Вирусное

Feb. 23rd, 2007 08:24 pm
[identity profile] homa.livejournal.com posting in [community profile] useful_faq
Пришел спам. Сижу и думаю, как к нему отнестись. Кто-нибудь подскажет, что с ним делать?

Автор: secur@firstclassmoving.com
Вложение: Update-KB6187-x86.zip
Текст:
Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).


Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service


Вопрос не риторический и не идиотский. Я не стал запускать вложение в письмо. Но определенное число пользователей того же сервера его наверняка откроют и запустят.

Вопрос в том, что следует предпринимать по факту получения такого письма. Жаловаться администратору почтового сервера? Что-то еще?

А Касперский — понятно, что стоило бы. Но он тяжеловат, небесплатен, глючен.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Это...

Date: 2007-02-24 06:07 am (UTC)
From: [identity profile] wamana.livejournal.com
...тот SMPT-сервер, через который фактически было отправлено сообщение. В соответствии с RFC адрес этого сервера совершенно не обязан совпадать с адресами серверов в полях From и ReplayTo. Как правило, вирусы и спам используют так называемые открытые релеи - SMTP-сервера без авторизации. Либо - настроийки mail-клиента инфицированного компьютера, случайным образом подставляя значения в From и ReplayTo. Маршрут доставки письма прописывается в заголовке письма. Но, опять же, по RFC нет обязательной обратной проверки маршрута. Т.е. есть возможность на любом этапе пересылки изменить (сфальсифицировать) путь доставки сообщения.

SMPT, говорите? Ну-ну…

Date: 2007-02-24 06:56 am (UTC)
From: [identity profile] mivlad.livejournal.com
Мне казалось, спам (не знаю насчёт вирусов) обычно рассылается с поражённых компьютеров напрямую по MX адресатов.

SMTP, конечно.

Date: 2007-02-24 07:13 am (UTC)
From: [identity profile] wamana.livejournal.com
> Мне казалось, спам (не знаю насчёт вирусов) обычно рассылается с поражённых компьютеров напрямую по MX адресатов.

Ну. А чему это противоречит из вышесказанного? Протокол-то все равно SMTP. И "реальный сервер отправителя" будет сам зараженный компьютер.

Re: SMTP, конечно.

Date: 2007-02-24 07:42 am (UTC)
From: [identity profile] mivlad.livejournal.com
И что, предлагаете жаловаться админу заражённого компьютера? Ну удачи :-)

Так я как раз...

Date: 2007-02-24 08:00 am (UTC)
From: [identity profile] wamana.livejournal.com
...ничего не предлагаю. Я спрашиваю, кому автор хочет жаловаться. Именно для того и спрашиваю, чтобы автор осознал бессмысленность жалоб.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only