2010.08.22.
“Jay-Z died”
Legalábbis ez volt egy spamnek a címe. De kaptam ilyet több híresség nevével is, pl. Brad Pitt, Johnny Depp, Tiger Woods, stb. A spam levélben 2 melléklet van. Az egyik szöveges, és kb. így hangzik:
“Alicia Keys died along with 34 other people when the Air Force CT-43 “Bobcat” passenger plane carrying the group on a trip crashed into a mountainside while approaching the Dubrovnik airport in Croatia during heavy rain and poor visibility.”
A másik pedig egy nagyon trükkös, base64 kódolt HTML melléklet, amely a http://paniplus.com.mx/1.html címre akar elvinni, és amely viszont a http://cetogilco.cz.cc/scanner10/?afid=24 címre küld tovább + egy kis iframe-es nyalánkság is van benne.
Külön érdekes a HTML mellékletben lévő javascript átirányítás, amely egy eddig (általam) nem látott obfuscation technikát használ, íme:
Jól látható, hogy a spammer feldarabolta az url-t, ill. a this.document.location.href változót, majd töltelékbe keverte, és a substr() függvénnyel állítja össze a címet, ahova elküldi a felhasználót. A védekezés egyszerű: le kell tiltani a javascriptet a levelekben, ill. kell egy jó spamszűrő, amely képes a javascript elemeket, pl. “function”, “var” spamként megtanulni, de az is elég lehet, ha eldobod az ukrán telekom dinamikus pool-jából közvetlenül küldött leveleket. A clapf zombidetektora szépen fogta ezt is.
August 22nd, 2010 at 21:07:23
Az történt amikor idejöttem, hogy a MS Security Essentials dobott egy ablakot:
Adware:JS/Pornpop.A
Alert level: medium
Ennek ellenére elolvastam a megfejtést