Перейти к содержанию

Recommended Posts

ak_

Перевод Google:

Красочный спама твист в обход Spamfilters

25 Марта, 2009, 9:55 AM

Начиная с 23.03.09 мы начали получать новый тип спам-писем в довольно интересном формате: HTML и таблицы с цветными некоторых камерах с особым фоном. Результатом является очень приятно, как вы можете увидеть ниже:

viagra-table-300x112.png

Рис. 1: Результат

Этот орган состоит из двух частей, как и любой достойный и надлежащий формируется сообщение: простой текст и текст / HTML. Две части идентичны с содержательной точки зрения. Так что, если мы хотели бы вынести HTML стороны, мы получаем ровно равнины / текстовой части. Это сообщение еще больше доверия. Анализ содержимого HTML мы видим, что есть на самом деле ни один из ASCII символов в таблице, где слово Виагра создается.

viagra-table-html-300x166.png

Рис. 2: HTML части письма

В подробности одной из строк мы видим, каким образом каждая строка создан:

viagra-table-html-cell-250x300.png

Рис. 3: HTML в одиночных камерах в таблице рядом

Существует матрица создана в таблице с 31 колоннами и 6 строк, а слова образуются с помощью цветных камер. Это пока еще не обнаруженных большинство спам-фильтров - простые слова фильтр не работает.

Ссылку "нажмите здесь" в спам-почты с точки Microsofts блогов службы по spaces.live.com. Попытка доклад URL для live.com было невозможно, - но это еще одна история.

Сорин Mustaca

Менеджер Международной программы развития

Оригинал здесь: Avira TechBlog.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Оригинально, что-то реально новенькое в плане реализации. Можно постоянно менять HTML код и тем самым препятствовать детекту по сигнатурам/шинглам. Остаются статистические и репутационные методы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Хотелось бы услышать Андрея Никишина, справляются ли продукты ЛК с подобным. RecentTerms не в счет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov

Если честно, то достаточно старый метод, меняется только содержание писем, цвета ну и каждое письмо содержит почти уникальный html. Шлет по видимому одна группа, используют ботнет, раскручивают online магазины якобы продающие дешевые(generic) лекарства, проводил как-то эксперимент который должен был показать на чем зарабатывают эти господа. Зделал заказ и ввел все данные включая данные кредитной карты(естественно которой не существует),да и персонаж на которого заказывал был полностью вымышленным, как и предполагалось, никакого продолжения не последовало. Из этого можно сдеалть вывод, что они просто воруют кредитные карты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Дополнение:
      В Vista dns лог не работает и работать не будет,
      Win7, Win8 не работает, но возможно получится прикрутить в урезанном виде без фильтрации левых адресов и ответа сервера.
      Работает начиная с Win 8.1.
      Адреса можно вносить в базу проверенных.
    • demkd
      ---------------------------------------------------------
       4.11.7
      ---------------------------------------------------------
       o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
         В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
         в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
         в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
         который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
         промежуточные адреса будут отфильтрованы.
         Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
         (!) После включения функции требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию с момента загрузки системы.
         (!) Только для активных и удаленных систем начиная с Vista (NT6.0).
         (!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
         (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
    • santy
      да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне
    • akoK
    • PR55.RP55
      Предлагаю создать новую базу  SHA1(+ ) <   > ЭЦП Это не база проверенных файлов... Это база проверенных файлов с ЭЦП. т.е. На системе №1 Проверяем файл ( ЭЦП - проходит проверку ) > SHA1 файла добавляется в базу  SHA1(+ ) > Оператор переходит к системе №2 и проверяет ЭЦП ... по базе SHA1(+). Почему по базе... Возможна ли проверка SHA2  на WINDOWS XP  и  т.д ;  На системах без обновлений с повреждённым каталогом ЭЦП ? А так...  Программа вычисляет SHA1 файла  > SHA1  проверяется по базе SHA1(+ ) ... > ЭЦП есть в базе = подтверждение цифровой. + Выигрыш по времени при проверке. Да,  подпись могут отозвать и т.д.  Но...  
×