[转帖]PDF文件成最新垃圾邮件工具 台湾第二大发送地

安全厂商警告，一种利用pdf的新型态垃圾邮件近日兴起，可能取代图像式垃圾邮件，成为更棘手的垃圾邮件类型。
赛门铁克、网擎(openfind)日前不约而同发布垃圾邮件观察报告指出，以夹带图片文件的方式，以规避传统防垃圾邮件扫瞄技术的图像垃圾邮件(image spam)，近日已有了新种变形--pdf垃圾邮件，厂商并发现部份伪装成专业期刊、制作精美的pdf垃圾邮件，借以吸引使用者阅览，并预期可能取代图像式垃圾邮件，成为邮件安全厂商最头痛的攻击手法。

所谓pdf垃圾邮件，即为夹带pdf文件的垃圾邮件。赛门铁克台湾技术顾问总监王岳忠解释，垃圾邮件设计者利用一般防垃圾邮件系统不会针对pdf格式文件进行扫瞄的弱点，将过去的文字与图像垃圾邮件结合，重新设计成pdf格式的文件，提高垃圾邮件到达终端使用者的机率，达到广告宣传或散布钓鱼信息的目的。

此外，由于pdf文件可同时包含图片与文字，文件通常较一般图像垃圾邮件大，网擎便警告，虽然pdf垃圾邮件未必会夹带恶意链接导致中毒，但却会对企业频宽与存储造成负担，建议企业及早反应。

不过可以松一口气的是，pdf垃圾邮件风暴目前仍以海外为主，尚未侵袭台湾市场。

网擎表示，出现还不到一个月的pdf垃圾邮件，目前已占全球所有垃圾邮件类型的10~15%，且持续增加中，但若比对该公司托管的企业邮件，目前台湾地区pdf垃圾邮件所占比例还不到1%。

不过，网擎产品经理卢诗萍表示，虽然目前状况不严重，但过去一周却是以每天20~30%的速度成长，她认为依照过去图像垃圾邮件先在国外泛滥，再快速蔓延到台湾地区的趋势，台湾很快也会面临pdf垃圾邮件的问题。

台湾成第二大发送地

虽然台湾使用者可能还感受不到pdf垃圾邮件的窜起，但安全厂商表示，台湾其实已成为全球第二大的pdf垃圾邮件发送地。

网擎引用防垃圾邮件技术厂商commtouch的统计数字指出，才出现不到一个月的pdf垃圾邮件，有14%来自中国台湾，仅次于美国的24%，居全球第二。

而台湾地区高居pdf垃圾邮件发送源第二位的原因，网擎科技邮件安全产品经理卢诗萍解释，由于垃圾邮件主要由僵尸计算机(botnet)发送，而台湾botnet相当泛滥，导致此种垃圾邮件虽才刚出现，台湾便榜上有名。

趋势科技台湾技术营销部经理戴燊亦说，趋势科技虽未针对垃圾邮件类型统计其来源，但hinet为趋势科技目前观察到全球第14大的垃圾邮件来源isp。

厂商端解决方法

尽管pdf格式文件多半不会被防垃圾邮件系统过滤，但厂商仍端出各自不同的应对方式。

率先发布警讯的赛门铁克表示，赛门铁克邮件安全系统(symantec mail security)相关产品具有内容过滤功能，能针对pdf格式的文件进行过滤，it人员仅需开启该功能即可。但王岳忠坦言，增加过滤的文件类型多少会对系统效能有部份影响，但他认为性能表现差距应不会太大。

趋势科技则采取信件来源评等的方式过滤pdf垃圾邮件。戴燊表示，垃圾邮件的花样不断变化，检查每个附加文件不但会影响系统性能，也无法应付未来更多变的攻击手法。

他表示，趋势科技通过比对垃圾邮件的来源ip位置、网域名称，以及是否采用随机数网域名称等不同技术，判断是否为垃圾邮件，先挡掉较危险的信件，才进行内容过滤，提高效能。

至于网擎，卢诗萍表示，该公司采用自行开发的特征比对引擎，加上commtouch的行为比对技术，以双引擎的方式，在不必检查pdf文件内容的情况下，亦能阻挡此类新形态垃圾邮件。