# Форум на русском языке  > Решения по информационной безопасности  > Антиспам  >  Чем бороться со СПАМ-картинками?

## Minos

В последнее время почтовые ящики заваливает СПАМ, содержащий рекламное послание в виде картинок. Раньше с подобной бедой боролся очень просто - добавлял сигнатуру рекламного изображения в специальную базу Clamav и при антивирусной проверке большая часть подобных писем прибивалась.
Новое поколение рассылок содержит произвольный осмысленный текст  и рекламу в виде изображения, в которое добавляют случайные шумы по аналогии с тестами Тьюринга. На таких письмах сигнатурный контроль не срабатывает, бейсовые фильтры также бессильны т.к. текст не несет рекламной нагрузкой. По заголовкам и прочим признакам удается отфмльтровать не более трети такого мусора.

Чем можно отфильтровать подобные письма???

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## MOCT

Больше всего проблем с торговцами Виагрой и прочими таблетками - спама шлют много и все в замусоренных картинках.
Самое удивительное, что рекламу таких "американских" товаров расылают отечественные спамеры.

p.s. у меня из картинок не отсеивается около 10%. гораздо хуже дела с письмами в MIME...

----------


## Ego1st

Всё зависит от того, где это надо отсеивать
если дома сомневаюсь что найдётся нормальный антиспам, если фирма то что-нибудь типа спамобороны..

----------


## bizba

Вы про такие сообщения?? я сначала думал, что у меня в сети вирус... походу из вне валится...

----------


## pig

И такие тоже.

----------


## Синауридзе Александр

Ну это теперь новая СПАМ мода стала. Обычно анимированный СПАМ состоит из несколько информативных кадров, каждый из которых содержит часть рекламного текста. Наслаиваясь друг на друга, эти кадры демонстрируют пользователю весь текст спам-рекламы.

Новая технология рассылки - анимированный графический спам (в спамерское сообщение обычно вложен файл GIF формата) – появилась совсем недавно. Первоначально такой спам содержал от 2 до 5 кадров, и текст предложения был представлен только на одном из них. Остальные кадры, как правило, содержали фон или прочие элементы рисунка, не несущие смысловой нагрузки.

Новый прием вряд ли создаст проблему для систем фильтрации. При желании анимированный GIF достаточно легко расчленить на кадры и работать с каждым по отдельности. Кроме того, спам-фильтру вообще нет необходимости целенаправленно анализировать графическую составляющую спама. Существует множество проверенных и надежных методов классификации спама, и многие фильтры с их помощью способны распознать анимированные рассылки как спам, вообще не пытаясь анализировать "картинку".

----------


## RobinFood

У меня тут возникла мысль, и после трехминутного ее обдумывания я пришел к очевидному выводу: _у меня нет знакомых, которые могут мне прислать письмо в HTML с картинкой внутри_. А из этой мысли для меня следует очевидный вывод: HTML-письмо с текстом *src="cid: - однозначно является спамом*.

Что скажете по поводу моей мысли?

----------


## pig

Вам везёт. У меня такие знакомые есть. Более того - это не просто знакомые, а партнёры фирмы. Уважаемые поставщики. Ну, и клиенты тоже.

----------


## borka

> Вам везёт. У меня такие знакомые есть. Более того - это не просто знакомые, а партнёры фирмы. Уважаемые поставщики. Ну, и клиенты тоже.


По ходу: письма, содержащие такой код:
<html><body>
<br>Password - <img src="cid:yxgiqmfblh.gif"><br>
<br>
</body></html>,
детектятся как Доктором, так и каспером как "инфицирован - Win32.HLLM.Beagle" и "подозрение на вирус Email-Worm.Win32.Bagle.mail" соответственно.

----------


## pig

У меня в спамоловке тоже есть несколько шаблонов на Бигля.

----------


## ВодкуГлыть

У меня с графическим спамом хорошо справляется KIS. Надо только в настройках анти-спама поставить галочку "Без текскта но с вложенным изображением", ну и, естесственно, галочку "Адресованные не мне".

----------


## kuznetz

"Без текскта но с вложенным изображением" - не прокатит, если текст есть. А спамеры текст тоже туда запихивают, специально на этот случай. Разве Вам такой не идет? мне идет именно такой. И всегда так было - картинка идет с некоторым текстом, цвет шрифта либо белый, либо размер супермелкий. Они же понимают, что делают.

Так что привет

Просим МОСТ рассказать, чем (и может быть как) фильтруем спам так, что "у меня из картинок не отсеивается около 10%". Это ведь очень хороший показатель

----------


## MOCT

> Просим МОСТ рассказать, чем (и может быть как) фильтруем спам так, что "у меня из картинок не отсеивается около 10%". Это ведь очень хороший показатель


я на форуме уже упоминал, что есть самостоятельно разработанный спам-фильтр, который и занимается отбраковкой. в последнее время мимо фильтра проходит 0-1 спам-писем в день из ~150.

----------


## DVi

KIS MP2 должен получше ловить спам-картинки (при условии своевременных обновлений), чем прошлые релизы - к нему прикручен новый движок обработки графики от серверного антиспама.

----------


## Синауридзе Александр

> KIS MP2 должен получше ловить спам-картинки (при условии своевременных обновлений), чем прошлые релизы - к нему прикручен новый движок обработки графики от серверного антиспама.


Вот это уже интересно. Может *DVi* в отдельной теме нам расскажет об серверном антиспаме.

----------


## DVi

Если надо создать новую тему, надеюсь, модераторы выделят это сообщение.
Про весь серверный антиспам  не скажу, ибо имею к нему посредственное отношение. А про графику скажу, это не слишком сложно. Суть в запоминании сигнатуры на каждую картинку из рассылки - так работал еще КИС релизной сборки. В серверном КАС 3.0 сделан качественный скачек - одна сигнатура закрывает несколько флуктуаций одной картинки (таких как поворот, зашумление, смена фона). Вот именно эту вкусную штуку и встроили в КИС МП2. 
Естественно, это реактивная технология, поэтому на локальной машине реально работать она будет только при  скачивании писем с опозданием (около часа после рассылки). На серверных инсталляциях период оьновления много чаще - поэтому там она неплохо работает в практически реальном времени.

----------


## Синауридзе Александр

> Если надо создать новую тему, надеюсь, модераторы выделят это сообщение.


Отдельную тему имело-бы смысл создавать, если бы начали обсуждать работу антиспама.



> Про весь серверный антиспам  не скажу, ибо имею к нему посредственное отношение.


Было бы замечательно, если кто-нибудь из ЛК, кто имеет непосредственное отношение к разработке антиспама появился здесь на форуме и немного рассказал об этом продукте (принцип работы, об установке и тонкостях настройки). Многим было бы очень интересно. :Smiley:  



> А про графику скажу, это не слишком сложно. Суть в запоминании сигнатуры на каждую картинку из рассылки - так работал еще КИС релизной сборки. В серверном КАС 3.0 сделан качественный скачек - одна сигнатура закрывает несколько флуктуаций одной картинки (таких как поворот, зашумление, смена фона). Вот именно эту вкусную штуку и встроили в КИС МП2. 
> Естественно, это реактивная технология, поэтому на локальной машине реально работать она будет только при  скачивании писем с опозданием (около часа после рассылки). На серверных инсталляциях период оьновления много чаще - поэтому там она неплохо работает в практически реальном времени.


Вот этот момент поподробней можете расписать. Спасибо. :Wink:

----------


## DVi

1. Если удасться - приведу разработчика. Вообще же - есть описание серверного антиспама на сайте ЛК.
2. Сорри, не понял - о чем нужно подробнее рассказать?

----------


## Синауридзе Александр

> 1. Если удасться - привиду разработчика. Вообще же - есть описание серверного антиспама на сайте ЛК.


Спасибо. :Smiley:  Вообще как можно попробовать его в работе?



> 2. Сорри, не понял - о чем нужно подробнее рассказать?


Про сигнатуры.

----------


## DVi

Краткое описание серверного антиспама ЛК: http://www.kaspersky.ru/linux_antispam
Подробное описание: http://www.kaspersky.ru/downloads/pd...r_kas_3_ru.pdf
Дистрибутивы: http://www.kaspersky.ru/productupdat...pter=147087389
А вот триального ключа почему-то я не нашел... Если смогу найти контакты для триального ключа - отпишусь в этой теме.

----------


## DVi

Нашел.
Надо заполнить эту анкету, и Вам выдадут соответствующий триальный ключ: http://www.kaspersky.ru/trials?chapter=147250934

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Синауридзе Александр

*DVi* спасибо за информацию. :Smiley:

----------


## Зайцев Олег

> *DVi* спасибо за информацию.


Кстати, еще информация в тему - в февральском КомпьютерПресс выходит мой обзор системы Kaspersky Antispam, я проводил его тесты и опытно-промышленное внедрение. Результат оказался весьма неплохим - установился он без проблем, спам ловит, юзеры довольны ... Те самые спам картинки он давит, правда естественно не 100%.

----------


## kuznetz

А можно проверить вот эти, поступившие сегодня спам-письма, на спам? возьмет ли их? у меня не взяло, набрали не больше 1 балла.

Если у кого их возьмет, то не могли бы вы сообщить, за что сколько баллов они набрали?

----------


## DVi

В каких попугаях Вы предлагаете это измерять?

----------


## Синауридзе Александр

> Кстати, еще информация в тему - в февральском КомпьютерПресс выходит мой обзор системы Kaspersky Antispam, я проводил его тесты и опытно-промышленное внедрение. Результат оказался весьма неплохим - установился он без проблем, спам ловит, юзеры довольны ...


Обязательно возьму почитать. Олег, спасибо за информацию. :Smiley:   Заодно просьба, раз уж Вы настраивали и тестировали поделиться опытом по установке и настройке (только в отдельной теме).



> Те самые спам картинки он давит, правда естественно не 100%.


На 100% давить ни одна программа не будет. :Wink:

----------


## kuznetz

Измерять в чем угодно. То есть в баллах обычно измеряют. Но баллы понятно у разных систем разные. Поэтому главное - за что наберет баллы.

Но если можно, то желательно конечно знать не только сколько баллов набрало, но и за сколько баллов по той системе у Вас зарубает. Тогда легче будет оценить

Как я уже сказал, у меня на SpamAssassin набрало меньше 1 балла из 5 требуемых для зарубания

----------


## Arhimed

Я пользуюсь встроенным Оперным почтовиком (М2). У него очень приличный обучающийся спам фильтр. На сегодня он у меня промахивается... на вскидку..., 2-5%. Из обсуждаемых здесь писем с зашумлеными картинками и текстом, за последнее время, все поголовно кладутся в папку "Спам". Уже даже не помню, когда что-то прорывалось... Изначально, пару-тройку таких писем руками пометил как спам.

----------


## kuznetz

Мда, у нас провайдер тоже внедрил новый спам-фильтр. Не проходит вообще никакого спама, совсем. Чудеса прямо.

Небесплатно только это всё. То есть спамеры продолжают у нас воровать деньги.

А если держать фильтр свой, то тоже получается небесплатно - и за трафик платить, и работать с фильтром надо.

----------

