中歐地區的垃圾郵件：增長動態

垃圾郵件來源（國家）

垃 圾郵件來源

垃圾郵件來源國排名方面，沒有顯著的變 化，也沒有黑馬殺出。美國依然居垃圾郵件出產國首位，排名第二和第三的分別是印度和俄羅斯。接下來則是一些來自東亞以及東歐地區的國家。去年居前10位的 垃圾郵件來源國今年幾乎全部上榜，只是排名略有不同。

巴西的情況有明顯好轉，從排名第三位下降 到第六位。土耳其和中國本次則沒有進入排名前10位的垃圾郵件出產國名單。造成中國垃圾郵件數量下降的原因有可能是政府實施的域名註冊政策的收緊。烏克蘭 和德國則正相反，又重新進入排名前10位的垃圾郵件來源國的排行榜。2008年期間，這兩個國家經常出現於此排行榜上，但是在2009年，他們一度沒有上 榜。

需要注意的是，從某個國家發送的垃圾郵件 所使用的語言常常並非該國家的官方語言。例如，很多俄語內容的垃圾郵件發送地都來自印度，而巴西則會輸出很多德語內容的垃圾郵件，德國卻會輸入數量不菲的 西班牙語垃圾郵件。這是由於垃圾郵件所使用的語言並不取決於其發送的地理位置IP，而是取決於控制這些受感染計算機的殭屍網絡。

垃圾郵件的體積大小

垃 圾郵件的體積

通常情況下，垃圾郵件發佈者一般選擇發佈 體積較小的垃圾郵件，通常不會超過1KB。事實上，這種小郵件只包含一個鏈接，所以很難被根據內容進行檢測和屏蔽的郵件過濾程序檢測到。此外，發送這類體 積較小的郵件，比較節省資源。另外，考慮到當今的計算機用戶一旦發現所接受到的郵件為垃圾郵件，會立刻刪除，所以，垃圾郵件發佈者會儘量壓縮其中的廣告信 息到一句話甚至一個詞組，這樣用戶即使在按「刪除」按鈕前，就可以閱讀完垃圾郵件中包含的廣告信息。2010年第一季度，小體積的垃圾郵件平均佔全部垃圾 郵件數量的三分之一（31.3%）。而本季度中，體積超過50KB的垃圾郵件只佔全部垃圾郵件數量的2.9%。

垃圾郵件中的惡意附件種 類

垃 圾郵件中的惡意附件種類

2010年第一季度中，大部分垃圾郵件包 含的是HTML附件。值得注意的是，很多包含HTML附件的小體積郵件僅包含一個鏈接。所有垃圾郵件中，有8.7%的附件為jpeg格式，6.4%的附件 為gif格式。有些郵件中jpeg和gif格式並存，內容是jpeg格式，而退訂表格卻採用gif格式。

包含圖片內容的垃圾郵件平均佔全部垃圾郵 件數量的11.7%。其中，2月份是包含圖片的垃圾郵件發送量最多的月份。

包 含圖片附件的垃圾郵件

網站釣魚內容

2010年第一季度，包含指向釣魚網站鏈 接的垃圾郵件佔全部郵件總數量的0.57%。1月份和2月份包含網站釣魚內容的垃圾郵件比例同去年同期幾乎相當。但是到3月份後，此類垃圾郵件比例急劇下 降，平均只佔到所有郵件總數的0.03%。目前，還無法解釋發生此情況的原因，我們將進一步關注其最新發展。

包 含指向釣魚網站鏈接的垃圾郵件

同以往一樣，最容易遭受釣魚攻擊的網站仍 然PayPal。2010年第一季度期間，針對PayPal的釣魚攻擊佔全部釣魚攻擊的一半還多。排名第二的最容易遭受釣魚攻擊的網站是eBay，同樣沒 有出乎人們的醫療，針對eBay的攻擊佔全部釣魚攻擊總量的13.3%。

最容易遭受釣魚攻擊的組織（前十名）

出入意料的是Facebook竟然排到了 第四名。這是我們首次開始對針對社交網站的攻擊進行檢測，並且發現此類攻擊竟然如此猖獗。目前，Facebook是世界上最流行的社交網站，擁有超過4億 用戶，而且用戶數量還在不斷增長。竊取到用戶賬號後，網絡詐騙者可以利用這些賬號發送垃圾郵件，並向賬號主人以及其在Facebook網站的好友發送大量 垃圾郵件。通過這種方式發送垃圾郵件，可以保證較大數量的接收率。此外，網絡詐騙者還可以利用社交網站的一些額外功能，如發送不同的請求、照片鏈接以及邀 請等，並且在這些信息中附上廣告內容，同時發送到網站以及用戶收件箱中。不僅如此，網絡詐騙者還可以將用戶在註冊網站賬號時輸入的數據（例如電子郵箱地址 等）收集起來，添加到其自身的數據庫中。

有趣的是，從3月份開始，俄羅斯的社交網 站VKontakte成為第25名最易遭受釣魚攻擊的網站。這表明該網站已經邁出俄羅斯的國門，在世界範圍內進行擴張。

包含惡意附件的垃圾郵件

2010年第一季度，包含惡意文件附件的 垃圾郵件佔全部垃圾郵件數量的0.68%，同2009年最後一個季度相比，有0.3%的跌幅。

下圖顯示了不同地區由電子郵件造成的計算 機感染的具體情況：

不 同地區的電子郵件造成計算機感染情況

來自德國、英國、意大利、法國以及西班牙 國家（即東歐國家）的用戶所收到的垃圾郵件中，有超過35%的郵件都包含惡意附件。日本的垃圾郵件中有7.6%包含惡意附件，而亞洲的其他國家和地區，包 括台灣、印度和中國的垃圾郵件中的13%包含惡意附件。美國包含惡意附件的垃圾郵件佔全部垃圾郵件總數的7%。

2010年第一季度，垃圾郵件中最常見的 前十位惡意文件如下所示：

垃 圾郵件中最常見的前十位惡意文件

排首位的是一種名為 Packed.Win32.Krap.x的加殼程序。此惡意程序在上個季度曾經排名第四。2010年初，我們發現垃圾郵件中出現Krap.x程序的數量幾 乎是2009年末的兩倍。此外，Krap.x並不是排行榜中唯一出現的加殼程序，排名第六位的也是一種加殼程序，名為 Packed.Win32.Katusha.j。事實上，此加殼程序是上季度傳播範圍最為廣泛的新一代加殼程序Packed.Win32.Krap.ah 的代表。

通常，Krap.ah (Katusha.j) 和 Krap.x被用來為木馬韁屍程序以及其他流氓反病毒程序加殼。此外，Krap.x還經常被用來加殼一種名為Iksmas的郵件蠕蟲程序，此蠕蟲不僅具有 竊取數據的功能，還能夠進行垃圾郵件發送服務。

有趣的是，超過55%的包含 Packed.Win32.Krap.x惡意程序的垃圾郵件發送地都屬於發達國家，其中日本佔16.7%，德國佔12.7%，美國佔大約8%。

此外，採用Krap.x加殼的惡意程序還 經常偽裝成Microsoft Outlook的更新程序，通過電子郵件進行傳播和感染。

排名第二的常見惡意程序為Trojan- Spy.HTML.Fraud.gen木馬。此惡意程序主要用來收集用戶的個人信息和註冊數據。2010年1月和3月期間，此惡意程序是通過電子 郵件傳播數量最多的惡意軟件。

同 Packed.Win32.Krap.x相似，超過70%的Trojan-Spy.HTML.Fraud.gen惡意軟件樣本均來自於發達國家，其中英國 佔39%。

排名第三位的是Trojan- Downloader.Win32.FraudLoad.gmx下載器木馬。這種木馬會下載其他惡意程序到受感染計算機，包括用戶詐騙受感染用戶錢財的流 氓反病毒軟件。接收到包含此木馬垃圾郵件的用戶往往都來自官方語言是英語的國家，例如英國、美國、澳大利亞和加拿大。有超過一半的Trojan- Downloader.Win32.FraudLoad.gmx樣本都來自上述國家。尤其在三月份，此木馬非常活躍，通過大量假冒的Facebook郵件 進行傳播。

垃圾郵件發佈者轉移 到.ru域名

去年，垃圾郵件發佈者使用最多的是中國域 名，用於發佈偉哥以及其他類型的垃圾郵件廣告。到2009年底，中國政府開始收緊域名註冊方面的政策，造成使用中國域名發送的垃圾郵件數量有明顯下降。但 不幸的是，這類垃圾郵件本身沒有因此而消失，垃圾郵件發佈者已經逐漸從.cn域名轉移到.ru域名。

中國當局的這些措施造成三月份兩個主要的 中國域名註冊公司Go Daddy 和 Network Solutions關閉了中文域名註冊服務。因為新的措施要求IP地址提供商向中國官方提交能夠證明他們身份的文件和照片。

結論

2010年初，整個垃圾郵件產業相對比較 平靜。電子郵件中的垃圾郵件數量停止增長，就2010年第一季度來說，並未超過去年同期的數據。考慮到近期的發展趨勢，我們可以得出結論，垃圾郵件已經達 到飽和狀態。相關分析也表明，在過去的十年中，垃圾郵件佔全部郵件的比例一直呈拋物線趨勢發展。

從2000年初開始，垃圾郵件比例逐年翻 番：2001年，垃圾郵件佔全部郵件的15%，而到2002年，則達到30-40%，2003年達到50%，到2003年底，其比例已經高達 70-80%。到2004年底，垃圾郵件產業開始成型，垃圾郵件在所有郵件中的比例增長速度開始減緩。但是從2004年到2009年期間，垃圾郵件比例卻 迅速上升到75%至85%。造成這一現象的原因很可能是垃圾郵件發佈者開始使用新的互聯網平台進行垃圾郵件的發布，如博客以及社交網絡等。

雖然目前垃圾郵件數量基本保持穩定，但其 輸出區域卻一直在變化。例如，2010年第一季度源自拉丁美洲的垃圾郵件數量有所下降，但源自於中歐以及東歐的垃圾郵件數量卻呈現增長趨勢。

第一季度，垃圾郵件發佈者沒有開放新的垃 圾郵件投放技術。他們繼續使用體積較小的垃圾郵件，從而實現快速以及大批量的發布。

網絡詐騙者和病毒編寫者充分利用垃圾郵件 技術進行詐騙或惡意程序的傳播。此外，病毒編寫者還會利用社交網絡傳播他們編寫的惡意程序。

2009年底，中國政府收緊了域名註冊政 策，使得垃圾郵件內容從.cn域名逐漸轉移到.ru域名。如果俄羅斯以及其他各國在對抗此類問題方面也表現如此積極的話，由垃圾郵件造成的負面影響應該會 減少很多。