Показано с 1 по 10 из 10.

Новый метод обхода фильтров?

  1. #1
    Full Member Репутация Репутация Репутация
    Регистрация
    30.01.2007
    Сообщений
    115
    Вес репутации
    0

    Новый метод обхода фильтров?

    с 12 февраля одна российская спамерская команда (довольно значительная по объемам) начала рассылать спам со следующей фичей:

    написано, что кодировка Windows-1251, а на самом деле кодировка KOI-8. Примеры прилагаю, 3 штуки.

    Тем не менее html-ную часть сообщения пользователь, естественно, видит нормально - потому что в html указано, что использовать шрифт кодировки KOI-8.

    Вот такая военная хитрость. Полагаю, она не дает спам-фильтру анализировать ни тему письма, ни текст. То есть эта беда может быть на текущий момент взята только байесом (если конечно руками этот байес кормить регулярно).

    Что думают по этому поводу разработчики антиспам-фильтров? будет ли что-нибудь по этому поводу? 30% русского спама идет с этой фичей (по крайней мере в нашей почте)
    Вложения Вложения
    • Тип файла: rar spam.rar (5.2 Кб, 5 просмотров)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Разработчики антиспам-фильтров стараются думать так же, как Outlook Express (самый распространенный на планете почтовый клиент) - отдают на обработку в ядро текст в том виде, в каком его отображает OE.

  4. #3
    Full Member Репутация Репутация Репутация
    Регистрация
    30.01.2007
    Сообщений
    115
    Вес репутации
    0
    Спасибо.
    Прошу извинить, не совсем точную информацию я дал. Как оказалось. Я был удивлен категоричностью ответа, и проверил всё еще раз. Потому что сомневался, что спамеры стали бы что-то делать зря.

    Так вот, неверная моя информация в том, что Outlook Express отображает эти письма в нормальном читаемом виде. Я на самом деле открывал их html-ную часть как аттачи Интернет Эксплорером. И он действительно показывает правильно, читаемо. Хотя почему - не пойму.

    Потому что моя начальная информация не верна и в том, что в html указано, что отображать шрифтом KOI. Нет, ничего там в html о шрифте не сказано, кроме размера, жирный и т.п.

    Тем не менее Интернет Эксплорер открывает читаемо (кто скажет, почему, скажем большое спасибо). Я необоснованно подумал, что Outlook Express будет открывать так же. Но нет. Сейчас проверил специально поставил Outlook. Он открывает нечитаемо. Требуется руками поменять кодировку в меню на KOI - тогда появляется читаемый текст.

    То есть расчет спамеров на то, что пользователи будут КОДИРОВКУ МЕНЯТЬ РУКАМИ. Поскольку кодировка KOI достаточно стандартна, то наверное расчет разумный. Ведь любой из нас, когда видит нечитаемые письма, идет перебирать кодировки в меню.

    Таким образом, если спам-фильтр будет анализировать текст в том виде, в каком отображает Outlook - то ничего не возьмет. Надо что-то дорабатывать наверно

    Если моя информация вызывает сомнения - легко проверить. Я проверял так: берем это письмо одно из тех трех штук которые прилагаются в виде файла MSG, и кладем в каталог пользователя на почтовом сервере. И получаем почту этого пользователя Outlook'ом. В результате имеем картину как я описывал - нечитаемый текст.
    Можно наверно и по-другому (если нет доступа к почтовому серверу) - можно взять файл MSG и импортировать его в почтовый клиент, который это умеет импортировать (например TheBat), поменять адрес кому и отправить это письмо самому себе и получить Outlook'ом.
    Можно как угодно еще. Главное не перекодировать текст и не менять заголовки частей.
    Воспроизводимость результата гарантируется.
    То есть проблему - имеем

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Exxx
    Регистрация
    05.07.2005
    Адрес
    Москва
    Сообщений
    301
    Вес репутации
    87
    Цитата Сообщение от kuznetz Посмотреть сообщение
    Тем не менее Интернет Эксплорер открывает читаемо (кто скажет, почему, скажем большое спасибо).
    Автовыбор кодировки наверное?

  6. #5
    Full Member Репутация Репутация Репутация
    Регистрация
    30.01.2007
    Сообщений
    115
    Вес репутации
    0
    Возможно, автовыбор кодировки.
    Но нигде не вижу в Интернет Эксплорере ни галки, ничего другого насчет автовыбора кодировки. Облазил все "Свойства обозревателя". Версия ИЕ 6.0.2800.1106

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Exxx
    Регистрация
    05.07.2005
    Адрес
    Москва
    Сообщений
    301
    Вес репутации
    87
    Но нигде не вижу в Интернет Эксплорере ни галки, ничего другого насчет автовыбора кодировки. Облазил все "Свойства обозревателя".
    Вид --> Кодировка

  8. #7
    Full Member Репутация Репутация Репутация
    Регистрация
    30.01.2007
    Сообщений
    115
    Вес репутации
    0
    Ну так...
    орлы же мух не ловят
    ))
    слонов тоже не замечают
    ну я и дал маху

  9. #8
    Full Member Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    182
    Вес репутации
    74
    Цитата Сообщение от DVi Посмотреть сообщение
    Разработчики антиспам-фильтров стараются думать так же, как Outlook Express
    Мне понравилось.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    315
    попытаться разобрать сообщение на двух-трёх кодировках не так уж сложно.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73
    Цитата Сообщение от kuznetz Посмотреть сообщение
    Спасибо.
    То есть расчет спамеров на то, что пользователи будут КОДИРОВКУ МЕНЯТЬ РУКАМИ.
    Я думаю, все гораздо проще - кривой софт встречается часто, и спаммерский софт не исключение.

Похожие темы

  1. Спамеры нашли новый путь «обмана» фильтров
    От Синауридзе Александр в разделе Антиспам
    Ответов: 4
    Последнее сообщение: 04.05.2007, 11:14
  2. Ответов: 8
    Последнее сообщение: 04.04.2007, 21:32
  3. Инжект как метод обхода фаерволлов, жив или мертв?
    От celeron в разделе Межсетевые экраны (firewall)
    Ответов: 10
    Последнее сообщение: 05.08.2006, 18:04
  4. Новый метод распространения троянов
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 19
    Последнее сообщение: 25.08.2005, 01:11

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01168 seconds with 20 queries