今天遭遇了一封冒充微软技术支持部门发送的电子邮件,如果用户不小心点击邮件附件里名字为“setup.reg”的注册表文件,并选择了注册的话,会发现自己浏览器的默认首页变成了某个导航网站的页面。
这封邮件的发送地址为:support@microsoft.com,所显示的发件人为“微软(中国)有限公司”,邮件标题是“您的潜力,我们的动力20345”。
====================================================
From: 微软(中国)有限公司
To: *** <***@staff.***.com>
Subject: 您的潜力,我们的动力20345
Date: 2008-7-8 11:32:35
====================================================
邮件正文:
***@staff.***.com,您好:
致
礼!
hxxp://www.microsoft.com/
hxxp://www.kao1234.cn/list/81shiyongchaxun.htm
hxxp://www.kao1234.cn/list/79baiqiang.htm
hxxp://www.kao1234.cn/list/200shipin.htm
微软(中国)有限公司
support@microsoft.com
2008-07-08
附件文件setup.reg内容为:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Start Page"="hxxp://www.kao1234.cn/?id=248689"
如果点击这个文件会弹出提示页面,询问“是否确认要将……setup.reg中的信息添加进注册表?”
到这里,问题出来了。微软为什么要发一个附件为注册表文件的邮件,并修改IE默认首页地址呢?难道微软和这个什么“kao1234”有合作?如果是有合作为什么不在正文里予以说明?
为此,编辑特与微软(中国)有限公司安全专家就此事进行了沟通,最终确认这是一封假冒微软技术支持部门发送的恶意推广邮件。
打假揭秘
1、疑点一:IP地址
这封邮件最大的破绽就在于它的邮件发出IP地址,通过查看邮件头信息,发现一段可疑文字:
Received: from [124.132.21.173] by [211.147.5.154] with StormMail ESMTP id 51975.1915358778;
其中211.147.5.154为北京IP地址,而124.132.21.173则露出马脚,其来源是“山东省济宁市 网通”。
IP 211.147.5.154 来源
IP 124.132.21.173 来源
2、疑点二:附件文件
这里再来看附件中的“setup.reg”文件。这是一个注册表文件,其中的内容就是要把浏览器主页的默认地址设定为“hxxp://www.kao1234.cn/?id=248689”这个地址(出于安全考虑,文中链接地址中的“http”均被替换为“hxxp”)。
3、疑点三:邮件正文
一般而言,真正的微软公司邮件,会在正文里对邮件主题所述事件进行详细解说。但这封邮件,正文没有写任何文字。只是在落款位置放置了几个链接。第一个为微软公司网站地址——这应该是为了进一步迷惑观看邮件者;后3个则为其所推广网站分页面链接。
深度分析
在没有任何说明的情况下,修改浏览器默认主页地址,而且实际的邮件来源地址还不是微软(中国)有限公司技术支持部门所在地北京。
由此综合判断,这是一封冒充微软公司发送的恶意推广邮件。
意在使邮件接收者在看到微软地址、字样后放松警惕,点击打开附件中的注册表文件,进而修改浏览器主页为其所推广网站地址,加大其网站的访问量。
这封冒充推广邮件,充分运用社会工程学,利用人们对大公司的信任,骗取其去点击打开问题文件,最终达到自己推广的目的。
好在这次仅仅是修改浏览器默认主页,而没有其他危害动作。可如果这是一个病毒木马,那造成的损失将远不止一个网页地址那么简单。
警示
这里提请用户在接收邮件时,要仔细阅读正文,谨慎打开可疑附件。如有问题,及时找专业人员咨询。
