僵尸网络的排名并不像我们想象的那么简单。该系列文章为大家总结了此类排名的逻辑顺序:
僵尸电脑的数量
发送的垃圾邮件字节数
发送的垃圾邮件数量
从宏观角度看,这之间的先后顺序没有什么重要性。但是技术专家们喜欢细节。计算僵尸电脑的数量或发送的字节数就已经可以用来排序了。也许在加上发送邮件的数量就更是足够了。
下面让我们来认识一下这十个垃圾邮件的僵尸网络:
1: Grum (Tedroo)
Grum 可以说是垃圾邮件僵尸网络的未来。它采用了内核模式的rootkit ,因此很难被检测到。同时它还很狡猾,采用自动执行的注册项来感染文件。这保证了恶意代码可以被有效激活。对于安全研究人员来说,这个垃圾邮件僵尸网络是非常值得研究的。它的规模相对较小,仅有60万台僵尸电脑,但是它每天发送的垃圾邮件数量占每日总垃圾邮件数量的四分之一,即400亿条。
Grum 发送的垃圾邮件大部分跟制药行业有关,具体内容我就不说了。很明显,这里面有与内容相关的资金支持。#p#
2: Bobax (Kraken/Oderoor/Hacktool.spammer)
Bobax 多多少少与Kraken 僵尸网络有联系,这是让僵尸网络追踪者困惑的一点。最近Bobax 又一次改写了代码,该作者将命令和控制流转变为了HTTP形式,使之更难以被拦截和追踪。
目前,Bobax 仅拥有10万台僵尸电脑,但是每天发送的垃圾邮件数量达270亿条,占全球每日垃圾邮件数量的15%。更具体一点,每台僵尸电脑每分钟就能发送出1400封垃圾邮件。Bobax 的垃圾邮件内容种类多样,看上去属于租用形式。#p#
3: Pushdo (Cutwail/Pandex)
Pushdo 是在2007年和另一个僵尸网络 Storm同时出现的。Storm已经不复存在了,但是Pushdo 却越来越强大,每日从大约150万台僵尸电脑中发送190亿封垃圾邮件。 Pushdo 是一个下载器,通过它可以进入被感染的电脑系统,并下载垃圾邮件程序Cutwail。
Pushdo/Cutwail僵尸网络发送的垃圾邮件内容很杂,包括医药产品,网络赌博,网络钓鱼邮件以及链接到包含恶意代码网站的邮件。#p#
4: Rustock (Costrat)
Rustock 是另一个至今仍然幸存的僵尸网络。在2008年McColo 关闭的时候,这个僵尸网络几乎被灭掉。但是如今它不但卷土重来,而且成为了规模最大的僵尸网络,拥有大约200万台僵尸电脑。在McColo之前,Rustock曾经发送了海量的垃圾邮件,然后进入了数个月的蛰伏期。如今,Rustock的特点是指在早上三点到七点间(美国东部时间)发送垃圾邮件。
Rustock 以用图片文件伪装合法新闻邮件的方式广为人知。对于大多数垃圾邮件过滤软件来说,图片垃圾邮件都是难以检测的。另外,Rustock还发送常见的药品广告和基于Twitter的垃圾邮件,每日发送垃圾邮件总量在170亿封左右。#p#
5: Bagle (Beagle/Mitglieder/Lodeight)
Bagle 这个僵尸网络是因为其作者的勤奋而出名的。从2004年起,它被修改了上百次。两年前,这个僵尸网络的开发者决定要利用Bagle挣钱,于是开始兜售电子邮件地址库。
如今的Bagle僵尸网络扮演者中继代理服务器的角色,它将上家的垃圾邮件转发给最终的用户。Bagle最多拥有大约50万台僵尸电脑 ,但是每天的垃圾邮件发送量高达140亿封。#p#
6: Mega-D (Ozdok)
Mega-D 是否是一个有名的僵尸网络,这取决于你的观点。在2009年11月,FireEye 的研究人员本可以通过注销该僵尸网络命令和控制服务器域名的方式关停这个网络。但是由于Mega-D 软件有一定的智能性,不断的重新生成新的域名,最终使得开发者重新控制了这个网络。
在前十大僵尸网络中, Mega-D算是规模最小的了,它只有大约5万台僵尸电脑。但是从每日发送110亿封电子邮件的数量看,它可一点也不小。如果用每台电脑每分钟发送的垃圾邮件数量来排名,Mega-D仅次于Bobax。 Mega-D的垃圾邮件内容包括网上药店的广告,以及男性功能增强药物广告。#p#
7: Maazben
Maazben 是在2009年6月才出现的新僵尸网络,不过它也引起了研究人员的高度兴趣。Maazben 是第一个既可以 基于代理服务器也可以基于模板的僵尸网络。垃圾邮件发送者们喜欢使用基于代理服务器的模式,因为代理服务器可以将发送源隐藏起来。但是如果被感染的僵尸电脑位于NAT设备后方,基于代理服务器的方式就无法工作了。
而新的技术肯定是有效的,因为Maazben的扩张速度惊人,其规模每月增长5%,在前十大僵尸网络中属于增长最快的僵尸网络。目前Maazben 拥有约30万台僵尸电脑,每天发送关于赌博的垃圾邮件25亿封。#p#
8: Xarvester (Rlsloup/Pixoliz)
Xarvester 是在 McColo关停后浮现在人们视野里的。研究者认为Xarvester僵尸网络是从关停的前辈那里继承了不少僵尸电脑。研究人员还发现了 Xarvester和另一个僵尸网络Srizbi (McColo数据中心关停后受到影响的一个僵尸网络)之间的很多类似之处。
目前Xarvester僵尸网络拥有6万台僵尸电脑,每日发送垃圾邮件25亿封。其中主要内容是药品广告,虚假文凭,山寨手表以及针对俄罗斯的垃圾邮件。#p#
9: Donbot (Buzus)
Donbot僵尸网络 相当独特,它是第一批使用缩短网址的僵尸网络,目的是隐藏垃圾邮件中的恶意链接地址。这么做可以有效增加邮件中链接的点击率。另外Donbot 看上去还被分割成了几个独立的小部分,每个小的僵尸网络负责发送不同类型的垃圾邮件。
Donbot 拥有10万台僵尸电脑,每天发送的垃圾邮件量为8亿封。邮件的内容多样,从减肥药到股票债券等都有。#p#
10: Gheg (Tofsee/Mondera)
第十大僵尸网络拥有三个明显的特点。首先,该僵尸网络发送的垃圾邮件按中,大约85%的垃圾邮件源自韩国。其次,Gheg 是为数不多的从命令和控制服务器到终端电脑间通过443端口采用非标准SSL连接和加密数据传输的僵尸网络。
第三,Gheg可以选择如何发送垃圾邮件。它可以作为传统的代理式垃圾邮件发送电脑,也可以通过被感染的网络电子邮件服务器发送垃圾邮件。 Gheg拥有6万台僵尸电脑,每天发送4亿封垃圾邮件,内容集中在制药行业。
转载请注明:IT运维空间 » 安全防护 » 十大垃圾邮件的僵尸网络
发表评论