剖析垃圾邮件程序

John+Brandon+杨勇

您的计算机现在可能正忙着为别人赚钱。但这还不是垃圾邮件程序干的最坏的事。

安全专家们都知道垃圾邮件程序是敌人，而外行们却还是雾里看花。就像野餐桌上的蚂蚁或者使用即时通信软件的青少年那样，这些垃圾邮件程序繁殖非常快。您可能每天都会收到垃圾邮件程序发送的数不尽的信息，更糟糕的是，一个垃圾邮件程序可能正在从您的计算机上发送无用的电子邮件，让您在不知情的情况下助长了这种数字化的混乱。

考虑到这些不知情的人，我们应该了解垃圾邮件程序是怎样工作的，它们干了些什么，怎么繁殖，而您可以做什么来保护自己不被裹挟进去，这些都是非常有帮助的。

它是怎样开始的？

在您想知道垃圾邮件程序是怎样感染您的计算机及其工作原理之前，首先应了解它们是如何产生的。

Thomas Pore是恶意软件检测公司Plixer的IT和服务总监，给《计算机世界》透露了一些骇人听闻的细节。这通常始于黑客们，他们在暗网上购买了电子邮件地址数据库。

这实际上比听起来还容易，而且越来越容易了。雅虎最近宣布，其2013年所有30亿个用户帐户被泄露了，包括电子邮件地址、密码和出生日期等信息，这类新闻可能不会让垃圾邮件程序制作者们感到惊奇。他们很可能多年来一直在自己的垃圾邮件程序中使用这些信息。垃圾邮件程序需要电子邮件地址，否则无法运行。任何垃圾邮件程序总是从收集电子邮件开始。

最初，垃圾邮件程序只是猜测电子邮件地址，尝试着去随机的感染计算机。Gartner的分析师Lawrence Pingree说，现在再也不是这样了。有很多电子邮件地址待价而沽。利用社会工程学，垃圾邮件程序制作者建立恶性循环——成功的社会工程入侵会导致数据泄露，而成功的数据泄露又能够提供更多的电子邮件地址。这就解释了为什么数据泄露事件越来越多。这一切都是为了收集更多的信息去欺骗更多的人。

您是怎樣被感染的？

很难打击垃圾邮件程序的一个原因是，其制作者总在不断地改变策略。例如，最初感染时，在不知情用户的计算机上安装生成电子邮件的垃圾邮件程序。Pingree指出，一段时间以来，垃圾邮件发送者欺骗用户无意中从恶意网站下载恶意软件，或者使用网络钓鱼邮件，让用户点击会带来麻烦的链接。

安全部门的宣传已经深入人心，即用户应警惕来自陌生人的附件和链接。然而，垃圾邮件发送者已经转而采用更复杂的策略。Pingree说，最近的一种方法是从用户的Facebook Feed上盗取一张照片，然后通过电子邮件将其发送给该用户，所包含的消息酷似Facebook的通知，声称一个朋友已经对这张照片发表了评论。如果回应，您的计算机就成了垃圾邮件程序主机，您丝毫也不知情。

还有一种方法，是在iPhone上显示iTunes登录和密码对话框，但登录是来自要窃取您帐户信息的应用程序，很可能要在您手机上安装恶意软件——好在这还只是一种概念验证。

Pingree说：“垃圾邮件制造者利用社会工程学（实在是‘挂羊头卖狗肉），目的是让用户信任邮件，打开附件或者点击电子邮件中的内容。”

如果用户没有上当去点击，垃圾邮件发送者仍然能得到些东西。对垃圾邮件仔细地进行检查会发现非常难以察觉的图像标记。Farsight Security高级技术顾问和科学家Joe St Sauver说，当用户打开电子邮件时，这一标记把点击返回到垃圾邮件程序控制者，那么他就会知道用户是一个真正的人。

在这种情况下，当一个垃圾邮件程序被成功的安装到一台新的计算机上后，它会开始发送更多的电子邮件，其中的大部分是网络钓鱼攻击，甚至通过恶意软件客户端进一步传播垃圾邮件程序代码。

技术上有什么？

据Plixer的Pore讲，一旦您的计算机被感染，垃圾邮件程序就开始与指挥控制中心通信——实际上就是几个垃圾邮件程序主服务器。主服务器的运行方式与真正的电子邮件服务器惊人地相似。黑客收到垃圾邮件程序成功和失败情况的报告。有时，命令中心向垃圾邮件程序发出关于向哪里发送信息的附加指令。Pore说，由于垃圾邮件程序制作者总是想逃避执法官员和安全专家的探测，因此会不断的改变联系信息。

St Sauver说，这些来来回回的通信使得垃圾邮件程序得以继续。

他说：“通常情况下，垃圾邮件程序就像代理一样，接收数据流，然后把同样的数据流反送回去，从而混淆了其真正的源头，并试图避开某些网站可能使用的数据流过滤器。或者，它也可以被用作垃圾邮件‘工厂，利用原始输入（例如，消息模板，假的‘发信人：标题行和主题，以及目标电子邮件地址列表等）做好垃圾信息，并随时准备发送。”

有时垃圾邮件程序会发现它们已经被禁止发送垃圾邮件。St Sauver解释说，但这并不能使垃圾邮件程序停止工作。如果一个垃圾邮件程序不能完成其主要任务，但仍然可以执行一些其他任务，例如对网站进行数据流欺骗，参与对某一受损网站的拒绝服务攻击等。

您怎样应对垃圾邮件程序？

不幸的是，垃圾邮件程序并没有遵循典型的长期行为模式；其攻击方法是不断变化的，这使得很难保护计算机不受感染。您可以更新企业的恶意软件检测软件，但垃圾邮件发送者总是能狡猾的找到解决的办法。

Gartner的Pingree说，由于恶意软件总是想避开反恶意软件技术，因此大企业开始转向采用恶意软件沙箱以及终端检测和响应解决方案，并与URL、域和IP地址封锁以及威胁情报共享相结合使用。

不断升级的战斗让情形变得更加可怕，安全机构与垃圾邮件程序制作者激烈的进行战斗——就像他们干的网络钓鱼诈骗一样冷酷无情。但也有些好消息。据专家的说法，垃圾邮件程序往往是很滥的程序，而且很容易放弃。如果您深入剖析它们并及时应对——更新你的检测软件和终端安全功能，它们就会翻身落马而被杀掉。endprint