В течение нескольких последних дней (точнее - недель) в русскоязычной Сети расходятся вирусы, рассылаемые почтой, и подписанные обратным адресом "covalent@sukhoi.ru". Часть таких вирусов получили пользователи Mail.Ru, что послужило их неопытным администраторам причиной тут же внести этот сайт в "черные листы" (с) support@mail.ru (интересно, сколько их, этих листов?...)
Определение этому действию дайте сами - из-за действий этого человека пострадало немало других людей, в том числе и тех, кто еще только хочет зарегистрироваться. Ну, а для тех, кто попался на этом, и не хочет попадаться в дальнейшем, мне придется обьяснить, как вычислить спаммера-вирусовода, рассказав, как сразу и наказать его.
Для начала надо открыть письмо "целиком", со всеми его внутренностями, включая служебные заголовки. В Outlook Express это делается установкой курсора на письме, вызовом пункта меню "File - Properties" (или вызовом того же пункта из контекстного меню правым щелчком мыши по заголовку письма). Внутри выбираем закладку "Details - Message Source". Смотрим внутрь и видим примерно такую картину:
***** ***** ***** ***** *****
Received: from mx6.mail.ru ([194.67.57.16]) by sp.cmc.msu.ru
(Netscape Messaging Server 3.62) with ESMTP id 4229
for <webmaster@sp.cmc.msu.ru>; Fri, 8 Feb 2002 15:55:53 +0300
Received: from n1-159.dialup.co.ru ([195.16.37.159] helo=Bdxaw)
by mx6.mail.ru with smtp (Exim 3.14 #1)
id 16ZAYz-0008hg-00
for webmaster@sp.cmc.msu.ru; Fri, 08 Feb 2002 15:55:37 +0300
From: covalent <covalent@sukhoi.ru>
To: webmaster@sp.cmc.msu.ru
Subject: Dskapi32.dll
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=HiN5t973N7z
Message-Id: <E16ZAYz-0008hg-00@mx6.mail.ru>
Date: Fri, 08 Feb 2002 15:55:37 +0300
***** ***** ***** ***** *****
Мимоходом заметим, что в данном случае, в отличие от каких-нибудь Internet-червей, человек сознательно пошел на то, чтобы разослать вирусы по разным адресам, прикрываясь именно мною - об этом говорит поле "From: ". Забавно, что человек это не близкий ко мне - он ни разу не получал от меня письма, и поэтому не знает, как я оформляю это поле. Отметим лишь тип подписи - ник, тот же, что в адресе перед собакой - и идем дальше.
Для нас наиболее важной оказывается самая нижняя строка, начинающаяся со слов "Received: " - эта строка рассказывает о том, кто и как послал это письмо. Подделать эту строку достаточно сложно, поэтому будем считать, что эта строка правдива.
Итак, видим, что некто, имея доменом "n1-159.dialup.co.ru", приписанным к IP-адресу "195.16.37.159", отправил через почтовую службу SMTP "mx6.mail.ru" письмо по адресу "webmaster@sp.cmc.msu.ru". Это было с его стороны бооольшой ошибкой (видно, что он использовал свой почтовый клиент - об этом говорит способ отправки "SMTP"). Что мы делаем, получив это письмо от веселящегося администратора ВМиК МГУ? Правильно, идем по адресу "Комбеллга" (http://www.co.ru/), которому прнадлежит данный способ связи "***.dialup.co.ru", щелкаем по ссылке "SITEMAP", выбираем пункт "забота о клиентах", видим пункт "ТЕХНИЧЕСКАЯ ПОДДЕРЖКА", звоним по их телефону и спрашиваем - что делать?...
В ответ слышим заверения, что это очень-очень-очень плохо, рассылать вирусы, и что все возможное они сделают максимально быстро - ну, плюс, еще надо будет переслать им письмо, как обычно. После чего они решат, сдавать мне телефон этого их уже бывшего пользователя, или ограничиться внесением его телефона в общий провайдерский "черный список" (или "списки" (с) support@mail.ru).
Что делать с телефоном? Ну, для этого существуют как общедоступные базы данных московских телефонов, типа http://www.infobroker.ru/ и http://www.xland.ru/, или помощь друзей - если его телефона там не окажется.
Вы, конечно, можете спросить:
- А что делать, если в хедере письма нет указания на сайт провайдера?...
И я Вам отвечу:
- Для этого существуют национальные службы WHOIS. В России такую службу используют в РосНИИРОС. Посмотрим второй пример от спаммеров-вирусоводов:
***** ***** ***** ***** *****
Received: from mx2.mail.ru ([194.67.57.12]:7439 "EHLO mx2.mail.ru" ident:
"NO-IDENT-SERVICE[2]" whoson: "xfgftd" TLS-CIPHER: <none> TLS-PEER:
<none>by mail.yandex.ru with ESMTP id <S1383913AbSBXTzY>;
Sun, 24 Feb 2002 22:55:24 +0300
Received: from [195.34.27.70] (helo=Slwdgqdl)
by mx2.mail.ru with smtp (Exim 3.14 #1)
id 16f4j2-000AhG-00
for polar@yandex.ru; Sun, 24 Feb 2002 22:54:25 +0300
From: covalent <covalent@sukhoi.ru>
To: polar@yandex.ru
Subject: A excite game
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=Ja3hd10sz9A88unrcX8dN61
Message-Id: <E16f4j2-000AhG-00@mx2.mail.ru>
Date: Sun, 24 Feb 2002 22:54:25 +0300
***** ***** ***** ***** *****
Первым делом замечаем, что опять использованы тот же тип подписи в поле "From: ", протокол SMTP и "пересыльщик" Mail.Ru. Смотрим нижнюю строку "Received: ", видим IP-адрес "195.34.27.70". Идем в службу WHOIS (http://www.ripn.net:8080/nic/whois/), выбираем второе окошко сверху "ПОИСК В БАЗЕ ДАННЫХ RIPE", вводим туда IP-адрес, жмем кнопку "Search". Получаем как название провайдера, в данном случае - "PTT-Teleport Moscow", так и их адрес "ptt.ru". Еще одно замечание в копилку - этот человек опять пользовался дайлапом (дозвонкой). Далее делаем все то же самое, за исключением названий самих пунктов поиска, но в результате все равно видим телефон техподдержки, звоним, разговариваем, договариваемся о совместных действиях. Завтра с утра будет результат - если не номер его телефона, так хотя бы его отключение от Сети.
После чего идем публиковать этот текст в АвиаФоруме.
P.S. Небольшое приложение к этому тексту о сетевой безопасности: если Ваш Outlook Express не спрашивает Вас о том, надо ли открывать вложения в письмо, а открывает все пришедшие вирусы без запроса, то Вам стоит заглянуть сюда: http://www.microsoft.com/technet/sec...n/MS01-027.asp - это заплатка для Вашего почтового клиента. Как минимум Вы снизите вероятность заражения своего компьютера!
Ответить с цитированием
