Трояны письмами

Автор: 20khz Дата: 27.01.2004 13:23 Блин, уже несколько раз приходили мыло с предупреждениями, шо я послал мыло с трояном... (с интервалом в ~ неделю)

Ощущение, шо кто-то левый рассылает письма с троянами, только каким-то новым способом - не напрямую всем ("список рассылки";-), а так что письмо приходит, на определённый почтовый сервер, копируется в мой почтовый ящик (возможно прочитав конфиги сервера), и идёт дальше, но уже от моего имени.

Дыра в SMTP, или ещё в чём-нибуд?

<code>
From interscan@bb-data.de Tue Jan 27 09:24:38 2004
Return-path: <interscan@bb-data.de>
Received: from alexa.ipromogroup.com ([217.66.99.202])
by protez.ukr.net with esmtp ID 1AlNaQ-0003PG-Ja
for shafff@ukr.net; Tue, 27 Jan 2004 09:24:38 +0200
Received: from drweb by alexa.ipromogroup.com with drweb-scanned (Exim 4.30; FreeBSD)
id 1AlNaP-000Gvd-Q3
for 20turnir@program.net.ua; Tue, 27 Jan 2004 09:24:37 +0200
Received: from daiquiri.bb-data.de ([193.31.178.129])
by alexa.ipromogroup.com with esmtp (Exim 4.30; FreeBSD)
id 1AlNaN-000Gql-B5
for 20turnir@program.net.ua; Tue, 27 Jan 2004 09:24:36 +0200
Received: by daiquiri.bb-data.de; id IAA02221; Tue, 27 Jan 2004 08:16:17 +0100 (MET)
From: <interscan@bb-data.de>
Received: from unknown(193.31.178.42) by daiquiri.bb-data.de via smap (V5.5)
id xma002164; Tue, 27 Jan 04 08:15:21 +0100
Received: from el-presidente.bb-data.de (localhost [127.0.0.1])
by el-presidente.bb-data.de (8.12.10/8.12.10) with ESMTP id i0R7MS72003309
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:28 +0100 (MET)
Received: from el-presidente.bb-data.de (localhost [127.0.0.1])
by el-presidente.bb-data.de (8.12.10/8.12.10) with ESMTP id i0R7MNCf003251
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:24 +0100 (MET)
Received: from localhost (root@localhost)
by el-presidente.bb-data.de (8.12.10/8.12.10/Submit) with SMTP id i0R7MNHp003246
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:23 +0100 (MET)
Date: Tue, 27 Jan 2004 08:22:23 +0100 (MET)
Message-Id: <200401270722.i0R7MNHp003246@el-presidente.bb-data.de>
To: 20turnir@program.net.ua
Subject: Virus Alert
Mime-Version: 1.0
Content-Type: text/plain;
charset=us-ascii
Content-Transfer-Encoding: 7bit
Status: R
X-Status: N
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

The mail message (file: remove-lsass.exe) you sent to banking@berliner-sparkasse.de contains a virus. (on el-presidente)
</code>
Re: трояны письмами 27.01.2004 15:08Woodoo 20khz писал(а):

> Ощущение, шо кто-то левый рассылает письма с троянами, только
> каким-то новым способом - не напрямую всем ("список рассылки";-),
> а так что письмо приходит, на определённый почтовый сервер,
> копируется в мой почтовый ящик (возможно прочитав конфиги
> сервера), и идёт дальше, но уже от моего имени.
>
> Дыра в SMTP, или ещё в чём-нибуд?

Нет, удачный алгоритм накопления собственной базы данных доменов и "живых" адресов с учетом некоторых особенностей smtp.
Троян, работающий по спаммерской технологии. И, возможно, - на спаммеров.

При этом имя фиктивного отправителя генерится в поле "From:" из этой базы. Другое дело, что это трудно объяснить несведущим корреспондентам.

И совсем третье дело - если этот троян сидит в Вашей системе. ;-)
Re: трояны письмами 27.01.2004 17:1620khz и как с этим бороться - поставить фильтр на "undelivered message..." по теме?


кстати, когда-то читал объявление о "предоставлении в использование" базы данных адресов для рассылки спама

так к нему ещё прилагался список адресов, отказавшихся от спама

ну, конечно, была оговорка, что "использовать этот список необязательно" Улыбка
Re: трояны письмами 27.01.2004 18:06Woodoo 20khz писал(а):

> и как с этим бороться -

Нужно знать реализацию почтовой системы. )

> поставить фильтр на "undelivered
> message..." по теме?

"Может быть" (с) популярный женский ответ. )
Re: трояны письмами 27.01.2004 18:18Woodoo Кстати, а почему "флейм", а не "администрирование"?
Re: трояны письмами 27.01.2004 19:1520khz дык, ничё путёвого сказать по этой теме нельзя...

думал, может, у кого тоже такое
Re: трояны письмами 27.01.2004 20:01Woodoo 20khz писал(а):

> дык, ничё путёвого сказать по этой теме нельзя...
>
> думал, может, у кого тоже такое

С 2-го мая 2003 года. Ежечасно - до 100-120 мессаг отстреливаются mailfilter по "разным признакам".
Re: трояны письмами 27.01.2004 20:12Woodoo Кстати, там часть заголовка или подделана трояном, или он "наворотил" в системе кучу post-циклов. Склоняюсь к первому. )
Re: трояны письмами 27.01.2004 21:0520khz так может поможет установка каких-нибудь прог на почтовом сервере?

(тот же drweb...)

а то у моих придурков на это ума не хватило
Re: трояны письмами 27.01.2004 21:1020khz [linux.kiev.ua]

[compulenta.ru]

[securityresponse.symantec.com]

гы, значит это был MyDoom...
Re: трояны письмами 27.01.2004 21:48XMan Угу. Мы вот тоже сегодня в офисе отхватили на 7-ми машинах (~2% от общего числа). Причем, отхватили до того, как AVP его начал опознавать. За часик со всеми разделались Улыбка

Вирмакеры становятся хитрее - видят, что почтовик вложения, типа scr или pif не пущает - делаем zip-архив и вперед. Кто-нибудь да откроет Улыбка
Re: трояны письмами 27.01.2004 22:1120khz особенно интересно посмотреть внизу страницы
"[securityresponse.symantec.com];
список игнорируемых доменов и логинов

[www.rav.ro]
RSS-материал