Автор: 20khz Дата: 27.01.2004 13:23
Блин, уже несколько раз приходили мыло с предупреждениями, шо я послал мыло с трояном... (с интервалом в ~ неделю)
Ощущение, шо кто-то левый рассылает письма с троянами, только каким-то новым способом - не напрямую всем ("список рассылки";-), а так что письмо приходит, на определённый почтовый сервер, копируется в мой почтовый ящик (возможно прочитав конфиги сервера), и идёт дальше, но уже от моего имени.
Дыра в SMTP, или ещё в чём-нибуд?
<code>
From
interscan@bb-data.de Tue Jan 27 09:24:38 2004
Return-path: <interscan@bb-data.de>
Received: from alexa.ipromogroup.com ([217.66.99.202])
by protez.ukr.net with esmtp ID 1AlNaQ-0003PG-Ja
for
shafff@ukr.net; Tue, 27 Jan 2004 09:24:38 +0200
Received: from drweb by alexa.ipromogroup.com with drweb-scanned (Exim 4.30; FreeBSD)
id 1AlNaP-000Gvd-Q3
for
20turnir@program.net.ua; Tue, 27 Jan 2004 09:24:37 +0200
Received: from daiquiri.bb-data.de ([193.31.178.129])
by alexa.ipromogroup.com with esmtp (Exim 4.30; FreeBSD)
id 1AlNaN-000Gql-B5
for
20turnir@program.net.ua; Tue, 27 Jan 2004 09:24:36 +0200
Received: by daiquiri.bb-data.de; id IAA02221; Tue, 27 Jan 2004 08:16:17 +0100 (MET)
From: <interscan@bb-data.de>
Received: from unknown(193.31.178.42) by daiquiri.bb-data.de via smap (V5.5)
id xma002164; Tue, 27 Jan 04 08:15:21 +0100
Received: from el-presidente.bb-data.de (localhost [127.0.0.1])
by el-presidente.bb-data.de (8.12.10/8.12.10) with ESMTP id i0R7MS72003309
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:28 +0100 (MET)
Received: from el-presidente.bb-data.de (localhost [127.0.0.1])
by el-presidente.bb-data.de (8.12.10/8.12.10) with ESMTP id i0R7MNCf003251
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:24 +0100 (MET)
Received: from localhost (root@localhost)
by el-presidente.bb-data.de (8.12.10/8.12.10/Submit) with SMTP id i0R7MNHp003246
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:23 +0100 (MET)
Date: Tue, 27 Jan 2004 08:22:23 +0100 (MET)
Message-Id: <200401270722.i0R7MNHp003246@el-presidente.bb-data.de>
To:
20turnir@program.net.ua Subject: Virus Alert
Mime-Version: 1.0
Content-Type: text/plain;
charset=us-ascii
Content-Transfer-Encoding: 7bit
Status: R
X-Status: N
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:
The mail message (file: remove-lsass.exe) you sent to
banking@berliner-sparkasse.de contains a virus. (on el-presidente)
</code>
> Ощущение, шо кто-то левый рассылает письма с троянами, только
> каким-то новым способом - не напрямую всем ("список рассылки";-),
> а так что письмо приходит, на определённый почтовый сервер,
> копируется в мой почтовый ящик (возможно прочитав конфиги
> сервера), и идёт дальше, но уже от моего имени.
>
> Дыра в SMTP, или ещё в чём-нибуд?
Нет, удачный алгоритм накопления собственной базы данных доменов и "живых" адресов с учетом некоторых особенностей smtp.
Троян, работающий по спаммерской технологии. И, возможно, - на спаммеров.
При этом имя фиктивного отправителя генерится в поле "From:" из этой базы. Другое дело, что это трудно объяснить несведущим корреспондентам.
И совсем третье дело - если этот троян сидит в Вашей системе. ;-)