Dostałem wczoraj sporą liczbę wiadomości mailowych wysłanych w ciągu kilku minut na wiele moich skrzynek pocztowych, a wszystkie z tematem: scan upon download. W treści wiadomości nie ma cudów tylko zwyczajna informacja o przesłaniu mi nowych paragrafów w umowie. I jeśli te paragrafy mi będą pasowały to w piątek (czyli dziś) pierwsze przelewy wyjdą i dojdą.
Dear Sirs,We have prepared a contract and added the paragraphs that you wanted to see in it. Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment. We are enclosing the file with the prepared contract.
W środku oczywiście załącznik w pliku .zip, który po wyjęciu z archiwum posiada wszystko mówiącą nazwę: Contract.exe i był w serwisie VirusTotal rozpoznawany przez 18 z 46 silników antywirusowych (Wynik: 18/42 (42.86%)). Co ciekawe same wiadomości wyglądają jakby były wysłane z legalnych kont pocztowych, gdyż wszystkie pola Od zgadzają się z serwerami obsługującymi konta pocztowe wysyłające SPAM. Ewidentnie wygląda na to, że spambot używa danych wykradzionych z kont pocztowych właścicieli zarażonych systemów.
Received: from 112.168.52.94 by reamsasset-126.reamsasset.com; Thu, 18 Mar 2010 12:56:18 +0900
From: „Junior Shepherd” <basque54@reamsasset.com>
Received: from 202.162.67.10 by mx5.biz.mail.yahoo.com; Thu, 18 Mar 2010 13:51:24 +1000
From: „Reba Padgett” <phoneda@reneesbathsalts.com>
reneesbathsalts.com mail is handled by 20 mx1.biz.mail.yahoo.com.
Received: from 122.225.43.70 by mail31.seanic.net; Thu, 18 Mar 2010 11:49:06 +0800
From: „Leonel Greer” <hieroglyphicsruj50@royaldj.com>
royaldj.com mail is handled by 5 mail31.seanic.net.
Received: from 117.103.216.18 by mail.reliantpark.com; Wed, 17 Mar 2010 17:56:06 -0800
From: „Vince Dewitt” <monongahela@reliantpark.com>
Wszystkie wiadomości posiadają taki sam nagłówek:
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Ktoś zaobserwował podobne zachowanie?
6 komentarzy do
19 marca, 2010 o godzinie 10:46
Do mnie nie dotarło.
Zostałeś wyróżniony.
Na jakim serwerze masz poczte?
19 marca, 2010 o godzinie 11:05
Swoim :] Jak masz u dużych operatorów pocztę to przy takiej masówce do tego tak podobnej bardzo szybko tego typu poczta zostanie rozpoznawana jako spam.
19 marca, 2010 o godzinie 12:00
„Ewidentnie wygląda na to, że spambot używa danych wykradzionych z kont pocztowych właścicieli zarażonych systemów.”
Ewidentnie wygląda na to, że adresy From: są generowane (mam tego trochę w swoich spamtrapach). Dodatkowo, domena nadawcy zawsze zaczyna się na „r”.
19 marca, 2010 o godzinie 15:20
Ale wysyłają to z serwerów obsługujących te domeny. Czyli, że to są wykupione domeny do spamu?
19 marca, 2010 o godzinie 16:17
Można prosić o podesłanie pliku http://support.kaspersky.com/virlab/helpdesk.html
19 marca, 2010 o godzinie 16:48
Podesłane…