PDA

Просмотр полной версии : Новый метод обхода фильтров?



kuznetz
14.02.2007, 17:08
с 12 февраля одна российская спамерская команда (довольно значительная по объемам) начала рассылать спам со следующей фичей:

написано, что кодировка Windows-1251, а на самом деле кодировка KOI-8. Примеры прилагаю, 3 штуки.

Тем не менее html-ную часть сообщения пользователь, естественно, видит нормально - потому что в html указано, что использовать шрифт кодировки KOI-8.

Вот такая военная хитрость. Полагаю, она не дает спам-фильтру анализировать ни тему письма, ни текст. То есть эта беда может быть на текущий момент взята только байесом (если конечно руками этот байес кормить регулярно).

Что думают по этому поводу разработчики антиспам-фильтров? будет ли что-нибудь по этому поводу? 30% русского спама идет с этой фичей (по крайней мере в нашей почте)

DVi
14.02.2007, 19:14
Разработчики антиспам-фильтров стараются думать так же, как Outlook Express (самый распространенный на планете почтовый клиент) - отдают на обработку в ядро текст в том виде, в каком его отображает OE.

kuznetz
14.02.2007, 20:25
Спасибо.
Прошу извинить, не совсем точную информацию я дал. Как оказалось. Я был удивлен категоричностью ответа, и проверил всё еще раз. Потому что сомневался, что спамеры стали бы что-то делать зря.

Так вот, неверная моя информация в том, что Outlook Express отображает эти письма в нормальном читаемом виде. Я на самом деле открывал их html-ную часть как аттачи Интернет Эксплорером. И он действительно показывает правильно, читаемо. Хотя почему - не пойму.

Потому что моя начальная информация не верна и в том, что в html указано, что отображать шрифтом KOI. Нет, ничего там в html о шрифте не сказано, кроме размера, жирный и т.п.

Тем не менее Интернет Эксплорер открывает читаемо (кто скажет, почему, скажем большое спасибо). Я необоснованно подумал, что Outlook Express будет открывать так же. Но нет. Сейчас проверил специально поставил Outlook. Он открывает нечитаемо. Требуется руками поменять кодировку в меню на KOI - тогда появляется читаемый текст.

То есть расчет спамеров на то, что пользователи будут КОДИРОВКУ МЕНЯТЬ РУКАМИ. Поскольку кодировка KOI достаточно стандартна, то наверное расчет разумный. Ведь любой из нас, когда видит нечитаемые письма, идет перебирать кодировки в меню.

Таким образом, если спам-фильтр будет анализировать текст в том виде, в каком отображает Outlook - то ничего не возьмет. Надо что-то дорабатывать наверно

Если моя информация вызывает сомнения - легко проверить. Я проверял так: берем это письмо одно из тех трех штук которые прилагаются в виде файла MSG, и кладем в каталог пользователя на почтовом сервере. И получаем почту этого пользователя Outlook'ом. В результате имеем картину как я описывал - нечитаемый текст.
Можно наверно и по-другому (если нет доступа к почтовому серверу) - можно взять файл MSG и импортировать его в почтовый клиент, который это умеет импортировать (например TheBat), поменять адрес кому и отправить это письмо самому себе и получить Outlook'ом.
Можно как угодно еще. Главное не перекодировать текст и не менять заголовки частей.
Воспроизводимость результата гарантируется.
То есть проблему - имеем

Exxx
14.02.2007, 22:09
Тем не менее Интернет Эксплорер открывает читаемо (кто скажет, почему, скажем большое спасибо).
Автовыбор кодировки наверное?

kuznetz
15.02.2007, 09:38
Возможно, автовыбор кодировки.
Но нигде не вижу в Интернет Эксплорере ни галки, ничего другого насчет автовыбора кодировки. Облазил все "Свойства обозревателя". Версия ИЕ 6.0.2800.1106

Exxx
15.02.2007, 10:52
Но нигде не вижу в Интернет Эксплорере ни галки, ничего другого насчет автовыбора кодировки. Облазил все "Свойства обозревателя".
Вид --> Кодировка ;)

kuznetz
15.02.2007, 22:06
Ну так...
орлы же мух не ловят
:)))
слонов тоже не замечают
ну я и дал маху

userr
16.02.2007, 21:32
Разработчики антиспам-фильтров стараются думать так же, как Outlook Express
Мне понравилось. :)

maXmo
02.03.2007, 19:24
попытаться разобрать сообщение на двух-трёх кодировках не так уж сложно.

RobinFood
04.03.2007, 02:40
Спасибо.
То есть расчет спамеров на то, что пользователи будут КОДИРОВКУ МЕНЯТЬ РУКАМИ.Я думаю, все гораздо проще - кривой софт встречается часто, и спаммерский софт не исключение.