# Форум на русском языке  > Решения по информационной безопасности  > Антиспам  >  Открытки

## ScratchyClaws

Приходит письмо...
аутлук его отображает вот так - 




> Вам пришла виртуальная открытка.
> Для ее получения зайдите на сайт www.postcard.ру/card.php?6765221442 
> и нажмите на ссылку 'получить открытку'
> 
> Служба рассылки открыток POSTCARD.RU
> 
> ------------------------------------------------
> 
> 
> ...


Отправитель ессесно postcard.ru

а теперь то же письмо, но через просмотр исходного сообщения - 


```
<html><!-- чахнуть энтузиаст угодно --><!-- заикаться обрезаться азот кадык --><body>
Вам пришла виртуальная открытка.<!-- incubus  ductwork advocacy asset --><bR>
Для ее получения зайдите на сайт <a href="http://www.postcard.ру/card.php?6765221442"><table><tr><td><a href="http://dоmstroy.оrg/card.php?fr=EleanorBruce&[email protected]ХХХ.ru">www.pоstcard.ру/card.php?6765221442</td></tr></table></a> 
и нажмите на ссылку 'получить открытку'<!-- oscar disposable --><P>
<!-- backbone --><Br>
Служба рассылки открыток POSTCARD.RU<!-- acrimony  cry dispensary thine --><p>
------------------------------------------------<!-- cluck antithetic strata --><P>
<!-- d'etat --><p>
<!-- excision --><Br>
You recieved an postcard.<!-- moo proclaim --><P>
To get it follow to web-site <a href="http://www.pоstcard.ру/card.php?6765221442"><table><tr><td><a href="http://tangоmania.ru/card.php?fr=EleanorBruce&[email protected]ХХХ.ru">www.pоstcard.ру/card.php?6765221442</td></tr></table></a> 
switch to english and click on 'get my postcard'<!-- barnard ogre dully --><p>
<!-- hereinbelow  izvestia ani jensen --><br>
Postcard service POSTCARD.RU<!-- confirm bartok --><p>
</body><!-- подкрепление кондитерская дрянной -->
</html>
```

Объясните как работает такой вот вариант *двойной ссылки* - идет тег <a href="..." дальше табличка и в ней опять линк, на этот раз другой. Насколько я понимаю должен сработать тот линк, который внутри?
Да ещё и, судя по включенному в ссылку е-мейлу, проверяется живой ли адрес... Интересно, а учитывая то что адреса в русском и английском адресе разные, они ещё и язык получателя проверяют?  :Wink:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

Да, типовая ошибка браузеров в том, что отображается внешняя ссылка, а переход идёт по внутренней.

----------


## Harihara

Мне похожее сегодня пришло:




> Вам пришла виртуальная открытка.
> Для ее получения зайдите на сайт
> www.postcard.ru/card.php?6254923882
> и нажмите на ссылку 'получить открытку'
> 
> Служба рассылки открыток POSTCARD.RU
> ------------------------------------------------
> 
> 
> ...


У меня как клиент стоит Thunderbird и он сразу показывает что линк совсем на другой сайт и ни на какой не посткард.ру  :Sad: 
А вот какой:




> [хттп://ВВВ.atco-us.com/images/card.php?fr=RodgersMinnie&n=(А тут стоит мой е-майл адрес!)


С какой такой радости на php-engine отправляется мой е-майл адрес прямо в строке? Ни один нормальный сайт такого не делает!

Понятно что на самом посткард.ру никакой открытки с таким ID нет...
Далее: я не поленился и залез по ссылке (предварительно вытерев из адресной строки переменную с параметром моего адреса.)
Там реально весит какая-то смешная картинка с текстом под ней:




> _С праздником!_ 
> Поздравляю c праздником первого мая!
> 
>               И вообще, как у тебя дела? Почему так долго не пишешь. Я уже скучаю.               Пиши. Жду. 
> Женя.


*НО!* Mozilla через несколько секунд выкинула мне такую штучку:




> You have chosen to open
> *realfoto.exe
> *etc...


На предложение Save я естественно ответил Cancel  :Smiley: 
_Очень сомневаюсь что там что-то хорошее в этом exe-файле..._

----------


## Kuzz

> _Очень сомневаюсь что там что-то хорошее в этом exe-файле..._


Хорошего там: http://virusinfo.info/showthread.php...441#post123441
 (второй файл)

----------


## Rene-gad

> У меня как клиент стоит Thunderbird


это хорошо  :Thumbsup: 



> На предложение Save я естественно ответил Cancel


а вот это жаль. Хорошо было бы ему в глаза посмотреть... :Wink: . Кстати, при Save ничего плохого не происходит.

----------


## Kuzz

> а вот это жаль. Хорошо было бы ему в глаза посмотреть....


 Ссылка еще действует.. 
Да и (как минимум) у меня и у *icon* экземпляр остался.

----------


## borka

Кто-то может объяснить, как и откуда берется этот realfoto.exe?
В заголовках сайта я вижу
<META HTTP-EQUIV=Refresh Content="10;URL=realfoto.exe">
и все, ни единой ссылки...

А сайт-то какой богатый:
22-07-2007 23:46:28 D:\Documents and Settings\Borka\Local Settings\Temporary Internet Files\Content.IE5\VP10P9AT\images[1].php - ошибка распаковки
22-07-2007 23:46:29 [CL] (PID = 1136)  D:\Documents and Settings\Borka\Рабочий стол\win1ogon.exe - упакован MORPHINE - упакован FSG - упакован BINARYRES - упакован UPX - инфицирован UPX
...
22-07-2007 23:46:30 D:\Documents and Settings\Borka\Local Settings\Temporary Internet Files\Content.IE5\0TAB01M7\images[2].php - ошибка распаковки
22-07-2007 23:46:31 [CL] (PID = 1136)  D:\Documents and Settings\Borka\Рабочий стол\mshelper.exe - упакован MORPHINE - упакован FSG - инфицирован BackDoor.Salidol
...
22-07-2007 23:46:32 D:\Documents and Settings\Borka\Local Settings\Temporary Internet Files\Content.IE5\4JK7UVKP\images[1].php - ошибка распаковки
22-07-2007 23:46:32 [CL] (PID = 1136)  D:\Documents and Settings\Borka\Рабочий стол\dxinstall.exe - упакован MORPHINE - упакован UPX - инфицирован Trojan.Hooker.205
...
22-07-2007 23:46:35 D:\Documents and Settings\Borka\Local Settings\Temporary Internet Files\Content.IE5\WHIJOXAV\images[1].php - ошибка распаковки
22-07-2007 23:46:36 [CL] (PID = 1136)  D:\Documents and Settings\Borka\Рабочий стол\msofficer.exe - упакован MORPHINE - упакован UPX - инфицирован Trojan.Starman

Плюс еще что-то, пока не детектируемое.  :Smiley:

----------


## pig

> Кто-то может объяснить, как и откуда берется этот realfoto.exe?
> В заголовках сайта я вижу
> <META HTTP-EQUIV=Refresh Content="10;URL=realfoto.exe">


Вот отсюда и берётся. Это инструкция через десять секунд загрузить в теущее окно realfoto.exe.

----------


## borka

> Вот отсюда и берётся. Это инструкция через десять секунд загрузить в теущее окно realfoto.exe.


О, как... Спасибо. Я и не подозревал о такой фишке.

----------

