Война со спамом.

[FatCat]

> Может, идиотский вопрос, но вот как узнать установленную текущую версию?
> Вроде бы ни в одной вкладке ни нашел упоминания о версии.
Я не помню, как в 1.14 было, но вроде - правой кнопкой по зонтику в трее - помощь - о SpamPal. А кроме - сам экзешник в свойствах версию показывает (ну, опять, последние беты такие были, а 1.14 не скажу... Но для upgrade - версия без разницы, вроде, хотя сохранить dat-ы плагинов и свои b/w - листы надо, т.к. последнии версии всё в основном в Application Data держат.

> > Подробный лог позволяет убивать спам на сервере.
>
> Как-как? Не понял, как лог может помочь убить спам на сервере.
> Поподробнее можно?
OE фильтром, естественно.

> > (Потом, если что, можно "перезвонить" на e-mail вручную.)
>
> Ээээ... чего?
Ну, если 1 на сотню удалит зря на сервере - то можно послать туда запрос повторить отправку, потом подкорректировать правило, по которому, скажем, RegEx его заспамил. Если отправитель в blacklist какого-нибудь SpamCop-а то ему самому полезно будет узнать, а причина заспамливания в логе есть.

> > ЗЫ. А WinAntiSpam так и скис на версии 1.18 бета... По некоторым данным
> -
> > порадовал спаммеров, как идеальное средство проверки валидности спам-баз.
> .
>
> Да быть того не может!
Я согласен, что это не вполне достаточное основание, но сообщалось в форумах, появилась практика автоматизированного тестирования баз по ответам WAS. Каждый e-mail проверяется на "живой - не живой". Там даже боди пустые были в этих тестирующих рассылках. (Я получал такие пустые сообщения на реальный e-mail в To:).

[BadBlock]

> Я не помню, как в 1.14 было, но вроде - правой кнопкой по зонтику в трее
> - помощь - о SpamPal. А кроме - сам экзешник в свойствах версию показывает

Черт, точно!

> > > Подробный лог позволяет убивать спам на сервере.
> >
> > Как-как? Не понял, как лог может помочь убить спам на сервере.
>
> > Поподробнее можно?
> OE фильтром, естественно.

[волнуется]
Лог-то тут при чем?

> Я согласен, что это не вполне достаточное основание, но сообщалось в форумах,
> появилась практика автоматизированного тестирования баз по ответам WAS. Каждый
> e-mail проверяется на "живой - не живой". Там даже боди пустые были в этих
> тестирующих рассылках. (Я получал такие пустые сообщения на реальный e-mail
> в To:).

Дурацкая и в высшей степени бесполезная с практической точки зрения практика!

[FatCat]

> Почитал по приведенной ссылке про 1.50 – чума!
> [ринулся качать]
Только если раньше не стоял плагин RegEx то потребуется настройка и пробная эксплуатация без удаления на сервере. Там в конфигурационном файле по умолчанию стоят "слишком много букв в верхнем регистре в subj" и "неверные кодировки в subj" - надо отыскать и сразу заремить. Хорошо добавить свою строку - "не на мой e-mail":

-To: "my_e_mail@my_host.ru" [MY E-MAIL IS ABSENT]

Ещё я добавил

+=Subject: "Delivery reports about your email" [mailer-daemon reply]
+=From: "Mailer-Daemon" [mailer-daemon reply]

что бы получать ответы демонов.

[FatCat]

>
> [волнуется]
> Лог-то тут при чем?
Да ни причём, как Лужков...
Не было бы подробного лога - было бы неуютно грохать спам на сервере. Прибьёшь что-то нужное и не узнаешь. А тут посмотреть можно - что там наудалялось. Практику закачки в папку "Спам" я использовать перестал, но её никто не запрещает.

>
> Дурацкая и в высшей степени бесполезная с практической точки зрения практика!
При продаже базы ставиться "клеймо" - "все адреса проверены".

[BadBlock]

> > Дурацкая и в высшей степени бесполезная с практической точки зрения практика!
> При продаже базы ставиться "клеймо" - "все адреса проверены".

С таким же успехом это клеймо можно поставить и просто так, не проверяя по отклику WAS.

[BadBlock]

> Только если раньше не стоял плагин RegEx то потребуется настройка и пробная
> эксплуатация без удаления на сервере.

Нет не стоял, 1.14, все по дефолту было, без плагинов всяких...

[думает всякое про новый плагин]

[FatCat]

>
> Нет не стоял, 1.14, все по дефолту было, без плагинов всяких...
>
> [думает всякое про новый плагин]

А теперь RegEx в составе инсталляционного файла и по дефолту встанет с ним и с URL body. Последним я не пользуюсь, а первый работает отменно. Полезный ещё Bayesian.

[BadBlock]

> А теперь RegEx в составе инсталляционного файла и по дефолту встанет с ним
> и с URL body. Последним я не пользуюсь, а первый работает отменно.

Ну я так подумал, что там проверка по регекспам, а вот по настройкам в комплекте плагина какие, например, письма отсекаются?

> Полезный ещё Bayesian.

А это что?

[FatCat]

> Ну я так подумал, что там проверка по регекспам, а вот по настройкам в комплекте
> плагина какие, например, письма отсекаются?
В свойствах установленного плагина (файл filters.dat) - правила, много правил заготовленных, типа:

=Subject: {\b(profit|stock market)\b} [profit]
=Subject: {\b(penis|pussy|viagra|XXX|adult|hardcore|illegal|nude|nudy|porn|teen|tits)\b} [nasty words]
=Subject: {\b(ejaculation|erection|erections|horny)\b} [nasty words]
=Subject: {\b(gratis test)\b} [gratis test]
=Subject: {^\[adv\]} [advertising]
=Subject: {^adv:} [advertising]
=Subject: {^\(adv\)} [advertising]
=Subject: {\b(live.?(cam|webcam|sexcam)s?)\b} [live webcam]

или

# Message-ID tests
Message-ID: {\<\>} [empty Message-ID]
@Message-ID: {[a-z0-9]{1,}}
-Message-ID: {.*@.*} [Message-ID without @]
Message-Id: {^<[0-9a-f]{12,12}\$[0-9a-f]{8,8}\$[0-9a-f]{8,8}\@>$} [Message-Id generated by a spam tool]
Message-Id: {[\#:}{,!\/]} [Message-Id has characters indicating spam]
-Message-Id: {^<(?:\".+\"|[^\s]+)\@(?:\[.+\]|[^\s]+)>$} [Message-Id is not valid (RFC-2822)]
Message-Id: { \(added by } [Message-Id was added by a relay]

или

Body: {you.{0,15}(?:name|mail).{0,15}(?:was|were).{0,15}list} [gives an excuse for this SPAM]
Body: {this (?:e?-?mail|message) (?:(?:has )?reached|was sent to) you in error} [gives an excuse for this SPAM]
Body: {this (?:|e?-?mail|message) (?:is|was) (?:not|never) (?:spam|(?:sent |)unsolicited)} [gives an excuse for this SPAM]
Body: {we do not (?:spam|send unsolicited)} [gives an excuse for this SPAM]
Body: {using email instead can significantly reduce this} [gives an excuse for this SPAM]
Body: {LIMITED TIME (?:ONLY|offer)} [gives an excuse for this SPAM]

и т.д.


> > Полезный ещё Bayesian.
>
> А это что?

Я в 19-м посте в этой теме в 2-х словах описал... Байесовский фильтр считает сколько раз встречается каждое слово в спам и не спам и вычисляет их коэфициенты, составляет таблицу, постоянно совершенствуя её. А в поступившем письме каждое слово ищет в таблице и считает сводный индкекс - если он близок к 1 - то помечает, как спам. В режиме обучения не помечает, кагда научится (я скопировал большую "обученную" базу - ссылку я давал) легко распознаёт типичные спаммерские тексты.

[BadBlock]

Снял галку с OSIRU.
Она блэклистит уже третий нормальный почтовый сервер за последнюю неделю (на сей раз мейл.ру).

[FatCat]

Компания Osirusoft хлопнула дверью
27.08.2003

Вечером 26 августа компания Osirusoft, поддерживавшая популярные "черные
списки" спамерских машин, решила прекратить этот сервис. Сделано это
было весьма экстравагантным способом - в черный список был помещен весь
мир (весь диапазон IP-адресов).
В результате пользователи электронной почты столкнулись с тем, что
большая часть их почты не доходит - она отвергается теми почтовыми
серверами, которые используют списки Osirusoft для борьбы со спамом.

Ситуация усугубляется тем, что написать E-mail системным администраторам
таких почтовых серверов невозможно - эти сообщения тоже будут
отвергнуты.

Сайт Osirusoft.com в настоящее время недоступен, в рассылках
распространяется мнение, что столь экзотический способ прекращения
сервиса направлен на то, чтобы заставить системных администраторов
максимально быстро отказаться от использования черных списков Osirusoft.
Тот факт, что при этом будут потеряны гигантские количества электронных
сообщений, администрацию Osirisoft, по всей видимости, не волнует.

Что же делать?

Если к вам перестала приходить почта, то скорее всего cписки
Osirusoft.com используются в вашей почтовой системе. Все RBL с именем
*.osirusoft.com следует удалить из настроек почтового сервера, либо же
из настроек клиентских фильтров, использующих RBL (например, фильтра
SpamPal).

Если сообщения от вас не доходят до адресата, а возвращаются с
диагностикой в которой упоминается osirusoft.com - то ситуация
значительно хуже. Писать системному администратору получателя о проблеме
скорее всего бессмысленно - большинство почтовых систем, использующих
черные списки Osirusoft, сейчас отвергают всю почту. Нужно пытаться
связаться с получателем каким-то еще способом (телефон, форумы, ICQ) и
объяснить суть проблемы.

Ссылки по теме:
http://www.merit.edu/mail.archives/nanog/msg12818.html
http://slashdot.org/article.pl?sid=03/0 ... 11&tid=126

SpamPal при запуске "Обновления" (если стоят галки на обновлениях DNSBL) сам правит список DNSBL, выдавая сообжение о том, что осирусофт сдохнул.

UPD. У меня эффектов с заспамливанием всего не наблюдалось, т.к. osirusoft я ещё в июне сбросил за то, что он мне IP 194.67.1.17 support-а роловского заспамил.

[Splinter]

Вот здесь интересная статья про "достоинства" WinAntiSpam'а. Прочитайте, вещь любопытная...

[АксолотльPink]

71. Да, да! Руки из нужного места и пара фильтров, в том же аутлуке, и 85-90% спама (личные наблюдения на протяжении года), и никаких проблем и лишних "глюкал" на компе.

имхо

[BadBlock]

В связи с кончиной "осиру" задумался над этим байесовским фильтром.
Надо будет на досуге найти, поглядеть...

Кстати, народ, сильно больше стало спама после удаления этих DNSBL или нет?

SpamPal при запуске "Обновления" (если стоят галки на обновлениях DNSBL) сам правит список DNSBL, выдавая сообжение о том, что осирусофт сдохнул.

У меня Спампал не обновляется сам.
Наверное, потому что хочет прорваться сквозь прокси по какому-нибудь хитрому порту?
Блин, и чего ь ему не обновляться по ftp или http обычному, как KAV...

ЗЫ: Насчет грустного смайлика, попавшего в №68.
Используйте галочку "Отключить в этом сообщении смайлики", либо выделяйте подобный текст как Code.

[FatCat]

BadBlock :
> В связи с кончиной "осиру" задумался над этим байесовским фильтром.
> Надо будет на досуге найти, поглядеть...
http://www.spampal.org/plugins.html
или сразу на
http://www.status3.i-r.co.uk/bayesian.htm

Он много ловит на себя, особенно если база наработана. Ссылку на wordlist.dat от Гоши Хазана я раньше давал:
http://www.ghazan.hs.orc.ru/files/Wordlist.zip
просто заменить свой на этот файл.
> Кстати, народ, сильно больше стало спама после удаления этих DNSBL или нет?
У меня приступ по понедельникам... Но тут сравнить не с чем будет, т.к. osiru я раньше отрубил - агрессивный ресурс был, я ж говорю - роловский суппорт спамил...
>

SpamPal при запуске "Обновления" (если стоят галки на обновлениях DNSBL)
> сам правит список DNSBL, выдавая сообжение о том, что осирусофт сдохнул.

> У меня Спампал не обновляется сам.
Странно... Галки стоят и на DNSBL, и на окне статуса стоят?
> Наверное, потому что хочет прорваться сквозь прокси по какому-нибудь хитрому
> порту?
> Блин, и чего ь ему не обновляться по ftp или http обычному, как KAV...
Он у меня ходит DNSBL обновлять по TCP протоколу с моего (например) 1233 (или другого) порта на 80 spampal.org (66.246.42.235). Это в логе SyGate PF прописывается...
> ЗЫ: Насчет грустного смайлика, попавшего в №68.
> Используйте галочку "Отключить в этом сообщении смайлики", либо выделяйте подобный
> текст как Code.
Спасибо. Понятно, но это только потом становиться видно...

[Drive]

КОГО уже достали почтовые спамы заходите на www.spamtest.ru, регистируйте свой ящик. И все письма рекламного или иного характера будут отсеяны.

ЗЫ: извините за спам ))

[BadBlock]

>> У меня Спампал не обновляется сам.
> Странно... Галки стоят и на DNSBL, и на окне статуса стоят?
>> Наверное, потому что хочет прорваться сквозь прокси по какому-нибудь хитрому
>> порту?
>> Блин, и чего ь ему не обновляться по ftp или http обычному, как KAV...
> Он у меня ходит DNSBL обновлять по TCP протоколу с моего (например) 1233 (или
> другого) порта на 80 spampal.org (66.246.42.235). Это в логе SyGate PF прописывается.

Вот его ошибка, что она обозначает – пока не понял:



Возможно, этот дурак не может авторизоваться на прокси, но ведь настройка авторизации на прокси у него отсутствует!

[FatCat]

Мда... Это выходит за пределы моего понимания... Единственная мысль - у них на форумах спросить, если вопрос того стоит.

Про порты вот ещё чего пишут:

A: SpamPal uses the following default ports:-

110 is the default for POP3, 143 for IMAP4.
Port 80 will be used for checking for updates (although it will use a HTTP proxy if there's one specified in IE and could use ports 80/8080/3128)
<...>

Ещё они дают такие рекомендации для настройки WinGate+Bat

Question: Q: We use a proxy server (WinGate) for internet access. Without using SpamPal, I fill in the fields,
for my email client (The Bat) like this:

server: servinet
username: mymail@mail.com#pop.mail.com
password: *******

How do I fill in these fields for successful use of SpamPal?

Answer: Try using the following format:

server: localhost
username: mymail@mail.com#pop.mail.com%servinet

(Только это не из той оперы, по всей видимости в твоём случае не о Вингейте речь).

[BadBlock]

> Port 80 will be used for checking for updates (although it will use a HTTP proxy
> if there's one specified in IE and could use ports 80/8080/3128)

Да, видать, дело в авторизации.

[Знакомый***]

:))) Воо.. нарыл про настроения в народе... На одном из сайтов....

Интернет загубят АнтиВирусы?
Опубликовано: dl, 25.08.03 22:44
Открытое письмо "ко всем людям доброй воли" (в первую очередь - к имеющим доступ к администрированию почтовых серверов и антивирусов :)
Незамысловатый, казалось бы, почтовый червь Sobig.f побил все рекорды по распространению. Пользователи, еще не оправившиеся от предыдущей эпидемии msblast, выстраиваются в очередь за антивирусами, а провайдеры и просто люди с большим кругом общения хватаются за голову. Потому что возросшее количество антивирусов угрожает функционированию почтовых служб Internet. Уже отмечены многочисленные сбои почтовых служб и проблемы в почтовом обмене между провайдерами. А причина кроется не столько в самом вирусе, сколько в антивирусных программах.

Как так? Все очень просто. Как ведет себя квалифицированный пользователь при получении подозрительного письма? Тихо и спокойно его удаляет. В то время как большая часть антивирусных программ начинает громко кричать о найденном вирусе, посылая грозные письма на адрес отправителя, адрес получателя (да еще и на адрес системного администратора). Администратор виноват сам. Получатель письма будет уведомлен, что к нему с благословения администратора не прошел страшный вирус. Но в чем провинился несчастный, адрес которого был взят вирусом случайно с зараженного компьютера и подставлен в качестве адреса отправителя? Он, бедный, может получить пару сотен тысяч писем от злобных почтовых антивирусных роботов с уведомлением, что он, подлец такой, рассылает вирусы. Хотя он этого не делал. Честно-честно. Причем, в отличие от самого вируса, выявить и отфильтровать такие вирусные квитанции будет крайне сложно, т.к. каждый производитель антивирусов и каждый администратор почтового сервера очень любит, чтобы его антивирус ругался в определенной, присущей только ему манере, зачастую не соблюдая никаких стандартов. Абсолютно не заботясь о том, что эта ругань дойдет до человека, который ни при чем. А может быть и не дойдет, т.к. адрес окажется нерабочим (или уже заблокированным из-за обилия сообщений). В результате другой робот ответит первому, что такого адреса не существует, или что превышен объем почтового ящика... А в итоге каналы, почтовые сервера и почтовые ящики забиты мусором, не несущим смысловой нагрузки.

Что делать? Можно слать или не слать уведомление получателю письма, но есть замечательное правило - никогда не отвечать на спам (кстати, очень часто забываемое разработчиками антиспам-программ и системными администраторами, настраивающими почтовые фильтры. В результате спам все равно доходит, но только в виде почтовой квитанции человеку, от чьего имени он был разослан). Если в письме содержится червь, оно должно быть тихо удалено. Если есть сомнения (например, это зараженный вирусом документ) - можно уведомить получателя сообщения. Генерация автоматических ответов отправителю в антивирусной программе является ошибкой конфигурации, вредящей абсолютно невинным людям. Это должны учитывать как производители антивирусных программ (многие из которых делают опцию ответа отправителя включенной по умолчанию) так и те, кто их устанавливает и настраивает (или не настраивает).

К той же категории проблем можно отнести и автоответы. "Меня сейчас нет, я прочитаю ваше письмо позже" или "Ваше сообщение получено службой поддержки". Ах, как это информативно. Человек, хоть раз посылавший письмо по списку рассылки (например в Bugtraq или в Ntbugtraq) знает, каково это - получать пару дюжин таких ответов в минуту.

Люди... Если мы хотим выжить, МЫ ДОЛЖНЫ ЗАСТАВИТЬ РОБОТОВ МОЛЧАТЬ!

[Ignat]

Знакомый*** :
> )) Воо.. нарыл про настроения в народе... На одном из сайтов....
> Интернет загубят АнтиВирусы?
> Опубликовано: dl, 25.08.03 22:44
[skip]
> К той же категории проблем можно отнести и автоответы. "Меня сейчас нет, я
> прочитаю ваше письмо позже" или "Ваше сообщение получено службой поддержки".
> Ах, как это информативно. Человек, хоть раз посылавший письмо по списку
> рассылки (например в Bugtraq или в Ntbugtraq) знает, каково это - получать пару
> дюжин таких ответов в минуту.
> Люди... Если мы хотим выжить, МЫ ДОЛЖНЫ ЗАСТАВИТЬ РОБОТОВ МОЛЧАТЬ!
Ага, а заодно отказаться от использования интернета и прочих благ цивилизациии и лично доносить свои послания

Если насчёт спама я соглашусь, что не очень разумно автоматически генерировать письмо (хотя с другой стороны, а если комп просто заражёи и рассылает вирусы, а пользователь и не догадывается? Кто его предупредит?), то насчёт автоответа категорически не согласен. Если я пишу кому-то письмо, то я хотел бы быть уверен, что оно дошло нормально, а не потерялось по дороге в антиспамовых и прочих сетях... И именно для этого служит автоответ, особенно если человек ушёл в отпуск или ещё куда-то на более-менее долгое время, не на полчаса с рабочего места отлучился . Это просто показатель, что письмо дошло и человек мне на него, вероятно, всё же ответит и нет смысла его пока теребить, посылать письма с других адресов, кидать сообщения в аську и искать прочие пути коммуникаций (вспомним недавнее занесение в "чёрный список" всего мира небезызвестной конторой, чуть выше об этом постинг). Только вот обычно ешё в сообщение "Меня сейчас нет, я прочитаю ваше письмо позже" дополняют временем предполагаемого неотвечания...

[BadBlock]

Ignat :
> Если насчёт спама я соглашусь, что не очень разумно автоматически генерировать
> письмо (хотя с другой стороны, а если комп просто заражёи и рассылает вирусы,
> а пользователь и не догадывается? Кто его предупредит?),

Указанный автоответ сервера по результатам проверки на вирусы – точно НЕ предупредит ни в коем случае.

[Ignat]

BadBlock :
>> Если насчёт спама я соглашусь, что не очень разумно автоматически генерировать
>> письмо (хотя с другой стороны, а если комп просто заражёи и рассылает вирусы,
>> а пользователь и не догадывается? Кто его предупредит?),
> Указанный автоответ сервера по результатам проверки на вирусы – точно НЕ
> предупредит ни в коем случае.
Поясни, плиз, может я чего не понимаю, ибо сам как-то в такую ситуацию не попадал. Итак, к тебе приходит автоответ (притом не один, а сотня) что с твоего компа рассылаются письма с вирусом. Почему указанный автоответ тебя ни о чём не предупредит и не подстегнёт лишний раз проверить свежим антивирусом свой комп?
А в качестве альтернативы - твои письма просто молча пропадают, все, а ты ни о чём не подозреваешь, зато все при деле - и твой комп и сервер почтовый...

[BadBlock]

Ignat :
> Поясни, плиз, может я чего не понимаю, ибо сам как-то в такую ситуацию
> не попадал. Итак, к тебе приходит автоответ (притом не один, а сотня) что с
> твоего компа рассылаются письма с вирусом. Почему указанный автоответ тебя
> ни о чём не предупредит и не подстегнёт лишний раз проверить свежим антивирусом
> свой комп?
> А в качестве альтернативы - твои письма просто молча пропадают, все, а
> ты ни о чём не подозреваешь, зато все при деле - и твой комп и сервер почтовый.

Современные вирусы при отправке своих гацких писем никогда не указывают настоящий обратный адрес. Среди вирусов считается правилом хорошего тона при составлении письма для отправки открывать адресную книгу Windows и брать оттуда два случайных адреса: один подставлять в качестве адреса отправителя, второй – в качестве адреса получателя. Таким образом, обратный адрес в вирусных письмах всегда поддельный.

Антивирус, задержав письмо, орёт свои бестолковые предупреждения на обратный адрес, указанный в письме. В итоге сообщения от антивируса всегда (всегда!) попадают не по адресу. Как правило – они сотрясают воздух, раздражая невинных пользователей у которых вирусов нет и никогда не было. Например, меня. А настоящий обладатель заразы не получает предупреждений.

[Ignat]

Согласен, в такой раскладке не поможет.

Однако, знаю несколько случаев, когда вирус нифига не маскируется при отправке и реально указывает обратный адрес заражённого компа...

ЗЫ. Имена вирусов не спрашивай - не помню...

[BadBlock]

Ignat :
> Однако, знаю несколько случаев, когда вирус нифига не маскируется при отправке
> и реально указывает обратный адрес заражённого компа...

Это капля в море...

[Splinter]

Небольшая заметочка Экслера по поводу Osirusoft. Подумалось, что будет к месту:

А тут еще новое развлечение - Osirusoft... В Уставе сети Фидо есть довольно забавное понятие "сисопа-идиота". В Уставе Интернета такого понятия нет, но из-за отсутствия самого Устава этого не замечают. Однако в лице Osirusoft мы столкнулись с понятием компании-идиота... Знаете что сделали эти умники? Очень забавную штуку. Но рассказываю по порядку...

Есть такой способ борьбы со спамом - фильтрация открытых релеев. Открытый релей - это такой почтовый сервер, через который могут отправить почту не только клиенты этого сервера, но и кто угодно. Эти кто угодно, понятное дело, спамеры. Открытым релей может быть сознательно - то есть он создан только для того, чтобы отправлять спам, - или из-за криворукости админа. Но в любом случае принимать почту от открытых релеев - смысла нет, потому что спам там льется широкой струей.

Есть всякие разные компании, которые ведут базы этих открытых релеев. Одна из таких компаний - Osirusoft. Ее списком пользовалось довольно большое количество всякого разного антиспамерского программного обеспечения (в том числе и Spampal). В какой-то момент (а именно в конце августа) компания Osirusoft решила выйти из игры. Ну, решила и решила - неволить никто не будет. Что нужно сделать в таком случае, особенно когда знаешь, что твоим списком пользуются тысячи людей во всем мире? Разошли сообщения о том, что список закрывается, сделай его недоступным, пустым - каким угодно. Но эти милые ребята решили сделать совсем по-другому. Они тихо и спокойно занесли в список весь мир. Скромно и со вкусом. Ну, дескать, чтобы обратить внимание всех на то, что они вышли из игры .

В результате этого забавного развлечения десятки тысяч людей во всем мире не смогли принимать и отправлять почту. Я это заметил, когда мои письма, адресованные хорошему знакомому, стали возвращаться обратно с пометкой, что exler.ru занесен в какой-то антиспамерский список. Я слегка обалдел, а потом выяснилось, в чем дело. Просто ребята из Osirusoft решили завязать таким образом с составлением списка...

Сейчас против них готовят многочисленные судебные иски. Я надеюсь, что этих уродов засудят по полной программе - потому что такие вещи нельзя оставлять безнаказанными. Одно дело, когда какой-нибудь идиот по своему идиотскому дебилизму вредит сам себе - это его личные проблемы. Но другое - когда из-за него десятки тысяч людей во всем мире несколько дней не получали почту. По-моему, это редкостное скотство...

Первоисточник

[FatCat]

За последние несколько часов получил более 30 штук

Зарегистрирована эпидемия нового сетевого червя! [18.09.2003]



"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении сетевого червя I-Worm.Swen. Вредоносная программа распространяется через электронную почту, сеть файлообмена Kazaa и каналы IRC...

Зараженные письма могут иметь в качестве отправителя различные службы компании Microsoft, например MS Technical Assistance, Microsoft Internet Security Section и т.д. Текст письма призывает пользователя установить "специальный патч к Microsoft", который прилагается во вложении.

Как и многие нашумевшие "предшественники", в частности вредоносная программа Klez, для своего распространения червь использует брешь в системе безопасности Internet Explorer, обнаруженную в марте 2001 года. Таким образом, попав на незащищенную машину, Swen может запускаться на выполнение самостоятельно, без участия пользователя.

Новая вредоносная программа написана на языке Microsoft Visual C++, и имеет размер около 107KB. Активизация червя происходит в двух случаях: при запуске зараженного файла пользователем либо если почтовая программа содержит уязвимость IFrame.FileDownload. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

При первом запуске червь может выводить на экран окно с заголовком "Microsoft Internet Update Pack" и имитировать установку патча. При этом вредоносный код блокирует работу различных антивирусных программ и межсетевых экранах. Затем I-Worm.Swen сканирует файловую систему пораженного компьютера, извлекает из файлов адреса электронной почты и рассылает себя по всем найденным адресам, используя прямое подключение к SMTP-серверу. Зараженные письма имеют формат HTML и содержат вложенный файл, содержащий червя. В некоторых случаях червь может отсылать свои копии в заархивированном виде (zip или rar).

Размножаясь через систему файлообмена Kazaa, червь копирует себя под различными именами в каталог файлообмена программы Kazaa Lite, а также создает во временном каталоге Windows подкаталог с произвольным названием и копирует туда несколько своих копий, также с различными именами. Данный каталог указывается в системном реестре Windows как источник для системы файлообмена, в результате чего данные файлы становятся доступны для загрузки другими пользователями сети Kazaa.

Наконец, для распространения по каналам IRC червь ищет на компьютере установленный клиент mIRC и если таковой обнаружен, то модицифирует файл script.ini, добавляя к нему свои процедуры рассылки. Затем этот файл-скрипт отсылает зараженный файл из каталога Windows каждому, кто подключается к зараженному IRC-каналу.

По информации экспертов "Лаборатории Касперского", на настоящий момент заражению подверглось несколько десятков тысяч компьютеров по всему миру. Их число продолжает постоянно увеличиваться.

Процедуры защиты от "I-Worm.Swen" уже добавлены в базу данных Антивируса Касперского®. Более подробное описание червя доступно в Вирусной Энциклопедии.

[Ignat]

Уже получил. Как в варианте приаттаченного екзешника, так и в виде HTML... Очень обидился - ребята даже не потрудились заменить адрес отправителя на что-то приличное - там указан адрес вида xzsdfrtrdfh@support.com... Ну нельзя же так нагло...

[Splinter]

там указан адрес вида xzsdfrtrdfh@support.com... Ну нельзя же так нагло...

И ведь кто-то же покупается на все это...