Логотип StingRay

Поделиться
FacebookFacebookRSSTwitterYouTubeВ контактеОдноклассники
FacebookFacebookRSSTwitterYouTubeВ контактеОдноклассники
Силуэт человека

Борьба с рассылкой вирусов по электронной почте

Сразу хотелось бы выразить благодарность журналу «Подводная лодка», один из номеров которого содержал материалы, послужившие теоретическим базисом проведённого «исследования».

Началось всё с того, что по электронной почте мне пришло письмо: без темы, с пустым телом, но зато с присоединённым файлом, который назывался Metallica_Song.mp3.pif – расчёт, видимо делался на то, что я фанат группы Metallica и буду рад послушать её песню под названием Song («песня» – англ.). Однако настоящее расширение файла (*.pif – ярлык для исполнимого файла), а также его размер (для ярлыка 500 кбайтов многовато) меня несколько смутили, поэтому я сохранил файл на жёсткий диск, но запускать не стал, а просто а) посмотрел его внутреннюю структуру и убедился, что это исполнимый файл Windows-приложения, и б) проверил его имеющейся антивирусной программой, а именно Norton AntiVirus'ом, который мне выдал следующую информацию:

Virus Information

Virus name: W95.MTX.dr
Aliases:  
Infects:  
Likelihood: Common
Length: 0 bytes

Characteristics

Memory resident   No   Triggered event   No
Size stealth   No   Encrypting   No
Full stealth   No   Polymorphic   No

Comments

This is a Windows virus. It also has a worm component infected with the same virus that spreads via e-mail. It also patches WSock32.dll.

Итак, я получил по электронной почте вирус. После установления данного факта файл был уничтожен, но сама история на этом не заканчивается…

Так как тело письма было пустым, и по нему ничего нельзя было вычислить, было решено сразу перейти к анализу так называемых заголовков RFC-822, то есть служебной информации, включаемой почтовыми серверами в начало тела письма при его прохождении по Сети. Большинство почтовых клиентов, как известно, скрывают эти заголовки от пользователя («чтобы не смущать»), но при этом имеют средства их отображения. В частности, в популярном почтовом клиенте The Bat! (по крайней мере, в его русской версии 1.46) эти заголовки можно наблюдать, если включён пункт «Показывать заголовки (RFC-822)» меню «Вид». В случае с присланным мне письмом заголовки выглядели так:

From: sender@server.ru Wed Oct 10 18:11:21 2001
Envelope-To: receiver@server.ru
Delivery-Date: Wed, 10 Oct 2001 18:11:21 +0400
Received: from [195.239.64.154] (helo=jell)
by smtp6.port.ru with smtp (Exim 3.14 #1)
id 15rK4n-0001mZ-00
for receiver@server.ru; Wed, 10 Oct 2001 18:11:13 +0400
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==i3.9.0oisdboibsd((kncd"
Message-Id: <E15rK4n-0001mZ-00@smtp6.port.ru>
From: sender@server.ru
BCC:  
Date: Wed, 10 Oct 2001 18:11:13 +0400

* Здесь адреса отправителя (sender@server.ru) и получателя (receiver@server.ru) являются вымышленными, любое совпадение с реальными адресами случайно.

Особый интерес в этих заголовках обычно представляет самый первый IP-адрес отправителя (здесь – 195.239.64.154), так как именно он означает самую исходную точку отправления. Именно по нему можно вычислить «следующего по цепочке» – провайдера, клиентом которого является злостный отправитель. Для этого достаточно воспользоваться базой данных организации, отвечающей за распределение IP-адресов; в случае с российскими провайдерами это служба WhoIs организации Ripe NCC. В данном случае были получены следующие сведения (избранное):

195.239.64.154

% This is the RIPE WhoIs server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

InetNum: 195.239.0.0 – 195.239.255.255
NetName: RU-SOVAM-971210
Descr: Sovam Teleport
Descr: Provider
Country: RU
Person: Andrey V. Kolesnikov
E-mail: andrei@sovam.com
Person: Igor V. Semenyuk
E-mail: iga@sovam.com

Итак, провайдер нам известен. Электронные адреса контактных лиц тоже. Остаётся написать им письмо!

Здравствуйте, …!

Сегодня ко мне пришло письмо с пустым телом, но зато с вложением в виде файла Metallica_Song.mp3.pif, который на самом деле является исполнимым файлом Win32. К счастью, я обладаю достаточной квалификацией, чтобы не попадаться на такие уловки для любителей MP3-музыки. К данному письму я прилагаю всю ту информацию, которую удалось извлечь из присланного письма (Letter.txt), в том числе результат запроса к базе данных провайдеров «Кто есть кто» (Provider.htm), по которому я и определил провайдера (IP-адрес злоумышленника отчётливо наблюдается в заголовке письма). Само вложение (Metallica_Song.mp3.pif) я не высылаю ввиду опасности его содержимого. Надеюсь, Вы, как серьёзная и уважаемая мною компания, активно боритесь с преступлениями в компьютерной сфере, в том числе с рассылкой вирусов Вашими клиентами. Прошу письменно сообщить мне о результатах расследования, так как это напрямую затрагивает мои конституционные права.

С уважением, Станислав.

…И ни ответа, ни привета. Прошло четыре календарных дня, прежде чем я решил наведаться на сайт компании «Совам Телепорт» (http://www.sovam.com/) с целью обнаружения новых адресов, куда можно направить своё письмо. Оказалось, что указанного сайта, как такового, нет, и он на самом деле перенаправляет запрос на сайт головной компании – «Голден Телеком» (http://www.goldentelecom.ru/). Побродив немного там, а также узнав, что проект «Россия-Он-Лайн» (http://www.rol.ru/) также принадлежит компании «Голден Телеком», я насобирал ещё несколько электронных адресов: info@goldentelecom.ru, support@goldentelecom.ru, support@sovam.com, webmaster@goldentelecom.ru, куда и отправил приведённое выше письмо ещё раз. И, несмотря на то, что некоторые из адресов не существовали, уже через день я получил ответ от… Russia-On-Line Abuse Investigation Desk («Стол расследований злоупотреблений «России-Он-Лайн» – abuse@online.ru):

Уважаемые господа!

Спасибо за Вашу информацию, присланную на abuse@online.ru «России-Он-Лайн»! Это сообщение от робота электронной почты. Возможно, что Вы не получите персональный ответ от нашего сотрудника, но мы хотим уверить Вас, что мы расследуем каждый случай по спаму, попытке вторгнуться в чужие сети и рассылке вирусов «троянских коней» с использованием сегмента сети «ТелеРосс». В частности, если вы не можете отправить письмо по электронной почте по адресу нарушителя сетевого этикета, вполне возможно, что этот почтовый ящик уже не обслуживается «Россией-Он-Лайн».

Если вы нуждаетесь в эскалации проблемы, пожалуйста, напишите нам по адресу postmaster@online.ru.

Для получения информации о службе «Россия-Он-Лайн» посетите наш сайт: http://www.online.ru, или напишите письмо по адресу info@online.ru.

Всегда Ваша, «Россия-Он-Лайн».

Вот так всё работает. Ещё раз – спасибо журналу «Подводная лодка», ведь я всего лишь проверил, то о чём было написано в одном из его номеров.

Добавьте свой комментарий или войдите, чтобы подписаться/отписаться.
Имя: OpenId
Результат операции:
Предпросмотр Улыбка Подмигивание Дразнит Оскал Смех Огорчение Сильное огорчение Шок Сумасшествие Равнодушие Молчание Крутизна Злость Бешенство Смущение Сожаление Влюблённость Ангел Вопрос Восклицание Жирный Курсив Подчёркивание Зачёркивание Размер шрифта Гиперссылка Цитата
Загрузка…