John+Brandon+楊勇

您的計(jì)算機(jī)現(xiàn)在可能正忙著為別人賺錢(qián)。但這還不是垃圾郵件程序干的最壞的事。

安全專(zhuān)家們都知道垃圾郵件程序是敵人，而外行們卻還是霧里看花。就像野餐桌上的螞蟻或者使用即時(shí)通信軟件的青少年那樣，這些垃圾郵件程序繁殖非?？?。您可能每天都會(huì)收到垃圾郵件程序發(fā)送的數(shù)不盡的信息，更糟糕的是，一個(gè)垃圾郵件程序可能正在從您的計(jì)算機(jī)上發(fā)送無(wú)用的電子郵件，讓您在不知情的情況下助長(zhǎng)了這種數(shù)字化的混亂。

考慮到這些不知情的人，我們應(yīng)該了解垃圾郵件程序是怎樣工作的，它們干了些什么，怎么繁殖，而您可以做什么來(lái)保護(hù)自己不被裹挾進(jìn)去，這些都是非常有幫助的。

它是怎樣開(kāi)始的？

在您想知道垃圾郵件程序是怎樣感染您的計(jì)算機(jī)及其工作原理之前，首先應(yīng)了解它們是如何產(chǎn)生的。

Thomas Pore是惡意軟件檢測(cè)公司Plixer的IT和服務(wù)總監(jiān)，給《計(jì)算機(jī)世界》透露了一些駭人聽(tīng)聞的細(xì)節(jié)。這通常始于黑客們，他們?cè)诎稻W(wǎng)上購(gòu)買(mǎi)了電子郵件地址數(shù)據(jù)庫(kù)。

這實(shí)際上比聽(tīng)起來(lái)還容易，而且越來(lái)越容易了。雅虎最近宣布，其2013年所有30億個(gè)用戶(hù)帳戶(hù)被泄露了，包括電子郵件地址、密碼和出生日期等信息，這類(lèi)新聞可能不會(huì)讓垃圾郵件程序制作者們感到驚奇。他們很可能多年來(lái)一直在自己的垃圾郵件程序中使用這些信息。垃圾郵件程序需要電子郵件地址，否則無(wú)法運(yùn)行。任何垃圾郵件程序總是從收集電子郵件開(kāi)始。

最初，垃圾郵件程序只是猜測(cè)電子郵件地址，嘗試著去隨機(jī)的感染計(jì)算機(jī)。Gartner的分析師Lawrence Pingree說(shuō)，現(xiàn)在再也不是這樣了。有很多電子郵件地址待價(jià)而沽。利用社會(huì)工程學(xué)，垃圾郵件程序制作者建立惡性循環(huán)——成功的社會(huì)工程入侵會(huì)導(dǎo)致數(shù)據(jù)泄露，而成功的數(shù)據(jù)泄露又能夠提供更多的電子郵件地址。這就解釋了為什么數(shù)據(jù)泄露事件越來(lái)越多。這一切都是為了收集更多的信息去欺騙更多的人。

您是怎樣被感染的？

很難打擊垃圾郵件程序的一個(gè)原因是，其制作者總在不斷地改變策略。例如，最初感染時(shí)，在不知情用戶(hù)的計(jì)算機(jī)上安裝生成電子郵件的垃圾郵件程序。Pingree指出，一段時(shí)間以來(lái)，垃圾郵件發(fā)送者欺騙用戶(hù)無(wú)意中從惡意網(wǎng)站下載惡意軟件，或者使用網(wǎng)絡(luò)釣魚(yú)郵件，讓用戶(hù)點(diǎn)擊會(huì)帶來(lái)麻煩的鏈接。

安全部門(mén)的宣傳已經(jīng)深入人心，即用戶(hù)應(yīng)警惕來(lái)自陌生人的附件和鏈接。然而，垃圾郵件發(fā)送者已經(jīng)轉(zhuǎn)而采用更復(fù)雜的策略。Pingree說(shuō)，最近的一種方法是從用戶(hù)的Facebook Feed上盜取一張照片，然后通過(guò)電子郵件將其發(fā)送給該用戶(hù)，所包含的消息酷似Facebook的通知，聲稱(chēng)一個(gè)朋友已經(jīng)對(duì)這張照片發(fā)表了評(píng)論。如果回應(yīng)，您的計(jì)算機(jī)就成了垃圾郵件程序主機(jī)，您絲毫也不知情。

還有一種方法，是在iPhone上顯示iTunes登錄和密碼對(duì)話框，但登錄是來(lái)自要竊取您帳戶(hù)信息的應(yīng)用程序，很可能要在您手機(jī)上安裝惡意軟件——好在這還只是一種概念驗(yàn)證。

Pingree說(shuō)：“垃圾郵件制造者利用社會(huì)工程學(xué)（實(shí)在是‘掛羊頭賣(mài)狗肉），目的是讓用戶(hù)信任郵件，打開(kāi)附件或者點(diǎn)擊電子郵件中的內(nèi)容。”

如果用戶(hù)沒(méi)有上當(dāng)去點(diǎn)擊，垃圾郵件發(fā)送者仍然能得到些東西。對(duì)垃圾郵件仔細(xì)地進(jìn)行檢查會(huì)發(fā)現(xiàn)非常難以察覺(jué)的圖像標(biāo)記。Farsight Security高級(jí)技術(shù)顧問(wèn)和科學(xué)家Joe St Sauver說(shuō)，當(dāng)用戶(hù)打開(kāi)電子郵件時(shí)，這一標(biāo)記把點(diǎn)擊返回到垃圾郵件程序控制者，那么他就會(huì)知道用戶(hù)是一個(gè)真正的人。

在這種情況下，當(dāng)一個(gè)垃圾郵件程序被成功的安裝到一臺(tái)新的計(jì)算機(jī)上后，它會(huì)開(kāi)始發(fā)送更多的電子郵件，其中的大部分是網(wǎng)絡(luò)釣魚(yú)攻擊，甚至通過(guò)惡意軟件客戶(hù)端進(jìn)一步傳播垃圾郵件程序代碼。

技術(shù)上有什么？

據(jù)Plixer的Pore講，一旦您的計(jì)算機(jī)被感染，垃圾郵件程序就開(kāi)始與指揮控制中心通信——實(shí)際上就是幾個(gè)垃圾郵件程序主服務(wù)器。主服務(wù)器的運(yùn)行方式與真正的電子郵件服務(wù)器驚人地相似。黑客收到垃圾郵件程序成功和失敗情況的報(bào)告。有時(shí)，命令中心向垃圾郵件程序發(fā)出關(guān)于向哪里發(fā)送信息的附加指令。Pore說(shuō)，由于垃圾郵件程序制作者總是想逃避執(zhí)法官員和安全專(zhuān)家的探測(cè)，因此會(huì)不斷的改變聯(lián)系信息。

St Sauver說(shuō)，這些來(lái)來(lái)回回的通信使得垃圾郵件程序得以繼續(xù)。

他說(shuō)：“通常情況下，垃圾郵件程序就像代理一樣，接收數(shù)據(jù)流，然后把同樣的數(shù)據(jù)流反送回去，從而混淆了其真正的源頭，并試圖避開(kāi)某些網(wǎng)站可能使用的數(shù)據(jù)流過(guò)濾器?；蛘?，它也可以被用作垃圾郵件‘工廠，利用原始輸入（例如，消息模板，假的‘發(fā)信人：標(biāo)題行和主題，以及目標(biāo)電子郵件地址列表等）做好垃圾信息，并隨時(shí)準(zhǔn)備發(fā)送?！?/p>

有時(shí)垃圾郵件程序會(huì)發(fā)現(xiàn)它們已經(jīng)被禁止發(fā)送垃圾郵件。St Sauver解釋說(shuō)，但這并不能使垃圾郵件程序停止工作。如果一個(gè)垃圾郵件程序不能完成其主要任務(wù)，但仍然可以執(zhí)行一些其他任務(wù)，例如對(duì)網(wǎng)站進(jìn)行數(shù)據(jù)流欺騙，參與對(duì)某一受損網(wǎng)站的拒絕服務(wù)攻擊等。

您怎樣應(yīng)對(duì)垃圾郵件程序？

不幸的是，垃圾郵件程序并沒(méi)有遵循典型的長(zhǎng)期行為模式；其攻擊方法是不斷變化的，這使得很難保護(hù)計(jì)算機(jī)不受感染。您可以更新企業(yè)的惡意軟件檢測(cè)軟件，但垃圾郵件發(fā)送者總是能狡猾的找到解決的辦法。

Gartner的Pingree說(shuō)，由于惡意軟件總是想避開(kāi)反惡意軟件技術(shù)，因此大企業(yè)開(kāi)始轉(zhuǎn)向采用惡意軟件沙箱以及終端檢測(cè)和響應(yīng)解決方案，并與URL、域和IP地址封鎖以及威脅情報(bào)共享相結(jié)合使用。

不斷升級(jí)的戰(zhàn)斗讓情形變得更加可怕，安全機(jī)構(gòu)與垃圾郵件程序制作者激烈的進(jìn)行戰(zhàn)斗——就像他們干的網(wǎng)絡(luò)釣魚(yú)詐騙一樣冷酷無(wú)情。但也有些好消息。據(jù)專(zhuān)家的說(shuō)法，垃圾郵件程序往往是很濫的程序，而且很容易放棄。如果您深入剖析它們并及時(shí)應(yīng)對(duì)——更新你的檢測(cè)軟件和終端安全功能，它們就會(huì)翻身落馬而被殺掉。endprint