剖析垃圾郵件程序

John+Brandon+楊勇

您的計算機現在可能正忙著為別人賺錢。但這還不是垃圾郵件程序干的最壞的事。

安全專家們都知道垃圾郵件程序是敵人，而外行們卻還是霧里看花。就像野餐桌上的螞蟻或者使用即時通信軟件的青少年那樣，這些垃圾郵件程序繁殖非常快。您可能每天都會收到垃圾郵件程序發送的數不盡的信息，更糟糕的是，一個垃圾郵件程序可能正在從您的計算機上發送無用的電子郵件，讓您在不知情的情況下助長了這種數字化的混亂。

考慮到這些不知情的人，我們應該了解垃圾郵件程序是怎樣工作的，它們干了些什么，怎么繁殖，而您可以做什么來保護自己不被裹挾進去，這些都是非常有幫助的。

它是怎樣開始的？

在您想知道垃圾郵件程序是怎樣感染您的計算機及其工作原理之前，首先應了解它們是如何產生的。

Thomas Pore是惡意軟件檢測公司Plixer的IT和服務總監，給《計算機世界》透露了一些駭人聽聞的細節。這通常始于黑客們，他們在暗網上購買了電子郵件地址數據庫。

這實際上比聽起來還容易，而且越來越容易了。雅虎最近宣布，其2013年所有30億個用戶帳戶被泄露了，包括電子郵件地址、密碼和出生日期等信息，這類新聞可能不會讓垃圾郵件程序制作者們感到驚奇。他們很可能多年來一直在自己的垃圾郵件程序中使用這些信息。垃圾郵件程序需要電子郵件地址，否則無法運行。任何垃圾郵件程序總是從收集電子郵件開始。

最初，垃圾郵件程序只是猜測電子郵件地址，嘗試著去隨機的感染計算機。Gartner的分析師Lawrence Pingree說，現在再也不是這樣了。有很多電子郵件地址待價而沽。利用社會工程學，垃圾郵件程序制作者建立惡性循環——成功的社會工程入侵會導致數據泄露，而成功的數據泄露又能夠提供更多的電子郵件地址。這就解釋了為什么數據泄露事件越來越多。這一切都是為了收集更多的信息去欺騙更多的人。

您是怎樣被感染的？

很難打擊垃圾郵件程序的一個原因是，其制作者總在不斷地改變策略。例如，最初感染時，在不知情用戶的計算機上安裝生成電子郵件的垃圾郵件程序。Pingree指出，一段時間以來，垃圾郵件發送者欺騙用戶無意中從惡意網站下載惡意軟件，或者使用網絡釣魚郵件，讓用戶點擊會帶來麻煩的鏈接。

安全部門的宣傳已經深入人心，即用戶應警惕來自陌生人的附件和鏈接。然而，垃圾郵件發送者已經轉而采用更復雜的策略。Pingree說，最近的一種方法是從用戶的Facebook Feed上盜取一張照片，然后通過電子郵件將其發送給該用戶，所包含的消息酷似Facebook的通知，聲稱一個朋友已經對這張照片發表了評論。如果回應，您的計算機就成了垃圾郵件程序主機，您絲毫也不知情。

還有一種方法，是在iPhone上顯示iTunes登錄和密碼對話框，但登錄是來自要竊取您帳戶信息的應用程序，很可能要在您手機上安裝惡意軟件——好在這還只是一種概念驗證。

Pingree說：“垃圾郵件制造者利用社會工程學（實在是‘掛羊頭賣狗肉），目的是讓用戶信任郵件，打開附件或者點擊電子郵件中的內容。”

如果用戶沒有上當去點擊，垃圾郵件發送者仍然能得到些東西。對垃圾郵件仔細地進行檢查會發現非常難以察覺的圖像標記。Farsight Security高級技術顧問和科學家Joe St Sauver說，當用戶打開電子郵件時，這一標記把點擊返回到垃圾郵件程序控制者，那么他就會知道用戶是一個真正的人。

在這種情況下，當一個垃圾郵件程序被成功的安裝到一臺新的計算機上后，它會開始發送更多的電子郵件，其中的大部分是網絡釣魚攻擊，甚至通過惡意軟件客戶端進一步傳播垃圾郵件程序代碼。

技術上有什么？

據Plixer的Pore講，一旦您的計算機被感染，垃圾郵件程序就開始與指揮控制中心通信——實際上就是幾個垃圾郵件程序主服務器。主服務器的運行方式與真正的電子郵件服務器驚人地相似。黑客收到垃圾郵件程序成功和失敗情況的報告。有時，命令中心向垃圾郵件程序發出關于向哪里發送信息的附加指令。Pore說，由于垃圾郵件程序制作者總是想逃避執法官員和安全專家的探測，因此會不斷的改變聯系信息。

St Sauver說，這些來來回回的通信使得垃圾郵件程序得以繼續。

他說：“通常情況下，垃圾郵件程序就像代理一樣，接收數據流，然后把同樣的數據流反送回去，從而混淆了其真正的源頭，并試圖避開某些網站可能使用的數據流過濾器。或者，它也可以被用作垃圾郵件‘工廠，利用原始輸入（例如，消息模板，假的‘發信人：標題行和主題，以及目標電子郵件地址列表等）做好垃圾信息，并隨時準備發送。”

有時垃圾郵件程序會發現它們已經被禁止發送垃圾郵件。St Sauver解釋說，但這并不能使垃圾郵件程序停止工作。如果一個垃圾郵件程序不能完成其主要任務，但仍然可以執行一些其他任務，例如對網站進行數據流欺騙，參與對某一受損網站的拒絕服務攻擊等。

您怎樣應對垃圾郵件程序？

不幸的是，垃圾郵件程序并沒有遵循典型的長期行為模式；其攻擊方法是不斷變化的，這使得很難保護計算機不受感染。您可以更新企業的惡意軟件檢測軟件，但垃圾郵件發送者總是能狡猾的找到解決的辦法。

Gartner的Pingree說，由于惡意軟件總是想避開反惡意軟件技術，因此大企業開始轉向采用惡意軟件沙箱以及終端檢測和響應解決方案，并與URL、域和IP地址封鎖以及威脅情報共享相結合使用。

不斷升級的戰斗讓情形變得更加可怕，安全機構與垃圾郵件程序制作者激烈的進行戰斗——就像他們干的網絡釣魚詐騙一樣冷酷無情。但也有些好消息。據專家的說法，垃圾郵件程序往往是很濫的程序，而且很容易放棄。如果您深入剖析它們并及時應對——更新你的檢測軟件和終端安全功能，它們就會翻身落馬而被殺掉。endprint