Борьба с рассылкой вирусов по электронной почте
- Опубликовано: 10.10.2001
Сразу хотелось бы выразить благодарность журналу «Подводная лодка», один из номеров которого содержал материалы, послужившие теоретическим базисом проведённого «исследования».
Началось всё с того, что по электронной почте мне пришло письмо: без темы, с пустым телом, но зато с присоединённым файлом, который назывался Metallica_Song.mp3.pif – расчёт, видимо делался на то, что я фанат группы Metallica и буду рад послушать её песню под названием Song («песня» – англ.). Однако настоящее расширение файла (*.pif – ярлык для исполнимого файла), а также его размер (для ярлыка 500 кбайтов многовато) меня несколько смутили, поэтому я сохранил файл на жёсткий диск, но запускать не стал, а просто а) посмотрел его внутреннюю структуру и убедился, что это исполнимый файл Windows-приложения, и б) проверил его имеющейся антивирусной программой, а именно Norton AntiVirus'ом, который мне выдал следующую информацию:
Characteristics
Comments This is a Windows virus. It also has a worm component infected with the same virus that spreads via e-mail. It also patches WSock32.dll. |
Итак, я получил по электронной почте вирус. После установления данного факта файл был уничтожен, но сама история на этом не заканчивается…
Так как тело письма было пустым, и по нему ничего нельзя было вычислить, было решено сразу перейти к анализу так называемых заголовков RFC-822, то есть служебной информации, включаемой почтовыми серверами в начало тела письма при его прохождении по Сети. Большинство почтовых клиентов, как известно, скрывают эти заголовки от пользователя («чтобы не смущать»), но при этом имеют средства их отображения. В частности, в популярном почтовом клиенте The Bat! (по крайней мере, в его русской версии 1.46) эти заголовки можно наблюдать, если включён пункт «Показывать заголовки (RFC-822)» меню «Вид». В случае с присланным мне письмом заголовки выглядели так:
|
* Здесь адреса отправителя (sender@server.ru) и получателя (receiver@server.ru) являются вымышленными, любое совпадение с реальными адресами случайно.
Особый интерес в этих заголовках обычно представляет самый первый IP-адрес отправителя (здесь – 195.239.64.154), так как именно он означает самую исходную точку отправления. Именно по нему можно вычислить «следующего по цепочке» – провайдера, клиентом которого является злостный отправитель. Для этого достаточно воспользоваться базой данных организации, отвечающей за распределение IP-адресов; в случае с российскими провайдерами это служба WhoIs организации Ripe NCC. В данном случае были получены следующие сведения (избранное):
| 195.239.64.154 % This is the RIPE WhoIs server. % The objects are in RPSL format. % Please visit http://www.ripe.net/rpsl for more information. % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-services/db/copyright.html
| ||||||||||||||||||||||
Итак, провайдер нам известен. Электронные адреса контактных лиц тоже. Остаётся написать им письмо!
Здравствуйте, …!
Сегодня ко мне пришло письмо с пустым телом, но зато с вложением в виде файла Metallica_Song.mp3.pif, который на самом деле является исполнимым файлом Win32. К счастью, я обладаю достаточной квалификацией, чтобы не попадаться на такие уловки для любителей MP3-музыки. К данному письму я прилагаю всю ту информацию, которую удалось извлечь из присланного письма (Letter.txt), в том числе результат запроса к базе данных провайдеров «Кто есть кто» (Provider.htm), по которому я и определил провайдера (IP-адрес злоумышленника отчётливо наблюдается в заголовке письма). Само вложение (Metallica_Song.mp3.pif) я не высылаю ввиду опасности его содержимого. Надеюсь, Вы, как серьёзная и уважаемая мною компания, активно боритесь с преступлениями в компьютерной сфере, в том числе с рассылкой вирусов Вашими клиентами. Прошу письменно сообщить мне о результатах расследования, так как это напрямую затрагивает мои конституционные права.
С уважением, Станислав.
…И ни ответа, ни привета. Прошло четыре календарных дня, прежде чем я решил наведаться на сайт компании «Совам Телепорт» (http://www.sovam.com/) с целью обнаружения новых адресов, куда можно направить своё письмо. Оказалось, что указанного сайта, как такового, нет, и он на самом деле перенаправляет запрос на сайт головной компании – «Голден Телеком» (http://www.goldentelecom.ru/). Побродив немного там, а также узнав, что проект «Россия-Он-Лайн» (http://www.rol.ru/) также принадлежит компании «Голден Телеком», я насобирал ещё несколько электронных адресов: info@goldentelecom.ru, support@goldentelecom.ru, support@sovam.com, webmaster@goldentelecom.ru, куда и отправил приведённое выше письмо ещё раз. И, несмотря на то, что некоторые из адресов не существовали, уже через день я получил ответ от… Russia-On-Line Abuse Investigation Desk («Стол расследований злоупотреблений «России-Он-Лайн» – abuse@online.ru):
Уважаемые господа!
Спасибо за Вашу информацию, присланную на abuse@online.ru «России-Он-Лайн»! Это сообщение от робота электронной почты. Возможно, что Вы не получите персональный ответ от нашего сотрудника, но мы хотим уверить Вас, что мы расследуем каждый случай по спаму, попытке вторгнуться в чужие сети и рассылке вирусов «троянских коней» с использованием сегмента сети «ТелеРосс». В частности, если вы не можете отправить письмо по электронной почте по адресу нарушителя сетевого этикета, вполне возможно, что этот почтовый ящик уже не обслуживается «Россией-Он-Лайн».
Если вы нуждаетесь в эскалации проблемы, пожалуйста, напишите нам по адресу postmaster@online.ru.
Для получения информации о службе «Россия-Он-Лайн» посетите наш сайт: http://www.online.ru, или напишите письмо по адресу info@online.ru.
Всегда Ваша, «Россия-Он-Лайн».
Вот так всё работает. Ещё раз – спасибо журналу «Подводная лодка», ведь я всего лишь проверил, то о чём было написано в одном из его номеров.