Трояны письмами
Автор: 20khz Дата: 27.01.2004 13:23
Блин, уже несколько раз приходили мыло с предупреждениями, шо я послал мыло с трояном... (с интервалом в ~ неделю)
Ощущение, шо кто-то левый рассылает письма с троянами, только каким-то новым способом - не напрямую всем ("список рассылки";-), а так что письмо приходит, на определённый почтовый сервер, копируется в мой почтовый ящик (возможно прочитав конфиги сервера), и идёт дальше, но уже от моего имени.
Дыра в SMTP, или ещё в чём-нибуд?
<code>
From interscan@bb-data.de Tue Jan 27 09:24:38 2004
Return-path: <interscan@bb-data.de>
Received: from alexa.ipromogroup.com ([217.66.99.202])
by protez.ukr.net with esmtp ID 1AlNaQ-0003PG-Ja
for shafff@ukr.net; Tue, 27 Jan 2004 09:24:38 +0200
Received: from drweb by alexa.ipromogroup.com with drweb-scanned (Exim 4.30; FreeBSD)
id 1AlNaP-000Gvd-Q3
for 20turnir@program.net.ua; Tue, 27 Jan 2004 09:24:37 +0200
Received: from daiquiri.bb-data.de ([193.31.178.129])
by alexa.ipromogroup.com with esmtp (Exim 4.30; FreeBSD)
id 1AlNaN-000Gql-B5
for 20turnir@program.net.ua; Tue, 27 Jan 2004 09:24:36 +0200
Received: by daiquiri.bb-data.de; id IAA02221; Tue, 27 Jan 2004 08:16:17 +0100 (MET)
From: <interscan@bb-data.de>
Received: from unknown(193.31.178.42) by daiquiri.bb-data.de via smap (V5.5)
id xma002164; Tue, 27 Jan 04 08:15:21 +0100
Received: from el-presidente.bb-data.de (localhost [127.0.0.1])
by el-presidente.bb-data.de (8.12.10/8.12.10) with ESMTP id i0R7MS72003309
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:28 +0100 (MET)
Received: from el-presidente.bb-data.de (localhost [127.0.0.1])
by el-presidente.bb-data.de (8.12.10/8.12.10) with ESMTP id i0R7MNCf003251
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:24 +0100 (MET)
Received: from localhost (root@localhost)
by el-presidente.bb-data.de (8.12.10/8.12.10/Submit) with SMTP id i0R7MNHp003246
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:23 +0100 (MET)
Date: Tue, 27 Jan 2004 08:22:23 +0100 (MET)
Message-Id: <200401270722.i0R7MNHp003246@el-presidente.bb-data.de>
To: 20turnir@program.net.ua
Subject: Virus Alert
Mime-Version: 1.0
Content-Type: text/plain;
charset=us-ascii
Content-Transfer-Encoding: 7bit
Status: R
X-Status: N
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:
The mail message (file: remove-lsass.exe) you sent to banking@berliner-sparkasse.de contains a virus. (on el-presidente)
</code>
Ощущение, шо кто-то левый рассылает письма с троянами, только каким-то новым способом - не напрямую всем ("список рассылки";-), а так что письмо приходит, на определённый почтовый сервер, копируется в мой почтовый ящик (возможно прочитав конфиги сервера), и идёт дальше, но уже от моего имени.
Дыра в SMTP, или ещё в чём-нибуд?
<code>
From interscan@bb-data.de Tue Jan 27 09:24:38 2004
Return-path: <interscan@bb-data.de>
Received: from alexa.ipromogroup.com ([217.66.99.202])
by protez.ukr.net with esmtp ID 1AlNaQ-0003PG-Ja
for shafff@ukr.net; Tue, 27 Jan 2004 09:24:38 +0200
Received: from drweb by alexa.ipromogroup.com with drweb-scanned (Exim 4.30; FreeBSD)
id 1AlNaP-000Gvd-Q3
for 20turnir@program.net.ua; Tue, 27 Jan 2004 09:24:37 +0200
Received: from daiquiri.bb-data.de ([193.31.178.129])
by alexa.ipromogroup.com with esmtp (Exim 4.30; FreeBSD)
id 1AlNaN-000Gql-B5
for 20turnir@program.net.ua; Tue, 27 Jan 2004 09:24:36 +0200
Received: by daiquiri.bb-data.de; id IAA02221; Tue, 27 Jan 2004 08:16:17 +0100 (MET)
From: <interscan@bb-data.de>
Received: from unknown(193.31.178.42) by daiquiri.bb-data.de via smap (V5.5)
id xma002164; Tue, 27 Jan 04 08:15:21 +0100
Received: from el-presidente.bb-data.de (localhost [127.0.0.1])
by el-presidente.bb-data.de (8.12.10/8.12.10) with ESMTP id i0R7MS72003309
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:28 +0100 (MET)
Received: from el-presidente.bb-data.de (localhost [127.0.0.1])
by el-presidente.bb-data.de (8.12.10/8.12.10) with ESMTP id i0R7MNCf003251
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:24 +0100 (MET)
Received: from localhost (root@localhost)
by el-presidente.bb-data.de (8.12.10/8.12.10/Submit) with SMTP id i0R7MNHp003246
for <20turnir@program.net.ua>; Tue, 27 Jan 2004 08:22:23 +0100 (MET)
Date: Tue, 27 Jan 2004 08:22:23 +0100 (MET)
Message-Id: <200401270722.i0R7MNHp003246@el-presidente.bb-data.de>
To: 20turnir@program.net.ua
Subject: Virus Alert
Mime-Version: 1.0
Content-Type: text/plain;
charset=us-ascii
Content-Transfer-Encoding: 7bit
Status: R
X-Status: N
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:
The mail message (file: remove-lsass.exe) you sent to banking@berliner-sparkasse.de contains a virus. (on el-presidente)
</code>
Re: трояны письмами 27.01.2004 17:16 — 20khz
и как с этим бороться - поставить фильтр на "undelivered message..." по теме?
кстати, когда-то читал объявление о "предоставлении в использование" базы данных адресов для рассылки спама
так к нему ещё прилагался список адресов, отказавшихся от спама
ну, конечно, была оговорка, что "использовать этот список необязательно"
кстати, когда-то читал объявление о "предоставлении в использование" базы данных адресов для рассылки спама
так к нему ещё прилагался список адресов, отказавшихся от спама
ну, конечно, была оговорка, что "использовать этот список необязательно"
Re: трояны письмами 27.01.2004 18:06 — Woodoo
20khz писал(а):
> и как с этим бороться -
Нужно знать реализацию почтовой системы. )
> поставить фильтр на "undelivered
> message..." по теме?
"Может быть" (с) популярный женский ответ. )
> и как с этим бороться -
Нужно знать реализацию почтовой системы. )
> поставить фильтр на "undelivered
> message..." по теме?
"Может быть" (с) популярный женский ответ. )
Re: трояны письмами 27.01.2004 18:18 — Woodoo
Кстати, а почему "флейм", а не "администрирование"?
Re: трояны письмами 27.01.2004 19:15 — 20khz
дык, ничё путёвого сказать по этой теме нельзя...
думал, может, у кого тоже такое
думал, может, у кого тоже такое
Re: трояны письмами 27.01.2004 20:01 — Woodoo
20khz писал(а):
> дык, ничё путёвого сказать по этой теме нельзя...
>
> думал, может, у кого тоже такое
С 2-го мая 2003 года. Ежечасно - до 100-120 мессаг отстреливаются mailfilter по "разным признакам".
> дык, ничё путёвого сказать по этой теме нельзя...
>
> думал, может, у кого тоже такое
С 2-го мая 2003 года. Ежечасно - до 100-120 мессаг отстреливаются mailfilter по "разным признакам".
Re: трояны письмами 27.01.2004 20:12 — Woodoo
Кстати, там часть заголовка или подделана трояном, или он "наворотил" в системе кучу post-циклов. Склоняюсь к первому. )
Re: трояны письмами 27.01.2004 21:05 — 20khz
так может поможет установка каких-нибудь прог на почтовом сервере?
(тот же drweb...)
а то у моих придурков на это ума не хватило
(тот же drweb...)
а то у моих придурков на это ума не хватило
Re: трояны письмами 27.01.2004 21:10 — 20khz
[linux.kiev.ua]
[compulenta.ru]
[securityresponse.symantec.com]
гы, значит это был MyDoom...
[compulenta.ru]
[securityresponse.symantec.com]
гы, значит это был MyDoom...
Re: трояны письмами 27.01.2004 21:48 — XMan
Угу. Мы вот тоже сегодня в офисе отхватили на 7-ми машинах (~2% от общего числа). Причем, отхватили до того, как AVP его начал опознавать. За часик со всеми разделались
Вирмакеры становятся хитрее - видят, что почтовик вложения, типа scr или pif не пущает - делаем zip-архив и вперед. Кто-нибудь да откроет
Вирмакеры становятся хитрее - видят, что почтовик вложения, типа scr или pif не пущает - делаем zip-архив и вперед. Кто-нибудь да откроет
Re: трояны письмами 27.01.2004 22:11 — 20khz
особенно интересно посмотреть внизу страницы
"[securityresponse.symantec.com];
список игнорируемых доменов и логинов
[www.rav.ro]
"[securityresponse.symantec.com];
список игнорируемых доменов и логинов
[www.rav.ro]
Re: трояны письмами 03.02.2004 20:17 — yumi
[lists.netsys.com]
- 1773 просмотра
Вход в систему
Фото из альбома
> Ощущение, шо кто-то левый рассылает письма с троянами, только
> каким-то новым способом - не напрямую всем ("список рассылки";-),
> а так что письмо приходит, на определённый почтовый сервер,
> копируется в мой почтовый ящик (возможно прочитав конфиги
> сервера), и идёт дальше, но уже от моего имени.
>
> Дыра в SMTP, или ещё в чём-нибуд?
Нет, удачный алгоритм накопления собственной базы данных доменов и "живых" адресов с учетом некоторых особенностей smtp.
Троян, работающий по спаммерской технологии. И, возможно, - на спаммеров.
При этом имя фиктивного отправителя генерится в поле "From:" из этой базы. Другое дело, что это трудно объяснить несведущим корреспондентам.
И совсем третье дело - если этот троян сидит в Вашей системе. ;-)