近年来，感染物联网（IoT）设备的僵尸网络在不断增加，主要用于实施分布式拒绝服务（DDoS）攻击。但最近研究人员发现，网络犯罪分子正在使用僵尸网络中大规模的发送垃圾邮件。

俄罗斯安全公司Doctor Web进行的最新研究显示，Linux木马ProxyM被网络犯罪分子用来进行在线匿名。并且ProxyM已经得到更新，增加了垃圾邮件发送功能来赚钱。

Linux.ProxyM木马是在今年2月由安全公司发现的，截至2017年6月，它已经实现了将近10,000个节点网络的大小。并且几乎可以在所有的Linux设备上运行，具体包括路由器，机顶盒和具有以下体系结构的其他设备：x86、MIPS、PowerPC、MIPSEL、ARM、Motorola 68000、Superh和SPARC。

Linux木马如何工作？

一旦感染了Linux.ProxyM，该设备就会连接到命令并控制（C＆C）服务器来下载两个Internet节点的地址：

第一个提供登录名和密码列表

第二个操作需要SOCKS代理服务器

C＆C服务器还会发送一个包含SMTP服务器地址（用于访问它的凭据),电子邮件地址列表和消息模板的命令，这其中包含各种成人内容站点的广告。

使用感染木马程序的设备发送的电子邮件会包含这样一条消息，具体内容如下：

主题：你喜欢这个时髦的女生吗？
她此刻正在期待能够见到你。
她是个辣妹！
来这里看看你想要的约会（将链接复制并粘贴到浏览器）
HTTP://whi*******today.com/
查看性感约会资料
我们非常真诚，这里有很多热辣的约会正在等待你！

平均而言，每个受感染的设备每天将发送400个这样的电子邮件。

虽然感染此木马的设备总数不明，但Web研究员认为，这个数字在数月内将会有所改变。

根据过去30天Linux.ProxyM攻击数据显示，大多数感染设备位于巴西和美国，其次是俄罗斯、印度、墨西哥、意大利、土耳其、波兰、法国和阿根廷。

Web研究人员说：“我们可以想象，将来这个Linux木马会扩展功能范围，增加更多能力。”

物联网长期以来一直是网络犯罪分子的焦点，并能够感染具有各种硬件体系结构的设备，这次这个恶意Linux程序的广泛分布就充分的证明了这一点。