从1994年第一封垃圾邮件诞生起，垃圾邮件已经经过了10多年的演变。如今利用僵尸网络携带恶意代码、病毒的垃圾邮件对企业安全造成了更为严重的威胁。而且，许多观察家发现，这种捆绑在僵尸网络中的垃圾邮件将利用分散式指挥控制结构，增加关闭它们的难度，并与Storm攻击进行结合。
　　新型的混合威胁利用垃圾邮件作为传播的源头，整合了钓鱼和恶意欺诈的攻击形式，在攻击的同时还在被攻击的计算机中种植僵尸程序，并借助邮件和僵尸网络进一步扩大影响。
　　
　　高智商僵尸网络
　　
　　实际上，Storm攻击确立了一种趋势，很多垃圾邮件都是通过被Storm感染的机构传播的。业内专家估算，至少7%的连接到互联网的计算机成为可以发送电子邮件的“僵尸”。编写威胁程序的人不断寻找提高成功率的新方法，而通过合法网站传播恶意软件无疑是一种非常有效的方法。
　　Storm攻击往往会联合一些技术含量较高的恶意软件技术，创建一个高度复杂的攻击平台。Storm将不同的技术整合成一个更大的系统，更难于追踪，并且行动快速、动力十足。作为混合性威胁，它使用电子邮件和Web进行双重攻击。
　　恶意的僵尸网站通过自身已有的P2P网络实现自我繁殖，进行彼此协调，来创建包含被感染的登录网页的垃圾邮件，再通过电子邮件进行传播。从僵尸网络到网站系统已经形成一个可重复利用并能够实现自我防御的智能恶意软件传播平台。
　　就在3月初，数百个合法网站都被用作生产僵尸的改道枢纽，但简单的URL过滤系统根本无法单独检测出针对合法网站的威胁。实际上，目前越来越多的黑客组织开始利用URL邮件进行木马和僵尸攻击。
　　根据《2008年互联网安全趋势》报告的统计，即使企业部署了URL过滤来对个人Web使用行为进行控制和报告，这些数据库也不足以避免恶意软件下载到企业网络中。因为这类过滤器的安全分类保存机制不能实时对新感染的Web对象进行扫描。因此，仅靠反应式的安全清单来防御垃圾邮件的URL攻击根本无济于事。
　　
　　ＩＰ技术追查根源
　　
　　现有的、传统的URL过滤解决方案效果不好，原因在于主要依靠人工分类技术。遭到感染的网站隐藏在许多良性网站类别（包括金融、娱乐和新闻网站）的背后，因此使得基于传统分类的URL过滤效果不佳。
　　随着恶意僵尸网站的增加，IronPort公司的威胁管控中心（Threat Operations Center）发现，包含无法得到签名的新恶意软件的URL数量显著增加，而企业尚未获得有效的解决方案。
　　IronPort中国区总经理吴若松表示：“这些僵尸网络的智能化程度令人吃惊。单一的僵尸网络能够滋生出数以千计的含有恶意软件的僵尸网站，它们在任何地方都很活跃，活跃时间从几分钟到几小时不等。唯一有效的防御办法就是Web名誉服务，这种服务能够检测潜在的欺诈手法并预先地将它们过滤出来。”
　　事实上，Web名誉服务的核心技术是一种基于IP进行的垃圾邮件防护手段，众多安全企业纷纷建立了自己的数据库体系和信誉评级系统，并借此完成垃圾邮件防护、病毒防护、信息丢失防护、邮件加密等诸多功能。
　　有安全专家表示，针对如此庞大且不断变化的垃圾邮件群体，必须把握其中的不变因素——IP地址，才能够有效追查到Strom攻击的源头。据悉，IronPort已经在其遍布全球的SenderBase IP数据库中对所有的垃圾邮件进行收集、分类，并将其发件服务器的源IP地址进行标定、分级、分类、打分，并据此采用不同的处理方式，即：阻止、隔离或放行。
　　关于Strom
　　安全业界经常将Ｓｔｏｒｍ称作Ｓｔｏｒｍ木马、Ｓｔｏｒｍ僵尸网络、Ｓｔｏｒｍ蠕虫、Ｓｔｏｒｍ垃圾邮件引擎、Ｓｔｏｒｍ分布式拒绝服务网络等。Ｓｔｒｏｍ的多种名称正说明了Ｓｔｏｒｍ的各种特征，也说明它是一种新型的恶意软件——一种可重复再生的恶意软件。这种威胁将钓鱼、欺诈、恶意软件、木马、入侵等多种手段集于一身，令网络系统防不胜防。