趋势科技最近发现好几起利用热门文档代管服务Dropbox的垃圾邮件。邮件的内嵌链接会下载UPATRE恶意软件变种。UPATRE以下载恶意软件而恶名昭彰，其中包括ZBOT恶意软件、CryptoLocker勒索软件 Ransomware 和网银木马ZeuS，新变种甚至可以避开防病毒软件。

垃圾邮件会通过以下几种方式进行病毒传播：

1、伪装成eFax传真通知邮件，并且在邮件内文加入Dropbox链接。一旦不知情的使用者点入链接，就会被导入到一个Dropbox网址，进而下载被侦测为TROJ_UPATRE.YYMV的恶意文档。一旦执行，它会下载一个ZBOT变种，侦测为TSPY_ZBOT.YYMV，它会植入一个被侦测为RTKT_NECURS.MJYE的Rootkit程序。该NECURS变种会在受感染系统上停用安全解决方案，造成进一步的感染。

（图一、垃圾邮件样本）

（图二、正常的eFax电子邮件通知）

2、伪装成来自NatWest银行，夹带了所谓的NatWest银行金融活动账单，它其实是TROJ_UPATRE恶意软件。同样的，它有着UPATRE-ZBOT-NECURS的感染链。根据趋势科技的调查，这波垃圾邮件攻击同样利用其他正常公司的名称，如Lloyds银行、eFax、Intuit、ADP、BBB和Skype等等。此类垃圾邮件中带有Dropbox链接，会重新导向加拿大药局网站。趋势科技已通知并发布了受影响账号的列表和那些看起来在Dropbox内托管恶意软件的账号。

3、利用纳税作为主题的垃圾邮件也有着一样的UPATRE、ZBOT、NECURS感染链。根据趋势科技的统计资料，UPATRE仍是今年一月到五月通过垃圾邮件散播最多的恶意软件。



（图三：2014年一到五月透过垃圾邮件散播的恶意软件前五名）

 

以上这三种伪装方式是网络犯罪分子最常用的手段，他们会利用人们的好奇心，以流行事物为诱饵，滥用合法的Dropbox链接来诱使用户下载各种恶意软件，进而导致系统感染和数据窃取。趋势科技会侦测所有相关垃圾邮件样本和恶意档案来保护使用者免于此威胁。