Рассылка вируса с поддельным адресом якобы с privet.com

Post by **Privet** » 23 Jul 2004 21:11

Какой-то гад рассылает вирусы и лепит в письмо приложение, которое содержит вирус, написанный на VBScript.
В экземпляре, который мне переслали, указан несуществующий адрес lizie at privet dot com

Будьте осторожны с любыми письмами, которые содержат приложения. Никогда не открывайте приложений, которые посланы неизвестным лицом.

Использование поддельных адресов - стандартная практика хакеров. Обратный адрес заносится вручную отправителем при настройке почты, поэтому отправитель может влепить любой адрес. Сложнее с IP адресом, который вписывается в заголовки на приёмной стороне и не может быть изменён отправителем. Максимум, что может злоумышленник - включить в письмо дополнительные фиктивные заголовки с целью запутать следы, но это может сработать только на непрофессионала.

Имейте ввиду, что административные сообщения и уведомления с форума не содержат приложений.

P.S. Если Вы получите такое письмо, перешлите мне его, пожалуйста, вместе с заголовком, если знаете, как это делать и знаете как обращатся с завирусованными письмами. В противном случае просто удалите это письмо.

P.S.2. Кстати, присланный мне экземпляр был послан с IP 62.205.94.52

dima_ca · Post by **dima_ca** » 24 Jul 2004 01:17

Просмотр этого сообщения привёл к тому, что все темы форума отметились как прочтённые... :pain1:

A. Fig Lee · Post by **A. Fig Lee** » 24 Jul 2004 02:41

Привет,
мне такие по нескольку раз на дню приходят ( не с привета).
Сендеры - начиная от меня самого и кончая лично Билл Гейтсом..
ИП вычислять - их много, похоже через релай

Vasik · Post by **Vasik** » 24 Jul 2004 05:08

A. Fig Lee wrote:Сендеры - начиная от меня самого и кончая лично Билл Гейтсом..

И мне приходило...

X-Sieve: cmu-sieve 2.0
Return-Path: <BillGates@chairman.microsoft.com>
Received: from relay4.mailru.com (relay4.mailru.com [80.68.244.41])
by imap.mailru.com (8.12.6/8.12.1) with ESMTP id h0OJPIw7041841
for <mynick@mailru.com>; Fri, 24 Jan 2003 22:25:18 +0300 (MSK)?g
(envelope-from BillGates@chairman.microsoft.com)њ
Received: from delivery.pens.microsoft.com ([207.46.248.65])
by relay4.mailru.com (8.12.6/8.12.2) with ESMTP id h0OJPQJo026255
for <mynick@mailru.com>; Fri, 24 Jan 2003 22:25:27 +0300 (MSK)
(envelope-from BillGates@chairman.microsoft.com)
Received: from TK2MSFTDDSQ04 ([10.40.1.68]) by delivery.pens.microsoft.com with Microsoft SMTPSVC(5.0.2195.5600);
Fri, 24 Jan 2003 11:24:50 -0800
Reply-To: "Bill Gates" <3_43365_0D824D44-F3E6-4081-8023-37A7E0C01B29_US@chairman.microsoft.com>
From: "Bill Gates" <BillGates@chairman.microsoft.com>
To: <mynick@mailru.com>
Subject: Security in a Connected World
Date: Fri, 24 Jan 2003 11:24:50 -0800
Message-ID: <b89dd01c2c3de$436da390$4401280a@TK2MSFTDDSQ04>
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Mailer: Microsoft CDO for Windows 2000
Thread-Index: AcLD3j3gZyIkpDSrQrS7CkEajOPs0g==
Content-Class: urn:content-classes:message
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4910.0300
X-OriginalArrivalTime: 24 Jan 2003 19:24:50.0226 (UTC) FILETIME=[437DA920:01C2C3DE]

Jan. 23, 2003

I'm writing to you about an issue of particular importance to those of =
us who routinely use computers in our work and personal lives - making =
computing more secure. Before I share my thoughts about this in more =
detail, I want to give you some context on why I am sending this email.=20

This is one in an occasional series of emails from Microsoft executives =
about technology and public-policy issues important to computer users, =
our industry, and anyone who cares about the future of high technology. =
If you would like to receive these emails in the future, please go to =
[...moderated...] to subscribe. If you don't wish to hear from us again, you need =
not do anything. We will not send you another executive email unless you =
choose to subscribe at the link above.

******
.....

...ну там и т.д.

Это было то всего разок...
А он вам часто пишет?
А то прям ревновать начну :mrgreen:

Волчара · Post by **Волчара** » 24 Jul 2004 15:40

да эти вирусы рассылают пачками, я в день получаю штук 10, не меньше.
Антивирус надо иметь на гейте и никаких мучений. Еще можно messageid проверять.

DanielMa · Post by **DanielMa** » 25 Jul 2004 03:34

Волчара wrote:да эти вирусы рассылают пачками, я в день получаю штук 10, не меньше.
Антивирус надо иметь на гейте и никаких мучений. Еще можно messageid проверять.

А что там с МеssageID? Как по нему узнать если вирус?

Волчара · Post by **Волчара** » 25 Jul 2004 06:00

спаммеры и вирусописатели как правило не озабочены соблюдением RFC, а потому messageid они не генерируют.

Если мейлсервер не видит мессажайди, то он генерирует его сам - естественно свой.

Соответственно у легитимного мыла хедеры будут примерно такие:
Received: from privet.com (dsl231-054-216.sea1.dsl.speakeasy.net [216.231.54.216])
Subject: Topic Reply Notification - Рассылка вируса с поддельным адресом якобы с privet.com
To: Undisclosed-recipients:;
Reply-to: boris@privet.com
From: boris@privet.com
Message-ID: <8c253a8f9d9b5041c60478a6dfc5f42e@privet.com>

А если это спаммер, то айди окажется моим собственным - типа 123@волчара.са. Тут его можно проверить прям во время приема и дать ему отлуп, потому что свои мессажиайди я желаю давать только тому мылу, которое я сам написал. К сожалению, кроме спамеров некоторые мейллисты тоже не соблюдают рфс, но слава богу я подписан всего на несколько штук, так что можно их внести в белый список ручками

Amirko · Post by **Amirko** » 26 Jul 2004 14:12

У меня на proxy стоит антивирус, и поскольку я сисадмин, то я и получаю "мертвые трупы утопших..." вирусов, сотнями и сотнями. Бывают эпидемии, бывает затишье. Иногда прорываются внутрь периметра тем или иным способом, тогда их давит локальный антивирус. Это жизнь.

Getaway · Post by **Getaway** » 27 Jul 2004 00:16

Cегодня GE мейл-сервер чуть не лёг из-за этого. Письма рассылались внутри GE интранет от имени работников, административного персонала, даемон сервера и служб разных уровней...
Security guys вынуждены были с утра ограничить пропуск писем с приложениями, а некоторые приложения (ZIP) вообще не пропускались...
Но всё равно, с утра и до обеда ко мне на ящик упало около десятка такого рода писем самого разного содержания...

Amirko · Post by **Amirko** » 28 Jul 2004 21:10

Yuriy wrote:Cегодня GE мейл-сервер чуть не лёг из-за этого.

Да проморгали новый вирус. Symantec со вчера вроде ловит, а Panda до сих пор не разродилась.

sergant · Post by **sergant** » 30 Jul 2004 04:07

Все приведенные выше советы - полная фигня.
Вы не сможете избавиться ни от вирусов, ни от спама, если вы не являетесь администратором почтового сервера.
Не спасает никакой антивирус и т.д.
Единственное, что можно сделать это уменьшить объем нежелательных сообщений (не избавиться, а именно уменьшить).
Для этого необходимо не принимать почту с:
1. dialup, dsl, cable диапазонов.
2. адресов занесенных в спаммерские базы данных типа spamcop.com (dnsbl)
3. адресов не прописанных в DNS, либо если обратная запись не соответствует прямой.

Если учесть все 3 пункта, то количество спама сокращается на ~95%

Удачи!

Волчара · Post by **Волчара** » 30 Jul 2004 16:27

дорогой товарищ сержант.
Если говорить, что все советы фигня, потому что не применимы к тем, у кого нет админского доступа, то что говорить о Ваших советах?
Очень интересно, как НЕадмин сможет воспользоваться spamcop? sorbs? PTR?

Премного обяжете, если будете думать, прежде чем писать :umnik1:

sergant · Post by **sergant** » 30 Jul 2004 20:19

Волчара wrote:дорогой товарищ сержант.
Если говорить, что все советы фигня, потому что не применимы к тем, у кого нет админского доступа, то что говорить о Ваших советах?
Очень интересно, как НЕадмин сможет воспользоваться spamcop? sorbs? PTR?

Премного обяжете, если будете думать, прежде чем писать

Вы не так поняли, фигня, не потому, что нужны права админа, а потому, что толку в них нет.
Ибо SMTP позволяет отправителю формировать все поля произвольно. Единственное, что нельзя подделать - это ip address.
Уточняю, не админ бороться со спамом не может.

PS. Очень обяжете, если будете воспринимать критику спокойней

PPS. Не боги горшки обжигают (c)

Волчара · Post by **Волчара** » 30 Jul 2004 21:00

sergant wrote:
Волчара wrote:дорогой товарищ сержант.
Если говорить, что все советы фигня, потому что не применимы к тем, у кого нет админского доступа, то что говорить о Ваших советах?
Очень интересно, как НЕадмин сможет воспользоваться spamcop? sorbs? PTR?

Премного обяжете, если будете думать, прежде чем писать

Вы не так поняли, фигня, не потому, что нужны права админа, а потому, что толку в них нет.
Ибо SMTP позволяет отправителю формировать все поля произвольно. Единственное, что нельзя подделать - это ip address.
Уточняю, не админ бороться со спамом не может.

PS. Очень обяжете, если будете воспринимать критику спокойней
PPS. Не боги горшки обжигают (c)

В чем именно нет толку? в антивирусе на гейте? Браво! :mrgreen:

Vasik · Post by **Vasik** » 01 Aug 2004 06:06

sergant wrote:3. адресов не прописанных в DNS, либо если обратная запись не соответствует прямой.

Если учесть все 3 пункта, то количество спама сокращается на ~95%

Адресов каких - SMTP серверов?
У мелких контор обратная и прямая записи могут не соответствовать.
Ну если вам на них наплевать, блокируйте, хотя это, на мой взгляд, только по этому признаку они не заслуживают блокирования

Другое дело, если от них начинает сыпаться спам, вот тогда уже в чёрный список.
Хотя в случае вируса любая сетка может превратиться в спамерскую...
Авторизация при отправке может уменьшить такой вариант.

Я вот на свою бывшую работу в России другу на рабочий ящик со своего честного от провайдера DSL не могу посылать - их сервер отсылает куда подальше (SMTP моего провайдера что ли у них там в чёрном списке?), зато со всяких свободных типа mail.ru и т.п. запросто доходит.