Grum是全球第三大垃圾郵件網(wǎng)絡(luò)。Grum每天產(chǎn)生大約180億封垃圾郵件，約占全球垃圾郵件的18%。在2012年7月7日在巴拿馬和荷蘭的僵尸服務(wù)器被攻破，但Grum藏身于烏克蘭和俄羅斯境內(nèi)的7臺新服務(wù)器數(shù)小時(shí)以后便又活躍起來。安全專家通過追蹤Grum的活動找到了這些新服務(wù)器的地址，最終與當(dāng)?shù)豂SP(互聯(lián)網(wǎng)服務(wù)提供商)合作，將它們?nèi)筷P(guān)閉。

日前，spiderlabs發(fā)布博文稱，2012年7月7日僅僅是暫時(shí)性的關(guān)閉了Grum服務(wù)器，Grum又起死回生了，如下圖：

spiderlabs分析Grum樣本，發(fā)現(xiàn)Grum鏈接到一些新的C&C服務(wù)器，如下：

188.93.233.2

185.4.227.170

198.144.156.187

80.86.253.3

84.22.104.163

在C&C服務(wù)器利用80端口的GET請求來進(jìn)行通信，如下：

GET /spm/s_get_host.php?ver=[bot version]

s_get_host.php 受感染的機(jī)器IP和主機(jī)名

GET /spm/s_alive.php?id=[bot machineid]&tick=[system tick]&ver=[bot version]&smtp=[ok|bad]

s_alive.php 返回受感染機(jī)器是否存活，以及BOT ID、system tick、bot version和SMTP狀態(tài)

GET /spm/s_task.php?id=[bot machine id]&tid=xxxxx

s_task.php 定制任務(wù)和垃圾郵件模板

GET /spm/s_report.php?task=[task id]&id=[bot machine id]&errors[xxx]=xx

s_report.php 返回一些錯(cuò)誤信息

垃圾郵件的模板如下：

spiderlabs實(shí)驗(yàn)室發(fā)現(xiàn)垃圾郵件中很多鏈接是鏈到非法藥品經(jīng)營類網(wǎng)站，并且列出了一個(gè)詳細(xì)網(wǎng)站名單，點(diǎn)擊這里查看。并且表示，Grum非常根深蒂固，2012年7月7日也許僅僅是一個(gè)開始。