Már jó ideje kapok olyan spamet, amiben a video.exe-t ajánlják fel letöltésre. Hogy a spamszűrőkön is átcsússzon a dolog, népszerű és legitim szájtok redirect (=oldal átirányítás) funkcióját használják fel.

Vegyük pl. az alábbi levelet:


From: lauritz bang <mike@associateroofing.com>
To: sj@xxxx.hu
Subject: Britney and Paris lesbian video
<center><a
href="http://ad.doubleclick.net/click;h=[...];~sscs= %3fhttp://tellover.com/video.
exe" h <br><a><br><style>swXDaAwRLqK</style></center>


Ha rákattintasz, akkor egy video.exe nevű fájlt tölthetsz le. Hogy az .exe kiterjesztés ne legyen annyira feltűnő, 2 botrányhősnő beígért enyelgésével altatják el a szájberszex kedvelőinek éberségét.

Végig scanneltem a clamav-val, és vártam, hogy kidobja, hogy egy trójai letöltővel van dolgunk, de nem, nem jelzett ez semmit, hanem azt mondta, hogy tiszta. Elmentem hát a Kaspersky online víruskergetőjéhez, és az Trojan-Downloader.Win32.Exchanger.bc néven azonosította a kártevőt.

Ja igen, a megoldás. A megoldás szerintem az lenne, ha a szájtok nem engednék meg, hogy a paraméterek birizgálásával tetszőleges web címre el lehessen küldeni a látogatót. Ez rossz a doubleclick hírnevének, ha pedig valaki letölti a kártevőt, nekünk is rossz lesz, ti. zombi lesz belőle, és ontani fogja magából a spamet.

Ha pedig azt kérdeznéd, hogy mi ez a tellover.com szájt, akkor elmondom, olyan mint a Facebook, Myspace, iwiw, akármi. Valószínűleg nem is tudják, hogy valaki felpakolta hozzájuk ezt az exe fájlt. De szólok is nekik, hátha le akarják venni…

A HWSW-n most találtam rá egy februári írásra, amely szerint a spammerek a népszerű freemail rendszereket (pl. Gmail, Yahoo, Hotmail, …) abajgatják.

A módszer a következÅ‘: “a kéretlen leveleket küldÅ‘ elsÅ‘ként egy teljesen legális e-mailcímet generál valamely ingyenes webes levelezÅ‘szolgáltatásnál, például a GMailnél. Ezt követÅ‘en “házon kívül” üzenetet állít be megfelelÅ‘ szövegezéssel, melyben elhelyezi azt a linket is, melyet közvetíteni szeretne. InnentÅ‘l kezdve nincs más dolga, mint hamisított levekkel bombázni ezt az e-mailcímet.

A levelek küldÅ‘jeként azokat az e-mailcímeket hamisítja, melyekre el szeretné küldeni az üzenetét, ezért a visszapattanó, házon kívüli szöveget tartalmazó levelek a spam tartalmával ezekre a címekre indulnak majd útnak. Ezek a levelek szinte mindenben megfelelnek majd a spamszűrÅ‘k feltételeinek, hiszen legális címrÅ‘l, igazi levelezÅ‘szerverekrÅ‘l érkeznek majd a postafiókokba.”

A cikk azt is megjegyzi, hogy a trükk ellen hatástalanok azok a módszerek, amelyek az SMTP információk alapján működnek, pl. feketelisták, szürkelisták, SPF, DomainKeys, stb.

Én ugyan még nem kaptam (legalábbis az idén) olyan spamet, amely valóban a Gmail hálózatából jött volna, de ha valaki annyira megbízik a Gmail-ben, hogy azt fehérlistára tette, az kaphat “out of office” spamet.

Megoldás azonban van: tartalomelemzés + SURBL/URIBL. Ezzel egyrész oda lehet küldeni az irritáló “Bocs, de most nem dolgozom 2 hétig” üzeneteket, ahova valók, ill. ha a levélben ismert spam website szerepel, akkor a levelet spamként lehet megjelölni.