“风暴”蠕虫推动PDF垃圾邮件猛增

据安全厂商MessageLabs的研究人员称，"风暴"(Storm)蠕虫正在产生PDF文件以避开杀毒软件的检测和用外表看起来好像是商业信函的电子邮件欺骗员工。

　　PDF文件的趋势显著减少了图像垃圾邮件的数量。但是，企业广泛应用的PDF文件格式正在迫使垃圾邮件过滤厂商迅速开发区分PDF垃圾邮件和合法的PDF文件的技术。

　　英国MessageLabs公司高级反垃圾邮件专家Matt Sergeant说，虽然包含PDF文件的新的电子邮件目前携带的是广告，但是，这种邮件发展下去也可以携带包括Bot代码在内的恶意代码。这种恶意软件也可以自动下载到受害者的计算机中。

　　Sergeant说，这是我们正在密切关注的东西。垃圾邮件制造者对于扩大他们的僵尸网络一直是很感兴趣的。因此，这可能成为他们在不久的将来试图要使用的东西。

　　"风暴"蠕虫目前占全部垃圾邮件的大约30%。自从今年1月以来，这种特洛伊木马程序一直在积极传播，最开始是以电子邮件的方式在标题中使用各种虚假的新闻标题利用人们对欧洲大型风暴的担心进行传播。芬兰杀毒软件公司F-Secure说，这种特洛伊木马程序开始使用内核模式rootkit技术隐藏其传播bot的文件、注册键和活跃网络连接。

　　"风暴"蠕虫最近还把自己伪装成家庭成员的问候卡，欺骗人们点击其电子邮箱中的恶意的URL地址。这个蠕虫在美国独立日期间还利用爱国信息欺骗人们上当，使人们受到蠕虫感染。

　　其它安全厂商也检测到了新的"风暴"蠕虫种类。赛门铁克在6月份报告图像垃圾邮件下降了。赛门铁克在每月报告中称，PDF垃圾邮件的出现是图像垃圾邮件下降的一个原因。

　　赛门铁克在安全反应博客中说，这种PDF附件导致信息容量非常大。我们上个月一直在监视这个事情。但是，这种PDF附件上个星期才真正开始增加。到目前为止，我们已经检测到了2500多万个PDF垃圾邮件。

　　赛门铁克称，6月份检测到的最主要的PDF垃圾邮件是股票拉高出货阴谋的垃圾邮件。一旦打开这种垃圾邮件，就会出现一个股票代码图像，一些文本信息指出这是要买入的股票。

　　Sergeant说，利用图像垃圾邮件能够成功地绕过许多垃圾邮件过滤器。这种恶意软件的传播就是因为图像垃圾邮件应用的快速增长。

　　Sergeant说，我们看到这种垃圾邮件行为的变化非常快，并且能够立即变换自己的目的。目前整个僵尸网络的很大一部分都采用PDF垃圾邮件。

　　Sergeant表示，IT专业人员应该检查一下，确认垃圾邮件过滤器有PDF功能，并且通知员工对来源不明的PDF文件持怀疑态度。

　　目前一些拥有PDF能力的过滤软件能够识别恶意的PDF文件，其方法是通过检查文件中的代码确定文件结构和文件的创建方式。研究人员目前正设法开发一种更好的放大来消除PDF垃圾邮件。