近日，来自Vertek公司的一名安全研究人报告称，已经有超过4300万个电子邮件地址从垃圾邮件僵尸网络的命令和控制（C&C）服务器中泄露。

据悉，Vertek公司的这名威胁情报分析师是在研究最近发布的一个Trik木马版本恶意软件活动时，发现了这一大规模的数据泄露现象。据研究人员介绍，这个最近发布的Trik木马版本通过第二阶段的有效载荷——即GandCrab 3 勒索软件，来感染用户。

Vertek研究人员发现，Trik和GandCrab能够下载恶意文件，并从位于俄罗斯某个IP地址上的网络服务器感染用户系统。但是，实施该操作背后的恶意人员错误配置了其服务器，所以，才会导致服务器内容可供任何能够直接访问该IP地址的人员查看。

在这台服务器上，研究人员找到了2201个文本文件，这些文件从1.txt到2201.txt按照顺序整齐标记，其中每个文件均包含大约20,000个电子邮件地址信息。

Vertek的研究人员认为，该服务器背后的运营商一直在使用这些收件人列表，来为其它订阅其服务的犯罪分子通过垃圾邮件活动传播各种恶意软件。

服务器泄露43,555,741个唯一的电子邮件地址

研究人员表示，

我们已经将这些地址都提取了出来，以验证它们是否唯一且合法。结果证实，在这44,020,000个潜在地址中，共有43,555,741个地址是唯一的。

目前，该研究人员正在与澳大利亚安全专家Troy Hunt（Have I Been Pwned服务所有者）合作，以确定这些电子邮件地址中有多少是新的，以及有多少电子邮件地址曾出现在其它数据泄露事件中。研究人员指出，

这些电子邮件地址来自世界各地。拥有唯一邮件域名共计460万个，包括.gov、.com，以及多个私营企业的域名等。

研究人员分析这些文件后，已经按域名将所有电子邮件地址归了类。在其公布的一份名单中（附在文末），他指出，绝大多数电子邮件地址都是之前泄露过的，而且它们大多属于老牌电子邮件服务，如雅虎（1060 万个）以及 AOL（830万个）。

令人惊讶的是，虽然此次泄露事件中包含许多自定义电子邮件域名，但却很少能看见Gmail地址，这就意味着，这些电子邮件地址数据库可能并不完整，或者是这起恶意软件活动专门针对使用老旧电子邮件服务的用户。

Trik木马病毒

Trik木马是一款典型的恶意软件下载器。它能够感染计算机并将它们组建成一个庞大的僵尸网络。该僵尸网络背后的运营商利用这些计算机发送新的垃圾邮件活动，或者向其他犯罪分子出售“安装空间”，从而为受害者造成更有力的威胁，这与他们将“安装空间”租赁给GandGrab团伙用于Vertek发现的恶意活动类似。

据Proofpoint报告称，Trik木马已经至少活跃了10年之久，但最近才再次出现了复苏迹象。在早期阶段，Trik木马主要是作为蠕虫通过可移动USB存储设备、Skype或Windows Live Messenger聊天软件进行自我传播。这些基于蠕虫的变体此前被称为“Phorpiex”。

经过几年的发展，该恶意软件已经成为一个完全成熟的木马程序，当时它甚至fork了SDBot木马的代码库，并开始通过垃圾电子邮件活动作为其主要的传播和感染机制，同时还将自身体系结构切换为受IRC控制的僵尸网络体系结构。

事实上，Trik并不是第一个泄露自身电子邮件地址数据库的垃圾邮件僵尸网络。早在2017年8月，被称为“Onliner”的垃圾邮件活动，就已经泄露了用于发送垃圾电子邮件的711个邮件地址。

在撰写本文时（美国时间6月12日上午11：22），泄露电子邮件地址的Trik命令和控制服务器正处于间歇性脱机状态。

被泄数据中包含的前10个邮件域名：

· 8907436yahoo.com

· 8397080aol.com

· 788641 comcast.net

· 433419 yahoo.co.in

· 432129 sbcglobal.net

· 414912 msn.com

· 316128 rediffmail.com

· 294427 yahoo.co.uk

· 286835 yahoo.fr

· 282279 verizon.net