Сергей Ильин

Спам в PDF

В этой теме 13 сообщений

На днях получил интересный спам.

Пустое письмо, к которому прикреплен одинокий файл PDF с именем Unpaid.0784637572482.pdf

Заголовок письма совпадает с именем файла.

Когда получаешь такое письмо, то понимаешь, что скорее всего спам, но появляются мысли, а вдруг это правда какой-то не оплаченный счет ...

В итоге лучше открыть и проверить, чего и добиваются спамеры.

Фишка тут еще в том, что современные антиспамы в массе своей не умеют проверять PDF, а заблокировать этот тип фалов по типу нельзя ни в одной организации.

Может быть это будущее спам индустрии?

Unpaid.0784637572482.pdf

Unpaid.0784637572482.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ко мне такие тоже стали приходить, причём не в единичном экземпляре.

Остаётся всё же способ анализа заголовков письма.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ко мне такие тоже стали приходить, причём не в единичном экземпляре.

Остаётся всё же способ анализа заголовков письма.

Можно и PDF прочитать при желании. Это, в принципе, не сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Можно и PDF прочитать при желании. Это, в принципе, не сложно.

Поисковики успешно решили в свое время эту задачу для индексации, видимо тоже самое предстоит и антиспам-вендорам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

зачем, если ловится и так?

Return-path: <[email protected]>Received: from m65.net81-64-128.noos.fr ([81.64.128.65])    by mail.host.ru with smtp      (envelope-from <[email protected]>)    id 1I4EkQ-0005c4-Nb    for [email protected]; Fri, 29 Jun 2007 15:34:48 +0400Received: from ujfpg ([127.134.187.151])    by m65.net81-64-128.noos.fr (8.13.1/8.13.1) with SMTP id l5TBXIYN024785;    Fri, 29 Jun 2007 13:33:18 +0200Message-ID: <[email protected]>Date: Fri, 29 Jun 2007 13:32:16 +0200From: Cordelia Roe <[email protected]>User-Agent: Thunderbird 1.5.0.12 (Windows/20070509)MIME-Version: 1.0To: [email protected]: [!! SPAM] Re: Magazine.87685438.pdfContent-Type: multipart/mixed;  boundary="------------050505050708050000080403"X-Antivirus: avast! (VPS 000752-3, 28/06/2007), Outbound messageX-Antivirus-Status: CleanX-DNSBL: 81.64.128.65 is in a black list at zen.spamhaus.orgX-SPF: softfailX-SpamTest-Envelope-From: [email protected]: Profiles 1187 [June 28 2007]X-SpamTest-Info: helo_type=3X-SpamTest-Info: {Headers: Spam D006}X-SpamTest-Info: {SPF Softfailed}X-SpamTest-Info: {DNSBL Listed}X-SpamTest-Info: {HEADERS: Fake reply message}X-SpamTest-Method: headers plusX-SpamTest-Rate: 100X-SpamTest-Status: SPAMX-SpamTest-Status-Extended: spam

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин

Да. В последнее время в PDF стало очень много

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спам в PDF замучил, количество только увеличивается :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На днях получил интересный спам.

Фишка тут еще в том, что современные антиспамы в массе своей не умеют проверять PDF, а заблокировать этот тип фалов по типу нельзя ни в одной организации.

Может быть это будущее спам индустрии?

А и не нужно проверять, чего там в PDF накорябано ;)

У меня разные аккаунты, на одних на сервере ком-продукт стоит,

другие - так, байес... так вот и то и другое зарезает эти письма влёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
и то и другое зарезает эти письма влёт.

По какому признаку? RBL? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По какому признаку? RBL?

Нет, конечно ;)

от RBL больше неприятностей, чем пользы, IMHO конечно ;)

1) Баес - он баес и есть, не знаю, по какому признаку ;)

2) А ком-фильтр - у него там параметров оценки больше тысячи, наверно.

Я уже наигрался ;) теперь даже и не интересуюсь, как оно режется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Похоже, спам в pdf умер. Недолгой была его жизнь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Похоже, спам в pdf умер. Недолгой была его жизнь.

Да ну, в конце прошлой недели ко мне приходил. Правда, после значительного перерыва.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну это как те партизаны, что не в курсе об окончании войны, до сих пор поезда под откос пускают :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      Два спамера дают ссылку на левый сайт и пытаются выдать за оф. сайт 
       
    • ToptynOON
      Желательно оставлять ссылку на официальный сайт, у вас конечно не много рекламы но все же есть риск скачать амиго. Так что ссылка на оф.сайт http://adguard.mobi/
    • PR55.RP55
      Разобрался в чём дело. uVS  не видит настройки. А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д. т.е. не видит изменения в файле:  profiles.ini %appdata%\Mozilla\Firefox\profiles.ini uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки. Про перенос кеша браузеров: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/ Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )
    • PR55.RP55
      + По этой теме:  http://www.tehnari.ru/f35/t256998/ C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL Файл не попал в список подозрительных - хотя имя файла соответствует системному: C:\WINDOWS\SYSWOW64\WINHTTP.DLL
      C:\WINDOWS\SYSTEM32\WINHTTP.DLL + Файл явно в автозапуске  - чего опять же не видно. по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll ----------- + Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены. причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions присутствуют - но браузер их не видит.
    • santy
      и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.