Antivírus blog

vírusok, férgek, botnetek, kártevők

Van új a spam alatt - Frissítve

2007. október 18. 11:23 - Csizmazia Darab István [Rambo]

Mi jöhet még spam fronton? Bármi - jósolhatjuk bátran, megerősítve Rejtő Jenő azon gondolatát, hogy csak az fél, akinek van fantáziája. Ebből az árucikkből pedig szemlátomást nem szorulnak importra a leleményes rosszfiúk, gondoljunk csak a képalapú, Excel és Word dokumentumokban érkező, vagy a legutóbbi PDF állományok formájában megtestesülő kéretlen szemétlevelekre. A mostani újítás inkább vicces tűnik, immár MP3 melléklettel is érkezhet spam.



Erről számolt be az MPP blogja, úgy véljük, jogos a két pont, megint lehetett csavarni egyet a dolgokon, kíváncsian várjuk a szűréssel foglalkozó szakemberek reakcióit.



A levélben érkezett "snoring.mp3' fájlt meghallgatva volt némi retro C64 érzésünk, a szűrőkkel agyontorzított hang a felejthetelen Sam & Reciter programot idézte fel jóemlékezetünkben, amelyben a híres Kennedy beszédet is előadta a jó öreg Commodore 64...



A nagy különbség, hogy a Sam-es beszéd így 23 év után is érthetőbb :-) C64 for President! :-)


FRISSÍTÉS    + + +    FRISSÍTÉS    + + +    FRISSÍTÉS    + + +

Közen egyre érkeznek az újabb levél változatok.



Ebben a másikban - a neve ezúttal "sayyousayme.mp3" - egy néhány bájttal nagyobb méretű MP3 található, a TAG mezők itt sincsenek kitöltve. Ami közös a másikkal hangfájllal, hogy mindkét állomány a Lame 3.97 verzióval készült, legalábbis a bejegyzés erről tanúskodik.


3 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr20200022

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

ihatethisindapassthingy 2007.10.18. 13:10:52

Azért nem kell kétségbeesni :) Az átlagos céges hálózaton semmi szükség nincs MP3 file-ok fogadására ismeretlen küldőktől. Ha szofisztikáltabbá akarunk válni, akkor jöhet egy összetett szabály:

- A levél bizonyos tulajdonságai (szöveg jelenléte/hiánya, max. tapasztalt hossza)

- Az MP3 file kisebb, mint a mintában legnagyobb tapasztalt. A spammernek az éri meg, ha kis file-okat kell küldenie, ezért nincs szinte 60-80K-nál nagyobb spam. A gyakorlat azt mutatja, hogy az MP3 file-ok ennél tipikusan jóval nagyobbak.

- A formátum MPEG 2.5 Layer III, Single Channel, perverz bitrate, nincs az informális hossz megadva a fejlécben (00:00), stb. az MP3-ból hiányzik az ID3 tag és pár fejlécelem, ami klasszikusan előfordul.

A három fenti fő feltételcsoport és annak alszabályai már meglehetős biztonságot nyújtanak az "MP3 spam" azonosításában. A spammerek természetesen bármikor megváltoztathatják a paramétereket, ilyenkor a szabályokat utánuk kell igazítani. Általában nem nagyon törik magukat.

A PDF spamet sem úgy érdemes megfogni, hogy megpróbáljuk belőle kinyerni a szöveget (ami adott esetben OCR nélkül nem is lehetséges, lévén a PDF elsősorban nem szöveget tárol és ha van is benne, akkor sem biztos, hogy a jó sorrendben), hanem úgy, hogy ellenőrizzük a PDF és a hordozó levél karakterisztikáit.

Just my two cents.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.10.18. 13:22:22

Hello ihate...!

Köszi a kommentet :-)

Rendszergizda barátom mondja, hogy náluk az MP3 melléklet alapból ki van zárva, jöhet az akár ismerős küldő nevében is.

Közben még egy olyan módszer is felmerült a repertoárban, hogy a szűrőmotorok azt is tudják figyelni, hogy egy adott levélnél megmondják, hogy nagyon hasonló levelet hány példányban küldek ki már az interneten. Ha egy levelet például milliószor kiküldtek már, akkor joggal feltételezhetően spam volt.
Én valahogy azt tippelem, ez egy POC próba, és talán nem lesz tartós a dolog.

ihatethisindapassthingy 2007.10.18. 14:30:30

Rambo, igen, sok szűrő egyfajta szignatúrát készít a levelekről és ezek felbukkanási tulajdonságait nézi, ilyen pl. a Commtouch engine-je, amit több üzleti spamszűrő is licenszel, adott esetben saját név alatt.

Mostanában sok ilyen proof of concept próbálkozás volt, de többnyire elhaltak (ZIP spam, XLS/DOC spam, a PDF is visszaesett) és szerintem az MP3 is halálra van ítélve, ami tartja magát az "egzotikus" technikák között, az az image spam. Érdekes viszont, az nem nagyon akar fejlődni. Az idézett kolléga blogjában most láttam 3D-s elforgatott image spam-et, de ez sem terjedt még el.

Szerintem a spammerek egyszerűen nem fordítanak komoly figyelmet a spam célbajuttatására. Ha ez nem így lenne, akkor a pl. Greylisting nem lehetne hatékony (bár nagyon aggresszív) technológia. Sok kicsi sokra megy alapon megszórnak bármit és csak moderált erőfeszítéseket tesznek azért, hogy átjussanak a szűrőkön. Ha túl sok levél bukik el a spamszűrőkön, akkor vesznek még pár tíz dollárért néhány millió címet. A lényeg, hogy jöjjön a commission és a kisebb ellenállás irányába haladnak inkább.