Внимание! Спамеры поумнели и добрались до фриланса
Как-то на днях мне пришло одно письмо, с предложением работы. Вроде ничего плохого — полу сформулированное предложение работы, тема нормальная, вроде подписались, в общем, ничего подозрительного — но это спам… и, как оказалось, не один я спешу предупредить. На weblancer.net и free-lance.ru уже отреагировали.
На сайте weblancer.net у меня в профиле указан мой почтовый ящик. Вроде бы ничего обидного, гостям профили не видны… Однако нет.
На ящик, указанный в профиле, пришло письмо. Содержание было совсем безобидное, но меня оно никак не интересовало. Во первых, тематика не моя, во вторых — я и так уж больно сильно занят, чтобы что-то брать еще сверху ежедневных дел.
Собственно вот текст первого сообщения:
Как полагается в таких случаях — я отписался автору письма (ничего не подозревая) что не могу ничем помочь, дал адрес друга, который специализируется на подобном и забыл. Только спустя некоторое время я понял, что это было зря. Вполне логично, что прочтя подобное письмо получатель должен ответить на него: либо просто из вежливости (если не может приняться за предлагаемую работу), либо с указанием цены и сроков. В данном случае ответ, скорее всего, послужил тем часовым механизмом, который запустил спам-машину.
Однако на этом все не кончилось. Мне пришло еще одно письмо, по которому было понятно, что либо дело не чистое, либо та женщина (автор сообщения) тупая баба. [прошу прощения у всего прекрасного населения за подобные грубости]
Текст сообщения вполне безобиден:
Сообщение было построено верно, на случай, если я пытался перейти по ссылке из первого сообщения, но у меня это не получилось и я написал им ответное письмо, что ссылка не работает. Да даже, если бы и не переходил по ссылке, а написал письмо с указанием стоимости работы. В общем, не важно, какое это письмо. Главное оно ушло и ящик считается рабочим… Однако. я же явно указал в сообщении, что не могу приняться за работу. Это меня уже насторожило. В мыслях промелькнуло: «Это что за заказчик настырный такой?». Но больше всего мне не понравилось то, что не было указано никаких причин, для существования той самой настойчивости.
Я решил немного копнуть. Далеко идти не надо было. Я заглянул в исходник письма. На первый взгляд — там все чисто и гладко. при первом просмотре блок «Received:» я опустил из-за его размеров. Обычно при спаме это N open relay. Потом, при повторном проходе, где я уже вчитывался в строки и между строк я заметил интересный факт:
Return-path: <osteomed-spb@yandex.ru>
Received: from [206.190.52.173] (port=35993 helo=smtp104.biz.mail.re2.yahoo.com)
by mx81.mail.ru with esmtp
id 1NYL0t-000Kj8-00
for to_friends@mail.ru; Fri, 22 Jan 2010 18:01:31 +0300
Received-SPF: softfail (mx81.mail.ru: transitioning domain of yandex.ru does not designate 206.190.52.173 as permitted sender) client-ip=206.190.52.173; envelope-from=osteomed-spb@yandex.ru; helo=smtp104.biz.mail.re2.yahoo.com;
…
Received: from d51535928.access.telenet.be (osteomed-spb@81.83.89.40 with login)
by smtp104.biz.mail.re2.yahoo.com with SMTP; 22 Jan 2010 06:54:49 -0800 PST
Того, что я увидел было достаточно для меня чтобы удостовериться в истинности моих подозрений.
Первая выдача запроса в гугле IP адреса показала статью, которая освежила мою память.
206.190.52.173 это SMTP сервер Yahoo. Для подключения к SMTP серверу злоумышленники используют оригинальный IP адрес и информацию. 206.190.52.173 — оригинальный IP адрес и они без особых усилий подключаются к серверу используя данные что-то вроде email@example.com@206.190.52.173.
Сомнений в том, что это спам у меня не осталось.
Но любопытство ведь свое берет. С предельной осторожностью — перешел по последней ссылке. Там архив TЗ.rar. Вроде ничего обидного. Но дальше уже интереснее:
Думаю, не надо объяснять что это за ТЗ такое…
Второй файл, точнее ярлык тоже хорош:
DrWeb 5.0.1.12222 2010.01.22 Trojan.MulDrop.60130
Kaspersky 7.0.0.125 2010.01.22 Trojan-PSW.Win32.WebMoner.nl
NOD32 4797 2010.01.22 Win32/TrojanDropper.Delf.NRR
Ниже приведу исходный тест писем. (может кому интересно)
Это была не разовая атака.
И напоследок. Что я хотел от данного поста — обратить внимание и лишний раз предупредить. Спамер не дремлет, спамер умнее становится.
С Уважением, Андрей Куманяев.
upd:
Понепроверенным данным словам lmaster вирус обладает следующим функционалом:
1) Программа записывает все нажатия клавиш (keylogger)
2) Зловред похищает данные для авторизации у следующих программ:
— QIP
— Mail.ru Agent
— Total Commander
— SmartFTP
— OutLook
— ICQ
— The BAT!
— WebMoney
— FireFox
— IE
— Opera
3) Все это программа отправляет на сайты:
sitysan.hmsite.net/upload.php
chikoss.hmsite.net/upload.php
Как все начиналось.
На сайте weblancer.net у меня в профиле указан мой почтовый ящик. Вроде бы ничего обидного, гостям профили не видны… Однако нет.
На ящик, указанный в профиле, пришло письмо. Содержание было совсем безобидное, но меня оно никак не интересовало. Во первых, тематика не моя, во вторых — я и так уж больно сильно занят, чтобы что-то брать еще сверху ежедневных дел.
Собственно вот текст первого сообщения:
Здравствуйте.
Мне нужно перевести текст с сайта.
Тема - медицина. Вот старый сайт : www.osteomed-spb.narod.ru
Новый сайт будет готов в течении 2 недель, к этому времени мне надо перевести все статьи которые будут размещены на сайте
Некоторые из статей можно скачать тут : narod.ru/disk/17109516000/статьи.rar.html
Меня интересует стоимость работы и сроки выполнения.
Крестина Людмила Сергеевна.
Как полагается в таких случаях — я отписался автору письма (ничего не подозревая) что не могу ничем помочь, дал адрес друга, который специализируется на подобном и забыл. Только спустя некоторое время я понял, что это было зря. Вполне логично, что прочтя подобное письмо получатель должен ответить на него: либо просто из вежливости (если не может приняться за предлагаемую работу), либо с указанием цены и сроков. В данном случае ответ, скорее всего, послужил тем часовым механизмом, который запустил спам-машину.
Завязка
Однако на этом все не кончилось. Мне пришло еще одно письмо, по которому было понятно, что либо дело не чистое, либо та женщина (автор сообщения) тупая баба. [прошу прощения у всего прекрасного населения за подобные грубости]
Текст сообщения вполне безобиден:
Здравствуйте.
Извините я вам прислала не правильную ссылку.
Вот ссылка : slil.ru/28530892
Крестина Людмила Сергеевна.
Что меня смутило.
Сообщение было построено верно, на случай, если я пытался перейти по ссылке из первого сообщения, но у меня это не получилось и я написал им ответное письмо, что ссылка не работает. Да даже, если бы и не переходил по ссылке, а написал письмо с указанием стоимости работы. В общем, не важно, какое это письмо. Главное оно ушло и ящик считается рабочим… Однако. я же явно указал в сообщении, что не могу приняться за работу. Это меня уже насторожило. В мыслях промелькнуло: «Это что за заказчик настырный такой?». Но больше всего мне не понравилось то, что не было указано никаких причин, для существования той самой настойчивости.
Развязка
Я решил немного копнуть. Далеко идти не надо было. Я заглянул в исходник письма. На первый взгляд — там все чисто и гладко. при первом просмотре блок «Received:» я опустил из-за его размеров. Обычно при спаме это N open relay. Потом, при повторном проходе, где я уже вчитывался в строки и между строк я заметил интересный факт:
Return-path: <osteomed-spb@yandex.ru>
Received: from [206.190.52.173] (port=35993 helo=smtp104.biz.mail.re2.yahoo.com)
by mx81.mail.ru with esmtp
id 1NYL0t-000Kj8-00
for to_friends@mail.ru; Fri, 22 Jan 2010 18:01:31 +0300
Received-SPF: softfail (mx81.mail.ru: transitioning domain of yandex.ru does not designate 206.190.52.173 as permitted sender) client-ip=206.190.52.173; envelope-from=osteomed-spb@yandex.ru; helo=smtp104.biz.mail.re2.yahoo.com;
…
Received: from d51535928.access.telenet.be (osteomed-spb@81.83.89.40 with login)
by smtp104.biz.mail.re2.yahoo.com with SMTP; 22 Jan 2010 06:54:49 -0800 PST
- 1. То, что письмо с яндексового ящика — это видно невооруженным ответом и ничего страшного. Я тоже отправляю письма с mail.ru, указывая обратный адрес совсем другой.
- 2. IP адрес просто запомните.
- 3. HELO уже заинтриговало. Приведу пример HELO с реального ящика.
Received: from [95.108.130.120] (port=50391 helo=forward13.mail.yandex.net)
Такая запись меня бы не смутила… Но то, что выше — пардон. - 4. SPF тоже ничего хорошего не поведал. IP то не яндекса, что с него слать то… Нормальное письмо с яндекса естественно ничем не запятнает свое имя. Например:
Received-SPF: pass (mx52.mail.ru: domain of yandex.ru designates 95.108.130.120 as permitted sender) client-ip=95.108.130.120; envelope-from=xxx@yandex.ru; helo=forward13.mail.yandex.net; - 5. Очень любопытно было посмотреть на smtp сервер. В реале будет что-то наподобие следующего:
Received: from smtp11.mail.yandex.net (smtp11.mail.yandex.net [95.108.130.67])
by forward13.mail.yandex.net (Yandex) with ESMTP id 05383A78EA7
for <to_friends@mail.ru>; Fri, 25 Dec 2009 20:12:02 +0300 (MSK)
Received: from BIGGEST_COMP (pppoeXXXXX.mv.ru [xxx.xxx.xxx.xxx])
by smtp11.mail.yandex.net (Yandex) with ESMTPA id ADF0A673008B
for <to_friends@mail.ru>; Fri, 25 Dec 2009 20:11:51 +0300 (MSK)
Однако там этим и не пахло.
Того, что я увидел было достаточно для меня чтобы удостовериться в истинности моих подозрений.
Первая выдача запроса в гугле IP адреса показала статью, которая освежила мою память.
206.190.52.173 это SMTP сервер Yahoo. Для подключения к SMTP серверу злоумышленники используют оригинальный IP адрес и информацию. 206.190.52.173 — оригинальный IP адрес и они без особых усилий подключаются к серверу используя данные что-то вроде email@example.com@206.190.52.173.
Сомнений в том, что это спам у меня не осталось.
Но любопытство ведь свое берет. С предельной осторожностью — перешел по последней ссылке. Там архив TЗ.rar. Вроде ничего обидного. Но дальше уже интереснее:
Думаю, не надо объяснять что это за ТЗ такое…
Второй файл, точнее ярлык тоже хорош:
DrWeb 5.0.1.12222 2010.01.22 Trojan.MulDrop.60130
Kaspersky 7.0.0.125 2010.01.22 Trojan-PSW.Win32.WebMoner.nl
NOD32 4797 2010.01.22 Win32/TrojanDropper.Delf.NRR
Ниже приведу исходный тест писем. (может кому интересно)
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
From — Thu Jan 21 11:30:28 2010
X-Account-Key: account1
X-UIDL: 1264057825436
X-Mozilla-Status: 0003
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-path: <osteomed-spb@yandex.ru>
Received: from [206.190.52.173] (port=34570 helo=smtp104.biz.mail.re2.yahoo.com)
by mx86.mail.ru with esmtp
id 1NXrBQ-000LUy-00
for to_friends@mail.ru; Thu, 21 Jan 2010 10:10:24 +0300
Received-SPF: softfail (mx86.mail.ru: transitioning domain of yandex.ru does not designate 206.190.52.173 as permitted sender) client-ip=206.190.52.173; envelope-from=osteomed-spb@yandex.ru; helo=smtp104.biz.mail.re2.yahoo.com;
X-Mru-BL: 0:4:0
X-Mru-PTR: off
X-Mru-NR: 1
X-Mru-OF: unknown (ethernet/modem)
X-Mru-RC: US
Received: (qmail 23718 invoked from network); 21 Jan 2010 06:43:43 -0000
Received: from 78-21-52-174.access.telenet.be (osteomed-spb@78.21.52.174 with login)
by smtp104.biz.mail.re2.yahoo.com with SMTP; 20 Jan 2010 22:43:42 -0800 PST
X-Yahoo-SMTP: OGyL7BeswBAyEJCfyh3zpU0Ux00x
X-YMail-OSG: WTKuh7QVM1nrQKJgkpvMz8tKkMLUsVbU_7WmyKXpqW8huF3P.Hr4KALgp_rRJ_11_ZVfz_NRRKNGv85caw4QtnAnPaMwxoioUpiMTKuBgMTCM1WUYvAzHGAULqK24ACPgAGq6c93ncPofDDqhzAB0Fziu7YiETTGegojHj.AL8pjBi4HlsrA17mpje6CTdw5e6mnXd8vu6hhaHgeoWFzWc9CnYF7YlArFHE9PgpkYjMp_zW.6Il71SGNQcCYNLWFX_.367K7idAq.FRW1h9CEkkAc3tJvs.7tmeqCuSQVGPjKvAs_LtTkCJ5PQ18WGhEalI3a61m4a1CdHZE7a0xj70qecpCvWgznr10jjp2U9WTqZ.bUjkZhiu88azIxNUZ0EfIY.sZJD62a4m16J1HIrRZblO6CVISrokLFbcZNVBJdD4pkg2HwanaSlyTdYEX8KIK7jhHahLQ7VCDawCBI5xIGiJ.VpLduYXrlS7n33yhNKNqTwZo.NI-
X-Yahoo-Newman-Property: ymail-3
Message-ID: <00f43f29-40199-02794053716319@user>
Reply-To: «Osteomed» <osteomed-spb@yandex.ru>
From: «Osteomed» <osteomed-spb@yandex.ru>
To: to_friends@mail.ru
Subject: www.weblancer.net
Date: Thu, 21 Jan 2010 09:43:44 +0300
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-Mailer: Power Sending Sockets v5.1
X-Spam: Not detected
X-Mras: OK
Здравствуйте.
Мне нужно перевести текст с сайта.
Тема — медицина. Вот старый сайт: www.osteomed-spb.narod.ru
Новый сайт будет готов в течении 2 недель, к этому времени мне надо перевести все статьи которые будут размещены на сайте
Некоторые из статей можно скачать тут: narod.ru/disk/17109516000/статьи.rar.html
Меня интересует стоимость работы и сроки выполнения.
Крестина Людмила Сергеевна.
.
Второе письмо:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
From — Fri Jan 22 18:02:21 2010
X-Account-Key: account1
X-UIDL: 1264172491218
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-path: <osteomed-spb@yandex.ru>
Received: from [206.190.52.173] (port=35993 helo=smtp104.biz.mail.re2.yahoo.com)
by mx81.mail.ru with esmtp
id 1NYL0t-000Kj8-00
for to_friends@mail.ru; Fri, 22 Jan 2010 18:01:31 +0300
Received-SPF: softfail (mx81.mail.ru: transitioning domain of yandex.ru does not designate 206.190.52.173 as permitted sender) client-ip=206.190.52.173; envelope-from=osteomed-spb@yandex.ru; helo=smtp104.biz.mail.re2.yahoo.com;
X-Mru-BL: 0:4:0
X-Mru-PTR: off
X-Mru-NR: 1
X-Mru-OF: unknown (ethernet/modem)
X-Mru-RC: US
Received: (qmail 51685 invoked from network); 22 Jan 2010 14:54:50 -0000
Received: from d51535928.access.telenet.be (osteomed-spb@81.83.89.40 with login)
by smtp104.biz.mail.re2.yahoo.com with SMTP; 22 Jan 2010 06:54:49 -0800 PST
X-Yahoo-SMTP: OGyL7BeswBAyEJCfyh3zpU0Ux00x
X-YMail-OSG: BcrH8xMVM1kKujC9WqJobThlV9hR32uh0usEbHcIRRYBjf9..mfgT8yxGdAHmfIjkqEKFK63wk1JRkK0tRwOeXmDDCSSfYjwiL5k3rmg7nGCAYgkvTtO2._.edkzutGdlmvZi7vi6ghfOG9mAP74KhNarlXPxVo0JH7ivUqeIxkOv1KVXDXYoYywkCNALAnb6TKc1s1qUhcDkOE1GfQ9h2LXu_MYEEa_YbYMCV2VJXz27qBitB96fIj7Xj8QFLRW_Y8CZ0mXzv3ra5oPdV7LaBAHd9WvgjFrDfMIN3JbM7f_yHWBwAVb2lNaowfzo2bnZMqdnbmI3uQ70jr1N9qNs1ykAlSKfEFyLWMYqJCbviUwlO84Yh3h6Y4iOhG6jcVRBxmHU.FFhWvh2Ta4Q5N.5pFXtH2f4bI.UoCV_pj7ht5Ik.wUYFeHZRIzGEb27QXRQ5jI2LAuCEMqFHUE9hK8EPirq.PJOw.VLra8M7Pr4nbh30SyHpwYhrfYZg--
X-Yahoo-Newman-Property: ymail-3
Message-ID: <00f43916-40200-01b67464373495@user>
Reply-To: «Osteomed» <osteomed-spb@yandex.ru>
From: «Osteomed» <osteomed-spb@yandex.ru>
To: to_friends@mail.ru
Subject: www.weblancer.net
Date: Fri, 22 Jan 2010 17:54:52 +0300
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-Mailer: Power Sending Sockets v5.1
X-Spam: Not detected
X-Mras: OK
Здравствуйте.
Извините я вам прислала не правильную ссылку.
Вот ссылка: slil.ru/28530892
Крестина Людмила Сергеевна.
.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Это была не разовая атака.
И напоследок. Что я хотел от данного поста — обратить внимание и лишний раз предупредить. Спамер не дремлет, спамер умнее становится.
С Уважением, Андрей Куманяев.
upd:
По
1) Программа записывает все нажатия клавиш (keylogger)
2) Зловред похищает данные для авторизации у следующих программ:
— QIP
— Mail.ru Agent
— Total Commander
— SmartFTP
— OutLook
— ICQ
— The BAT!
— WebMoney
— FireFox
— IE
— Opera
3) Все это программа отправляет на сайты:
sitysan.hmsite.net/upload.php
chikoss.hmsite.net/upload.php
комментарии (71)