В последнее время почтовые ящики заваливает СПАМ, содержащий рекламное послание в виде картинок. Раньше с подобной бедой боролся очень просто - добавлял сигнатуру рекламного изображения в специальную базу Clamav и при антивирусной проверке большая часть подобных писем прибивалась.
Новое поколение рассылок содержит произвольный осмысленный текст и рекламу в виде изображения, в которое добавляют случайные шумы по аналогии с тестами Тьюринга. На таких письмах сигнатурный контроль не срабатывает, бейсовые фильтры также бессильны т.к. текст не несет рекламной нагрузкой. По заголовкам и прочим признакам удается отфмльтровать не более трети такого мусора.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Больше всего проблем с торговцами Виагрой и прочими таблетками - спама шлют много и все в замусоренных картинках.
Самое удивительное, что рекламу таких "американских" товаров расылают отечественные спамеры.
p.s. у меня из картинок не отсеивается около 10%. гораздо хуже дела с письмами в MIME...
Ну это теперь новая СПАМ мода стала. Обычно анимированный СПАМ состоит из несколько информативных кадров, каждый из которых содержит часть рекламного текста. Наслаиваясь друг на друга, эти кадры демонстрируют пользователю весь текст спам-рекламы.
Новая технология рассылки - анимированный графический спам (в спамерское сообщение обычно вложен файл GIF формата) – появилась совсем недавно. Первоначально такой спам содержал от 2 до 5 кадров, и текст предложения был представлен только на одном из них. Остальные кадры, как правило, содержали фон или прочие элементы рисунка, не несущие смысловой нагрузки.
Новый прием вряд ли создаст проблему для систем фильтрации. При желании анимированный GIF достаточно легко расчленить на кадры и работать с каждым по отдельности. Кроме того, спам-фильтру вообще нет необходимости целенаправленно анализировать графическую составляющую спама. Существует множество проверенных и надежных методов классификации спама, и многие фильтры с их помощью способны распознать анимированные рассылки как спам, вообще не пытаясь анализировать "картинку".
У меня тут возникла мысль, и после трехминутного ее обдумывания я пришел к очевидному выводу: у меня нет знакомых, которые могут мне прислать письмо в HTML с картинкой внутри. А из этой мысли для меня следует очевидный вывод: HTML-письмо с текстом src="cid: - однозначно является спамом.
Вам везёт. У меня такие знакомые есть. Более того - это не просто знакомые, а партнёры фирмы. Уважаемые поставщики. Ну, и клиенты тоже.
По ходу: письма, содержащие такой код:
<html><body>
<br>Password - <img src="cid:yxgiqmfblh.gif"><br>
<br>
</body></html>,
детектятся как Доктором, так и каспером как "инфицирован - Win32.HLLM.Beagle" и "подозрение на вирус Email-Worm.Win32.Bagle.mail" соответственно.
У меня с графическим спамом хорошо справляется KIS. Надо только в настройках анти-спама поставить галочку "Без текскта но с вложенным изображением", ну и, естесственно, галочку "Адресованные не мне".
"Без текскта но с вложенным изображением" - не прокатит, если текст есть. А спамеры текст тоже туда запихивают, специально на этот случай. Разве Вам такой не идет? мне идет именно такой. И всегда так было - картинка идет с некоторым текстом, цвет шрифта либо белый, либо размер супермелкий. Они же понимают, что делают.
Так что привет
Просим МОСТ рассказать, чем (и может быть как) фильтруем спам так, что "у меня из картинок не отсеивается около 10%". Это ведь очень хороший показатель
Просим МОСТ рассказать, чем (и может быть как) фильтруем спам так, что "у меня из картинок не отсеивается около 10%". Это ведь очень хороший показатель
я на форуме уже упоминал, что есть самостоятельно разработанный спам-фильтр, который и занимается отбраковкой. в последнее время мимо фильтра проходит 0-1 спам-писем в день из ~150.
KIS MP2 должен получше ловить спам-картинки (при условии своевременных обновлений), чем прошлые релизы - к нему прикручен новый движок обработки графики от серверного антиспама.
KIS MP2 должен получше ловить спам-картинки (при условии своевременных обновлений), чем прошлые релизы - к нему прикручен новый движок обработки графики от серверного антиспама.
Вот это уже интересно. Может DVi в отдельной теме нам расскажет об серверном антиспаме.
Если надо создать новую тему, надеюсь, модераторы выделят это сообщение.
Про весь серверный антиспам не скажу, ибо имею к нему посредственное отношение. А про графику скажу, это не слишком сложно. Суть в запоминании сигнатуры на каждую картинку из рассылки - так работал еще КИС релизной сборки. В серверном КАС 3.0 сделан качественный скачек - одна сигнатура закрывает несколько флуктуаций одной картинки (таких как поворот, зашумление, смена фона). Вот именно эту вкусную штуку и встроили в КИС МП2.
Естественно, это реактивная технология, поэтому на локальной машине реально работать она будет только при скачивании писем с опозданием (около часа после рассылки). На серверных инсталляциях период оьновления много чаще - поэтому там она неплохо работает в практически реальном времени.
Если надо создать новую тему, надеюсь, модераторы выделят это сообщение.
Отдельную тему имело-бы смысл создавать, если бы начали обсуждать работу антиспама.
Сообщение от DVi
Про весь серверный антиспам не скажу, ибо имею к нему посредственное отношение.
Было бы замечательно, если кто-нибудь из ЛК, кто имеет непосредственное отношение к разработке антиспама появился здесь на форуме и немного рассказал об этом продукте (принцип работы, об установке и тонкостях настройки). Многим было бы очень интересно.
Сообщение от DVi
А про графику скажу, это не слишком сложно. Суть в запоминании сигнатуры на каждую картинку из рассылки - так работал еще КИС релизной сборки. В серверном КАС 3.0 сделан качественный скачек - одна сигнатура закрывает несколько флуктуаций одной картинки (таких как поворот, зашумление, смена фона). Вот именно эту вкусную штуку и встроили в КИС МП2.
Естественно, это реактивная технология, поэтому на локальной машине реально работать она будет только при скачивании писем с опозданием (около часа после рассылки). На серверных инсталляциях период оьновления много чаще - поэтому там она неплохо работает в практически реальном времени.
Вот этот момент поподробней можете расписать. Спасибо.
1. Если удасться - приведу разработчика. Вообще же - есть описание серверного антиспама на сайте ЛК.
2. Сорри, не понял - о чем нужно подробнее рассказать?
Последний раз редактировалось DVi; 05.02.2007 в 16:22.