由于将IP地址列入黑名单措施的成功实施,因此全球垃圾邮件的数量不断下降,但是,根据一名恶意软件专家的说法,IPv6互联网协议的采用可能会导致互联网服务提供商在使用反垃圾邮件软件设置IP地址黑名单时产生许多问题。
“我们必须将这些垃圾邮件程序放入黑名单中,” 戴尔SecureWorks 计算机安全公司威胁应对部门恶意软件研究主管Joe Stewart表示。“我担心的是,互联网服务供应商将继续使用这些IP地址,并且你所访问的位置恰恰是黑名单中的IP地址,而这些IP地址没有能扩展到IPv6互联网协议中。”
设置IP黑名单仅仅是一个用来防止垃圾邮件的很简单的方法,因为网络犯罪分子可以在数小时内通过新的IP地址不然重复发送垃圾邮件,Stewart说。网络犯罪分子也能够劫持已知的IP地址,例如,盗取一个邮件帐户地址,然后绕过黑名单的设置,造成网络邮件提供商的瘫痪。
互联网工程任务组(IETF)正在支持对IPv6互联网协议的部署,IPv6互联网协议将使IP地址长度从32位扩展到128位,因为互联网的发展正在使IP地址不断减少。 IPv6互联网协议的部署使网络服务供应商可以通过简单的方法提供给用户所需的IPv6地址,而不是静态地址,Stewart说。使用静态IP地址是很好,因为你可以永远将发送垃圾邮件的地址置于IP地址黑名单中,” 他说。给使用者分配一个静态IP地址对于互联网服务供应商来说过于昂贵了而且需要做大量的工作。
在2011年RSA信息安全会议上,Stewart发表了一份新的戴尔SecureWorks计算机安全公司的报告,根据Stewart的说法,这个问题可能会导致消费者的成本增加。除了概述关于IPv6部署所带来的潜在威胁外,报告详细介绍了僵尸网络程序应该为其所产生的垃圾邮件和恶意软件带给计算机用户的损失负责。 “这不仅仅是那些公司所接收到的垃圾邮件,还有来自于通过垃圾邮件程序扩散所产生,” Stewart说
很多公司还没有注意到垃圾邮件程序对于公司的预算所产生的巨大影响,但是它能够导致其他需要花很多钱才能解决的问题,Stewart说。公司应仔细检查已受感染的计算机,并确定他们是否应该被镜像恢复,他说。
“很多时候,垃圾邮件程序仅仅是冰山一角,” Stewart说。 “随着安装付费式恶意软件的不断出现,每次当一个垃圾邮件程序运行时,我们就会看到三个或更多的恶意软件随着它一起被安装。”
根据戴尔SecureWorks计算机安全公司报告的解释,Rustock恶意软件仍然是垃圾邮件输出的主要源头,估计有25万台计算机被此恶意软件感染而传播垃圾邮件和恶意软件。 Rustock恶意软件通过它的隐秘性感染Windows电脑。它被设计成rootkit程序文件,并隐藏在Windows计算机的内部。Stewart说Rustock恶意软件是最为创新的僵尸网络程序,并且目前还没有另一个挑战者出现。
网络罪犯通过Rustock恶意软件可以通过窃取和逃避病毒扫描程序。它使用加密技术来掩饰命令和控制指令,以避免被网络管理员终止其行为。
“隐藏在Rustock恶意软件后面的人正在尽其所能维持这个最强大的僵尸网络程序,使其为他们赚钱,” Stewart说。
Cutwail病毒是僵尸网络程序中最有竞争力的病毒之一。许多僵尸网络程序使用Cutwail病毒代码来自我复制垃圾邮件,从而不断扩大其僵尸网络。
其它的一些著名的僵尸网络包括Lethic,Grum,Festi和Maazben。Stewart说,垃圾邮件程序的大小并不意味着它可能带来的威胁就小。
“他们肯定都拥有一个较高的水平,因为它们可以躲在病毒扫描程序之下不会被发现,” Stewart说。 “他们并没有保持一个很高的姿态,因此很难去发现它们,目前僵尸网络已经有5000或20,000个僵尸程序,它们如此之多,因此变的更加强大。”
Stewart指出,去年FireEye公司的研究人员对臭名昭著的Mega-D僵尸网络倒闭事件研究显示该病毒有复苏的迹象。该僵尸网络的制造者出生于莫斯科,在美国威斯康星州接受刑事诉讼,他被指控创建和运营Mega-D僵尸网络。被该僵尸程序感染的计算机可以用来传播和发送垃圾邮件广告,其每天估计可以发出了超过千万的垃圾邮件。
“我认为这表明,如果一家公司把某些不确定的资源放入到域名中,那么这些僵尸网络就会获得成功,” Stewart 说。 “捕获这些病毒是不够的,从长远来看,需要解决的是防止僵尸网络的扩散。”
Stewart在他的报告中指出,不可能去指责那些拥有Mega-D代码的人,因此在未来可能还会出现类似的病毒。
更多内容请浏览:RSA 2011大会专题