周一刚上班,某中型企业的网管员小王就陷于忙乱当中,只是几封垃圾邮件,竟然让整个企业都没有办法正常工作。趋势科技提醒互联网用户, 近日出现一些值得注意的垃圾邮件在互联网上四处流传。要提高警惕以免受害。
新型垃圾邮件流毒无穷
垃圾邮件散发者为了避免被垃圾邮件过滤器拦截,采用了更加狡猾的办法。首先是与 NUWAR 蠕虫家族有关的垃圾邮件,据趋势科技网络安全专家蔡昇钦分析,这次采用的新花招与以往的手法不同,以往的手法会在使用者点击邮件内附的链接之后,立即下载蠕虫,但是现在这种新型垃圾邮件内附的链接却是指向一个网页。上述网页会显示一个错误讯息告知使用者必须安装 Microsoft Data Access 才能正常显示这封电子贺卡。
ZLOB 木马程序就擅长使用这种手法,将自己伪装成使用者“必须”安装才能观赏影片的译码程序,然而,就算使用者未点击上述链接,网页本身也含有一个 JavaScript, 能利用 Microsoft Data Access Components (MDAC) 弱点下载木马下载程序,真是明枪易躲暗箭难防,然后,这些下载程序会将 NUWAR 变种系载到受感染的系统中。
趋势科技已将这个恶意 JavaScript 定义为 JS_DLOADER.PCT。此外,下载程序与 NUWAR 变种则分别被定义为 TROJ_DLOADER.KTY、TROJ_TIBS.AMA 与 WORM_NUWAR.MV。这两封垃圾邮件与其恶意程序组件之间仍有一些细微的差异,但趋势科技产品的使用者只要持续更新病毒码档案便能获得完整的保护。
第二类值得注意的新型垃圾邮件散播手法则是利用特殊字符。看上去非常凌乱。虽然这些邮件所散播的内容虽然是时下人人关心的股票问题,但是这种加以混淆处理的手法显得十分可疑。
据趋势科技网络安全专家蔡昇钦表示,制造这些垃圾邮件的人显然是想躲避安全应用程序所采用的过滤技术。“散发垃圾邮件的成本非常低,因此他们所散发的垃圾邮件是否具有实质意义并不重要。”蔡教授表示。“终究会有股票迷把这些邮件当成一回事,这样垃圾邮件散播者便可能从中获利。”
企业组外把关 IGSA阻挡新型垃圾邮件
要阻止垃圾邮件进入组织的最好方式,就是在垃圾邮件仍在组织外部时立即予以拦截,让它们没有机会进入组织的邮件服务器。趋势科技信誉服务的使用更可以提高此方式的效率:ERS(Email Reputation Services)邮件信誉服务可以准确地辨识出垃圾邮件散发者并拦截它们的电子邮件。
信誉服务的运作方式是利用公司的客户、合作伙伴、供货商数据库,或研究实验室来监控讯息流量。高效率的信誉服务会收集发送自传送IP地址的电子邮件历程记录和电子邮件模板,进而追踪并分辨出哪些 IP 与网域会传送合法或非法的电子邮件。
邮件信誉服务的主要优点在于,它们不需要在组织层级使用复杂的扫瞄引擎,像启发性引擎就可以过滤出上千种的讯息。最后,启发性和统计性引擎可以很有效率地侦测出垃圾邮件,但随着每日讯息流量的大量增加,也会让频宽成本逐渐提高并降低邮件寄送速度,尤其流量达到高峰时更会加剧。
另一方面来说,邮件信誉服务对电子邮件传送的影响最小(事实上还可以改善邮件寄送速度),甚至可以在垃圾邮件进入网络之前将当中的大部分清除。借此大幅减少会影响组织电子邮件安全系统的流量,让信誉服务成为启发性和统计性过滤器的完美实现。趋势科技IGSA整合趋势科技的邮件信誉服务,阻挡垃圾邮件发送源头,该设备同时内建SPS (Spam Prevention Service)引擎,协助过滤垃圾邮件。
为了对付来自垃圾邮件的新形威胁,趋势科技化被动为主动,将最新的Web信誉服务技术运用于其领先的安全内容管理设备,即适用于中型企业的Trend Micro™ InterScan™ 网关安全设备IGSA。趋势科技IGSA1.5集成了Web信誉技术和电子邮件信誉技术,其他新型增强特性包括过滤图像垃圾邮件和预防数据泄露,能够全面的防御网络威胁。趋势科技的Web信誉服务技术可以基于域名分析和URL信任评价为网站确定“信誉”,从而有助于打破感染链。这一技术可以在网络威胁(包括零日攻击)到达网络之前对其进行防范。趋势科技Web信誉技术将追踪上亿网络域名的生命周期,从而将经过验证的趋势科技电子邮件反垃圾信誉保护扩展至整个网络。
网友评论