それがすべて始まった方法。
weblancer.net Webサイトで、プロファイルにメールボックスが含まれています。 それは不快なものではないようです、プロファイルはゲストには見えません...しかし、いいえ。
プロファイルに示されたボックスに手紙が送られました。 コンテンツは完全に無害でしたが、私にはまったく興味がありませんでした。 第一に、トピックは私のものではありません。第二に、私はすでに日常業務に加えて何かをするのに非常に忙しいです。
実際、最初のメッセージのテキストは次のとおりです。
.
.
- . : www.osteomed-spb.narod.ru
2 ,
: narod.ru/disk/17109516000/.rar.html
.
.
そのような場合に予想されるように-私は何も助けられないという手紙の著者に登録し(何も疑わない)、これを専門とする友人の住所を与えて忘れました。 しばらくしてから、それが無駄になっていることに気づきました。 そのような手紙を読んだ後、受信者がそれに答える必要があるのは論理的です:単に礼儀正しさから(提案された仕事にたどり着けない場合)、または価格と条件を示して。 この場合、回答はスパムマシンを起動するクロックメカニズムとして機能した可能性があります。
ネクタイ
しかし、これで終わりではありませんでした。 別の手紙が私に届いた。それによると、事件がきれいではなかったか、女性(メッセージの作者)が愚かな女性であったことが明らかだった。 [このような無礼さについて、すばらしい人々全員に謝罪します]
メッセージのテキストはまったく無害です。
.
.
: slil.ru/28530892
.
私を混乱させたもの。
最初のメッセージからリンクをたどろうとした場合に備えて、メッセージは正しく作成されましたが、成功せず、リンクが機能しないという応答の手紙を書きました。 はい、リンクをたどらなかったが、作業の費用を示す手紙を書いたとしても。 一般的に、この手紙が何であっても。 主なことは、それがなくなっており、ボックスが動作していると見なされることです...しかし。 メッセージで、仕事に就けないことを明確に示しました。 これはすでに私に警告しています。 彼の心には、「この迷惑なのはどのような顧客ですか?」 しかし何よりも、私はその同じ忍耐の存在の理由が示されていないという事実が好きではありませんでした。
デノウメント
少し掘り下げることにしました。 遠くに行く必要はありませんでした。 私は手紙の出所を見ました。 一見、すべてがきれいで滑らかです。 最初に「Received:」ブロックを見たとき、そのサイズのためにドロップしました。 通常、スパム送信時はNオープンリレーです。 次に、2行目で、すでに行を読んでいて、行の間で興味深い事実に気付きました。
リターンパス:< osteomed-spb@yandex.ru >
受信:[ 206.190.52.173 ]から(ポート= 35993 helo = smtp104.biz.mail.re2.yahoo.com )
esmtpを使用したmx81.mail.ru
id 1NYL0t-000Kj8-00
for_friends@mail.ru; 2010年1月22日金曜日18:01:31 +0300
Received-SPF:softfail(mx81.mail.ru:yandex.ruの移行ドメインは、許可された送信者として206.190.52.173を指定しません )client-ip = 206.190.52.173; envelope-from=osteomed-spb@yandex.ru; helo = smtp104.biz.mail.re2.yahoo.com;
...
受信:d51535928.access.telenet.beから(ログインするとosteomed-spb@81.83.89.40 )
SMTPを使用したsmtp104.biz.mail.re2.yahoo.com 2010年1月22日06:54:49 -0800 PST
- 1. Yandexのメールボックスからの手紙が非武装の回答で見えるという事実、それは大丈夫です。 また、私はmail.ruから返送先住所が完全に異なることを示す手紙を送ります。
- 2. IPアドレスは覚えておいてください。
- 3. HELOはすでに興味をそそられています。 実際のボックスからHELOの例を示します。
Received: from [95.108.130.120] (port=50391 helo=forward13.mail.yandex.net)
そのような記録は私に迷惑をかけないでしょう...しかし、より高いものは残念です。 - 4. SPFは、良いことも何も伝えませんでした。 IPはYandexではありません、それから何を送信するか... Yandexからの通常の手紙は自然にその名前を汚しません。 例:
Received-SPF: pass (mx52.mail.ru: domain of yandex.ru designates 95.108.130.120 as permitted sender) client-ip=95.108.130.120; envelope-from=xxx@yandex.ru; helo=forward13.mail.yandex.net;
- 5. smtpサーバーを見るのは非常に面白かったです。 実際には、次のようなものがあります。
Received: from smtp11.mail.yandex.net (smtp11.mail.yandex.net [95.108.130.67])
by forward13.mail.yandex.net (Yandex) with ESMTP id 05383A78EA7
for <to_friends@mail.ru>; Fri, 25 Dec 2009 20:12:02 +0300 (MSK)
Received: from BIGGEST_COMP (pppoeXXXXX.mv.ru [xxx.xxx.xxx.xxx])
by smtp11.mail.yandex.net (Yandex) with ESMTPA id ADF0A673008B
for <to_friends@mail.ru>; Fri, 25 Dec 2009 20:11:51 +0300 (MSK)
しかし、そこには匂いがしませんでした。
私が見たものは、疑いの真実を検証するのに十分でした。
Google IPアドレスの最初のクエリは、記憶をリフレッシュする記事を示しました。
206.190.52.173は、YahooのSMTPサーバーです。 SMTPサーバーに接続するために、攻撃者は元のIPアドレスと情報を使用します。 206.190.52.173は元のIPアドレスであり、email @ example.com @ 206.190.52.173などのデータを使用して簡単にサーバーに接続します。
これがスパムであることは間違いありません。
しかし、好奇心が犠牲になります。 細心の注意を払って-最後のリンクをクリックしました。 TZ.rarのアーカイブがあります。 不快なことはないようです。 しかし、それはもっと面白いです:
これがどんな種類のTKであるかを説明する必要はないと思います...
2番目のファイル、より正確には、ショートカットも良いです:
DrWeb 5.0.1.12222 2010.01.22 Trojan.MulDrop.60130
カスペルスキー7.0.0.125 2010.01.22 Trojan-PSW.Win32.WebMoner.nl
NOD32 4797 2010.01.22 Win32 / TrojanDropper.Delf.NRR
以下は、手紙の最初のテストです。 (おそらく誰かが興味を持っている)
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= -
から-木1月21日11:30:28 2010
X-Account-Key:account1
X-UIDL:1264057825436
X-Mozilla-Status:0003
X-Mozilla-Status2:00000000
X-Mozilla-Keys:
リターンパス:<osteomed-spb@yandex.ru>
受信:[206.190.52.173]から(ポート= 34570 helo = smtp104.biz.mail.re2.yahoo.com)
esmtpを使用したmx86.mail.ru
id 1NXrBQ-000LUy-00
for_friends@mail.ru; 2010年1月21日(木)10:10:24 +0300
Received-SPF:softfail(mx86.mail.ru:yandex.ruの移行ドメインは、許可された送信者として206.190.52.173を指定しません)client-ip = 206.190.52.173; envelope-from=osteomed-spb@yandex.ru; helo = smtp104.biz.mail.re2.yahoo.com;
X-Mru-BL:0:4:0
X-Mru-PTR:オフ
X-Mru-NR:1
X-Mru-OF:不明(イーサネット/モデム)
X-Mru-RC:米国
受信:(ネットワークから呼び出されたqmail 23718); 2010年1月21日06:43:43 -0000
受信:78-21-52-174.access.telenet.be(osteomed-spb@78.21.52.174、ログインあり)
SMTPを使用したsmtp104.biz.mail.re2.yahoo.com 2010年1月20日22:43:42 -0800 PST
X-Yahoo-SMTP:OGyL7BeswBAyEJCfyh3zpU0Ux00x
X-YMail-OSG:WTKuh7QVM1nrQKJgkpvMz8tKkMLUsVbU_7WmyKXpqW8huF3P.Hr4KALgp_rRJ_11_ZVfz_NRRKNGv85caw4QtnAnPaMwxoioUpiMTKuBgMTCM1WUYvAzHGAULqK24ACPgAGq6c93ncPofDDqhzAB0Fziu7YiETTGegojHj.AL8pjBi4HlsrA17mpje6CTdw5e6mnXd8vu6hhaHgeoWFzWc9CnYF7YlArFHE9PgpkYjMp_zW.6Il71SGNQcCYNLWFX_.367K7idAq.FRW1h9CEkkAc3tJvs.7tmeqCuSQVGPjKvAs_LtTkCJ5PQ18WGhEalI3a61m4a1CdHZE7a0xj70qecpCvWgznr10jjp2U9WTqZ.bUjkZhiu88azIxNUZ0EfIY.sZJD62a4m16J1HIrRZblO6CVISrokLFbcZNVBJdD4pkg2HwanaSlyTdYEX8KIK7jhHahLQ7VCDawCBI5xIGiJ.VpLduYXrlS7n33yhNKNqTwZo.NI-
X-Yahoo-Newman-Property:ymail-3
メッセージID:<00f43f29-40199-02794053716319 @ user>
返信先:「Osteomed」<osteomed-spb@yandex.ru>
From: "Osteomed" <osteomed-spb@yandex.ru>
宛先:to_friends@mail.ru
件名: www.weblancer.net
日付:2010年1月21日(木)09:43:44 +0300
MIMEバージョン:1.0
コンテンツタイプ:テキスト/ html
コンテンツ転送エンコード:8ビット
X優先度:3
X-Mailer:送電ソケットv5.1
X-Spam:検出されません
X-Mras:OK
こんにちは。
サイトからテキストを翻訳する必要があります。
トピックは医学です。 古いサイトは次のとおりです。www.osteomed-spb.narod.ru
新しいサイトは2週間以内に準備できます。この時間までに、サイトに投稿されるすべての記事を翻訳する必要があります
いくつかの記事はここからダウンロードできます: narod.ru/disk/17109516000/stati.rar.html
仕事の費用と期限に興味があります。
クレスティナ・リュドミラ・セルゲイヴナ。
。
二文字目:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= -
From-金Jan 22 18:02:21 2010
X-Account-Key:account1
X-UIDL:1264172491218
X-Mozilla-Status:0001
X-Mozilla-Status2:00000000
X-Mozilla-Keys:
リターンパス:<osteomed-spb@yandex.ru>
受信:[206.190.52.173]から(ポート= 35993 helo = smtp104.biz.mail.re2.yahoo.com)
esmtpを使用したmx81.mail.ru
id 1NYL0t-000Kj8-00
for_friends@mail.ru; 2010年1月22日金曜日18:01:31 +0300
Received-SPF:softfail(mx81.mail.ru:yandex.ruの移行ドメインは、許可された送信者として206.190.52.173を指定しません)client-ip = 206.190.52.173; envelope-from=osteomed-spb@yandex.ru; helo = smtp104.biz.mail.re2.yahoo.com;
X-Mru-BL:0:4:0
X-Mru-PTR:オフ
X-Mru-NR:1
X-Mru-OF:不明(イーサネット/モデム)
X-Mru-RC:米国
受信:(ネットワークから呼び出されたqmail 51685); 2010年1月22日午後2時54分50秒
受信:d51535928.access.telenet.beから(osteomed-spb@81.83.89.40、ログインあり)
SMTPを使用したsmtp104.biz.mail.re2.yahoo.com 2010年1月22日06:54:49 -0800 PST
X-Yahoo-SMTP:OGyL7BeswBAyEJCfyh3zpU0Ux00x
X-YMail-OSG:BcrH8xMVM1kKujC9WqJobThlV9hR32uh0usEbHcIRRYBjf9..mfgT8yxGdAHmfIjkqEKFK63wk1JRkK0tRwOeXmDDCSSfYjwiL5k3rmg7nGCAYgkvTtO2 ._ edkzutGdlmvZi7vi6ghfOG9mAP74KhNarlXPxVo0JH7ivUqeIxkOv1KVXDXYoYywkCNALAnb6TKc1s1qUhcDkOE1GfQ9h2LXu_MYEEa_YbYMCV2VJXz27qBitB96fIj7Xj8QFLRW_Y8CZ0mXzv3ra5oPdV7LaBAHd9WvgjFrDfMIN3JbM7f_yHWBwAVb2lNaowfzo2bnZMqdnbmI3uQ70jr1N9qNs1ykAlSKfEFyLWMYqJCbviUwlO84Yh3h6Y4iOhG6jcVRBxmHU.FFhWvh2Ta4Q5N.5pFXtH2f4bI.UoCV_pj7ht5Ik.wUYFeHZRIzGEb27QXRQ5jI2LAuCEMqFHUE9hK8EPirq.PJOw.VLra8M7Pr4nbh30SyHpwYhrfYZg--。
X-Yahoo-Newman-Property:ymail-3
メッセージID:<00f43916-40200-01b67464373495 @ user>
返信先:「Osteomed」<osteomed-spb@yandex.ru>
From: "Osteomed" <osteomed-spb@yandex.ru>
宛先:to_friends@mail.ru
件名: www.weblancer.net
日付:2010年1月22日金曜日17:54:52 +0300
MIMEバージョン:1.0
コンテンツタイプ:テキスト/プレーン
コンテンツ転送エンコード:8ビット
X優先度:3
X-Mailer:送電ソケットv5.1
X-Spam:検出されません
X-Mras:OK
こんにちは。
申し訳ありませんが、間違ったリンクを送信しました。
リンクは次のとおりです: slil.ru/28530892
クレスティナ・リュドミラ・セルゲイヴナ。
。
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=-=-=-=- =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
これは1回限りの攻撃ではありませんでした。
そして最後に。 この投稿で私が欲しかったのは、注意を払って再度警告することでした。 スパマーは眠りません、スパマーはより賢くなります。
敬具アンドレイ・クマニアエフ。
upd:
1)プログラムはすべてのキーストロークを記録します(キーロガー)
2)マルウェアは、次のプログラムから認証のためにデータを盗みます。
-QIP
-Mail.ruエージェント
-総司令官
-SmartFTP
-アウトルック
-ICQ
-BAT!
-WebMoney
-ファイアフォックス
-IE
-オペラ
3)このプログラムはすべてサイトに送信します。
sitysan.hmsite.net/upload.php
chikoss.hmsite.net/upload.php