Логотип StingRay

Поделиться
FacebookFacebookRSSTwitterYouTubeВ контактеОдноклассники
FacebookFacebookRSSTwitterYouTubeВ контактеОдноклассники
Силуэт человека

Борьба с рассылкой вирусов по электронной почте

Сразу хотелось бы выразить благодарность журналу «Подводная лодка», один из номеров которого содержал материалы, послужившие теоретическим базисом проведённого «исследования».

Началось всё с того, что по электронной почте мне пришло письмо: без темы, с пустым телом, но зато с присоединённым файлом, который назывался Metallica_Song.mp3.pif – расчёт, видимо делался на то, что я фанат группы Metallica и буду рад послушать её песню под названием Song («песня» – англ.). Однако настоящее расширение файла (*.pif – ярлык для исполнимого файла), а также его размер (для ярлыка 500 кбайтов многовато) меня несколько смутили, поэтому я сохранил файл на жёсткий диск, но запускать не стал, а просто а) посмотрел его внутреннюю структуру и убедился, что это исполнимый файл Windows-приложения, и б) проверил его имеющейся антивирусной программой, а именно Norton AntiVirus'ом, который мне выдал следующую информацию:

Virus Information

Virus name: W95.MTX.dr
Aliases:  
Infects:  
Likelihood: Common
Length: 0 bytes

Characteristics

Memory resident   No   Triggered event   No
Size stealth   No   Encrypting   No
Full stealth   No   Polymorphic   No

Comments

This is a Windows virus. It also has a worm component infected with the same virus that spreads via e-mail. It also patches WSock32.dll.

Итак, я получил по электронной почте вирус. После установления данного факта файл был уничтожен, но сама история на этом не заканчивается…

Так как тело письма было пустым, и по нему ничего нельзя было вычислить, было решено сразу перейти к анализу так называемых заголовков RFC-822, то есть служебной информации, включаемой почтовыми серверами в начало тела письма при его прохождении по Сети. Большинство почтовых клиентов, как известно, скрывают эти заголовки от пользователя («чтобы не смущать»), но при этом имеют средства их отображения. В частности, в популярном почтовом клиенте The Bat! (по крайней мере, в его русской версии 1.46) эти заголовки можно наблюдать, если включён пункт «Показывать заголовки (RFC-822)» меню «Вид». В случае с присланным мне письмом заголовки выглядели так:

From: sender@server.ru Wed Oct 10 18:11:21 2001
Envelope-To: receiver@server.ru
Delivery-Date: Wed, 10 Oct 2001 18:11:21 +0400
Received: from [195.239.64.154] (helo=jell)
by smtp6.port.ru with smtp (Exim 3.14 #1)
id 15rK4n-0001mZ-00
for receiver@server.ru; Wed, 10 Oct 2001 18:11:13 +0400
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==i3.9.0oisdboibsd((kncd"
Message-Id: <E15rK4n-0001mZ-00@smtp6.port.ru>
From: sender@server.ru
BCC:  
Date: Wed, 10 Oct 2001 18:11:13 +0400

* Здесь адреса отправителя (sender@server.ru) и получателя (receiver@server.ru) являются вымышленными, любое совпадение с реальными адресами случайно.

Особый интерес в этих заголовках обычно представляет самый первый IP-адрес отправителя (здесь – 195.239.64.154), так как именно он означает самую исходную точку отправления. Именно по нему можно вычислить «следующего по цепочке» – провайдера, клиентом которого является злостный отправитель. Для этого достаточно воспользоваться базой данных организации, отвечающей за распределение IP-адресов; в случае с российскими провайдерами это служба WhoIs организации Ripe NCC. В данном случае были получены следующие сведения (избранное):

195.239.64.154

% This is the RIPE WhoIs server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

InetNum: 195.239.0.0 – 195.239.255.255
NetName: RU-SOVAM-971210
Descr: Sovam Teleport
Descr: Provider
Country: RU
Person: Andrey V. Kolesnikov
E-mail: andrei@sovam.com
Person: Igor V. Semenyuk
E-mail: iga@sovam.com

Итак, провайдер нам известен. Электронные адреса контактных лиц тоже. Остаётся написать им письмо!

Здравствуйте, …!

Сегодня ко мне пришло письмо с пустым телом, но зато с вложением в виде файла Metallica_Song.mp3.pif, который на самом деле является исполнимым файлом Win32. К счастью, я обладаю достаточной квалификацией, чтобы не попадаться на такие уловки для любителей MP3-музыки. К данному письму я прилагаю всю ту информацию, которую удалось извлечь из присланного письма (Letter.txt), в том числе результат запроса к базе данных провайдеров «Кто есть кто» (Provider.htm), по которому я и определил провайдера (IP-адрес злоумышленника отчётливо наблюдается в заголовке письма). Само вложение (Metallica_Song.mp3.pif) я не высылаю ввиду опасности его содержимого. Надеюсь, Вы, как серьёзная и уважаемая мною компания, активно боритесь с преступлениями в компьютерной сфере, в том числе с рассылкой вирусов Вашими клиентами. Прошу письменно сообщить мне о результатах расследования, так как это напрямую затрагивает мои конституционные права.

С уважением, Станислав.

…И ни ответа, ни привета. Прошло четыре календарных дня, прежде чем я решил наведаться на сайт компании «Совам Телепорт» (http://www.sovam.com/) с целью обнаружения новых адресов, куда можно направить своё письмо. Оказалось, что указанного сайта, как такового, нет, и он на самом деле перенаправляет запрос на сайт головной компании – «Голден Телеком» (http://www.goldentelecom.ru/). Побродив немного там, а также узнав, что проект «Россия-Он-Лайн» (http://www.rol.ru/) также принадлежит компании «Голден Телеком», я насобирал ещё несколько электронных адресов: info@goldentelecom.ru, support@goldentelecom.ru, support@sovam.com, webmaster@goldentelecom.ru, куда и отправил приведённое выше письмо ещё раз. И, несмотря на то, что некоторые из адресов не существовали, уже через день я получил ответ от… Russia-On-Line Abuse Investigation Desk («Стол расследований злоупотреблений «России-Он-Лайн» – abuse@online.ru):

Уважаемые господа!

Спасибо за Вашу информацию, присланную на abuse@online.ru «России-Он-Лайн»! Это сообщение от робота электронной почты. Возможно, что Вы не получите персональный ответ от нашего сотрудника, но мы хотим уверить Вас, что мы расследуем каждый случай по спаму, попытке вторгнуться в чужие сети и рассылке вирусов «троянских коней» с использованием сегмента сети «ТелеРосс». В частности, если вы не можете отправить письмо по электронной почте по адресу нарушителя сетевого этикета, вполне возможно, что этот почтовый ящик уже не обслуживается «Россией-Он-Лайн».

Если вы нуждаетесь в эскалации проблемы, пожалуйста, напишите нам по адресу postmaster@online.ru.

Для получения информации о службе «Россия-Он-Лайн» посетите наш сайт: http://www.online.ru, или напишите письмо по адресу info@online.ru.

Всегда Ваша, «Россия-Он-Лайн».

Вот так всё работает. Ещё раз – спасибо журналу «Подводная лодка», ведь я всего лишь проверил, то о чём было написано в одном из его номеров.

Добавьте свой комментарий или войдите, чтобы подписаться/отписаться.
Имя: OpenId
Результат операции:
Предпросмотр
Загрузка…