Dzīve internetā ar katru dienu kļūst arvien grūtāka un grūtāka, jo tu nezini kāds pārsteigums tevi sagaidīs kādā mājas lapā vai saņemtā e-pastā. Ja pirms kāda laika mēs vēl varējām šķobīties un varbūt pat pasmīkņāt par to, ka lietotājus ārzemēs ir vieglāk piemānīt, jo pārsvarā visi “pārsteigumi” tiek sūtīti svešā mēlē, tad tagad šie prieki skar arī mūs.
Pirms divām dienām es sāku saņemt jauna tipa vīrusus – I-Worm.Bagle. Padomāju vēl, ka jauna epidēmija sākusies un jāuzcep jauns filtrs priekš tā. Filtrs būs atrodams nedaudz zemāk.
Šajā sakarā šodien man atnāca vēstule kurā Maaris raksta sekojšo:
Uz vienu no kastēm atnāca forwardētais mails.
Links – standarta URL spoof (The bat 2.02.3 gan izgāzās – neparādīja ļaundarību…)
http://info.latnet.lv%01@asd-ltd.com/MWU2349330.html
Bet tur pieejamais failiņš ir trojānīc…http://www.kaspersky.com/remoteviruschk.html
Current object: MWU2349330.exe
MWU2349330.exe Packed: UPX
MWU2349330.exe Infected: Backdoor.BeastDoor.202.aVai Latvijas likumsargi beidzot varētu parādīt zobus?
Jāatzīst, ka it kā no Latnet pārsūtītā vēstule ir ļoti labi izveidota jeb patiesībā pārtaisīta un izskatās īsta, jo brīdina par iepriekš minēto svaigo vīrusu un ir uzrakstīta latviešu valodā. Par to varat pārliecināties paši (Vēstuli aizņēmos no ufo, jo viņš bija atsūtījis to pilnībā). E-pasta galviņu es nedaudz paravēju, bet interesantākas daļas palika.
Drošības iestādes varētu ieinteresēt šīs rindiņas. Izskatās, ka no Stanfordas universitātes nācis…
Received: from unknown (HELO smtp1.Stanford.EDU) (171.67.16.120) by ns2.latnet.lv with SMTP; 20 Jan 2004 23:22:23 -0000
Received: from google.com (rescomp-03-33862.Stanford.EDU [128.12.82.53])
by smtp1.Stanford.EDU (8.12.10/8.12.10) with SMTP id i0KNMGGo015932
Domāju, ka šādu pastu saņēma liela daļa Latnet klientu un visticamāk, ka noticēja, ka tas nāca no paša Latnet.
Apskatoties uz šo vēstuli arī es noticēju, ka tur viss ir “tīrs”, jo mans The Bat! 1.61 šo adresīti arī nemācēja korekti atrādīt. Kā jau pareizi sapratāt, tad tiešām joprojām plaukst un zeļ nesen atrastā ievainojamība ar nekorektu adrešu parsēšanu. Par to, ka ar adresi nav kaut kas kārtībā sapratu tikai, tad ka mans noklusētais pārlūks Mozilla Firebird vēra vaļā šo lapu un statusa joslā parādīja, ka meklētā adrese nav vis kaut kas latnet.lv, bet gan asd-ltd.com.
Ko teorētiski varētu darīt, lai mēģinātu izvairīties no šādiem āķiem?
1. Lāpīt savus pārlūkus, lai tie atrāda visu korekti, jo ar e-pasta klientiem izskatās diezgan čābīgi.
2. Lietot antivīrusus. Es pats pagaidām lietoju Dr.Web, jo tas man netraucē darbam un nebremzē sistēmu. Bet principā nav svarīgi kāds antivīruss ir lietošanā, galvenais, lai tas dara savu darbu.
3. Liekot ielāpus, pārliecinieties, ka tos piedāvā tiešām drošs avots. Īpaši pārbaudot pārsūtītos (forwarded) sūtījumus. Šajā gadījumā uzklikšķinot uz saiti, kas tiek dota e-pastā lietotājs tiek piemānīts. Laikam jau vienīgais veids kā pārliecināties par dotās saites autentiskumu būtu vienkārši to iekopēt un ievietot sava pārlūka adreses lauciņā un tikai tad vērt vaļā. Lai gan neesmu pārliecināts, ka ar Microsoft komplektu šo pārliecību var gūt. Te nu jāņem talkā otrais punkts.
Tad nu nobeigumā ļoti primitīvs filtrs The Bat! lietotājiem, kas paši nevar izdomāt savu. Filtrs ne tuvu nav perfekts, bet man strādā un vairāk šos brīnumus neredzu.
Ņemam Account – Sorting/Office filters un Incoming mail.
Taisam jaunu filtru.
Iekopējam “Test, yep.” un zem Location izvēlamies “Text”
Nospiežam pogu Add un taisam jaunu ierakstu.
Iekopējam “Hi” un zem Location izvēlamies “Subject”.
Tālāk sadaļā “Actions” ieliekam ķeksi “Mark the message as read” un vēl divus ķekšus pie “Delete the message” un “Delete the message from server”.
Sadaļā “Advanced” ieķeksējam “Message has attachments”.
Pēc būtības, drošības labad varētu pielikt vēl izmērus, bet es paļaujos uz varbūtību, ka pietiks ar šiem kritērijiem. Galu galā, kas neriskē tas nedzer šampanieti 🙂
Un kā vienmēr aizmirsu pašu galveno. Šis noteikums ir jāuzbīda pašā augšā, lai tas tiktu izfiltrēts pirms citiem filtriem, kas jums šķiro sakarīgo pastu.
Jauki, kol lai vēl saka. Vienreiz jau uzkerties vajadzēja. Katram gadās 🙂
Man ieteikums tomeer buutu ielikt tos divu veidu pievienotaa faila nosaukumus un peec tiem filtreet… Vai vismaz Kuulinka pasha izteikto domu par maila izmeeriem. Preteejaa gadiijumaa Vaards Artim suutiis mailu, kur buus topiks “Re: Hi”, un tekstaa palikushaas shiis kjeskas no viirusa – un kukuuu… Mails aiziet nebuutiibaa :(Neesmu The Bat speciaalists&lietotaajs, bet neticaas, ka shams reagjees ar shaadu filtru savaadaak, ja tajaa subjektaaa & mailaa buus biski vairaak papildus informaacijas).
Mans vecais e-pasts *@inbox.lv, pēdējā laikā aizvien vairāk saņem sapmu un izrādās, ka arī no tā e-pasta uz visādām citām adresēm tiek izsūtīts vīrus, man tik atnāk atbilde, ka fails saturēja vīrusu, ko patiesībā neesu darijis…
Davai paņem ciet a nu ka šitos āžus. Latvieši bļeģ. Lohi mazie. Vot, ja kādu latviešu āzi atradīs, tad viņam nevis jēlu tiesu kā ārzemēs (mums vispār var tiesāt par šito?), bet prosta savākt entuziastiskus Interneta lietotājus Līvu laukumā un to džeku ar jēlām olām nomētāt. Kad metīs pāris simti kopā, tad jutīs vecaiszēns bļe.
Vaards: Ja tu arī atsūtītu tādu meilu, tad tas tiktu nolaists podā pie nosacījuma, ja tajā izpildās arī pārējie divi kritēriji:
1. ir strings “Test, yep.”
2. ir pievienotais fails.
Bez tam, tik izteiksmīgu subject kā “Hi” es vēl neesmu saņēmis ne vienu reizi. Tāpēc arī samazināju iespējamību, ka kādreiz tādu saņemšu.
Patiesībā es nezinu kā var filtrēt pēc faila nosaukuma vai matchotu tikai īpašu paplašinājumu un man ir slinkums meklēt. 🙂
Ja kāds zin, padalās ar infu…
nu vai tad tik gruuti saprast kuru attachu veert un kuru nee!!
nekaadiigi nesaprotu tos, kuri uzkjeras uz shitiem jokiem
Latnet klientus brīdināja un man nekas tāds nav pienācis, jo jamiem ir arī spam filtrs iespējams.
Šajā sakarā šodien man atnāca vēstule kurā Maaris raksta sekojšo: – pirms paliigteikuma VIENMER liek komatu.. 😉
shiis nav kaut kaadas baumas? tb par to latvisko tekstu unstenfordas universitaati, izklausaas varen nelogiski un vispar jociigi.
mjā, tiešām. nafig automātiski dzēst laukā? mana pieredze rāda, ka manuālā sortēšana ir viss labākā metode – mierīgi novērtē epastus un domā ko vērt, ko nē… .exe failus vispār veru tikai gadījumos, ja zinu ka tādu man tieši tas cilvēks sūtīs un vienmēr skatos kāds ir tā nosaukums, nekāds ME&553535.exe neveru vaļā…
xtra: es arī kādreiz “krāju” vīrusus, bet, tad saskāros ar nelielu problēmu – disku tie maitas vienā dienā piedirsa tā, ka maz neliekas. Kopš tās reizes esmu kļuvis nežēlīgāks… Tādu greznību var atļauties, ja tev meiliem ir atvēlētas pāris gigas, man tur tikai pusgiga brīva uz tā diska, ko piedirš pāris stundu laikā.
un daudzi uzkjeeraas… paaraak daudzi 😉
To grr:
Nau, nau baums, pats taadu joku shodien sanjeemu, un nospiedu uz linka, godiigi domaadams, ka palasiishos ko LatNets pa to raksta. A figu tev – izleca googlis, kas teica ka taadas lapas nav.
Tad nu paarkopeeju to linku manuaali… Arii tad nekas neatradaas, tb LatNetam taadas lapas nema. Tad veel nesapratu kas par fiichu un izdzeesu to mailu aaraa. Peec kaadaas stundas – divaam no LatNeta atskreeja veelviens mails ar briidinaajumu uzmaniities no shii explorera cauruma, un tad man apmeeram pieleca kas par lietu.
man atkal šitāds pats e-mails atnāca itkā no mailservera edgar1.colorado.edu
trojāna apraksti:
http://securityresponse.symantec.com/avcenter/venc/data/bac kdoor.beasty.d.html
http://www.pestpatrol.com/pestinfo/b/backdoor_bea stdoor.asp
Vajag lietot MailWasher, pārbauda e-pastu uz servera (POP3, IMAP, AOL un Hotmail/MSN) un pēc vajadzības var nodzēst spamu, vīrusus un pārējo nevēlamo e-pastu.
Drusku rēcīgi sanāca ar šo vīrusu Beagle. Atnāca tāds, sākumā neievēroju, ka mailam ir pievienots fails, atbildēju ar reply, prasot, kas par lietu, ko tas nozīmē :)) Labi, ka neizlamājos pārāk rupji 🙂
Biju pārliecībā, ka uz to pastkastīti vīrusi nevar pienākt, jo mailserveris tos filtrē, taču šis gadījums pierādīja, ka atjaunot antivīrusu datubāzes vajag regulāri un pietiekami bieži. Pēc jaunināšanas atkal viss mierīgi, bet izskatās, ka apkārt gan epidēmija liela.
Vispār izskatās ļoti ticami. Zēni sastādot textu ir rūpīgi piedomājuši.
paarsteidzoshi, ka
Subject: .spalei swodniW ,ajimedipe A epidemija, Windows ielaps.
nevienam nav licies aizdomiigs :/
Šķiet pārāk precīzs Tev tas trojana apraksts ir sanācis, jo vīrusu ķērājs kliedz jau pie pods.lv sākuma lapas: Exploit-URL Spoof.gen
Jā jā… skiet DSListi jau blandās apkārt izplatīdami.
Pirmdien jau savam serverim sāku likt filtrus:
80.232.159.237 REJECT Virus spammer (puportedly from admin@the3d.net)
213.175.116.227 REJECT Virus spammer (purportedly from ramona28@one.lv)
Vairak gan patlaban nav nākuši.
Return-Path:
un tas, ka biju lasijis, ka ielaaps veel nav iznaacis, lai gan meilaa bija rakstiits, ka ielaapu var nokachaat SHEIT 🙂 kaa arii interesantais Subject lika man apdomaat vai tik tieshaam ir veerts atveert sho linku 🙂 Labi, ka neatveeru.
Man te arii na dnjax atnaaca viens viiruss (2x). Ar pirmo eksemplaaru viss buutu labi, bet otrais tika suutiits no manis man. t.i. FROM “karuuzo” TO “karuuzo”. Kaa tas vinjiem sanaaca ir skaidrs, njemam address list un taisam visas kombinaacijas FROM-TO, bet interesnati, kaa vinji to dara? Vai to var panaakt ar normaalu e-pasta klientu, vai tas meils tiek rakstiits “notepad” un tad jau iedots serverim kaa normaals meils?!! Lai vai kaa, bet patiikami, ka sanjem no sevis viirusu :))
m
PS. 2 ShAx: Ja jau pats sev var suutiit viirusus, nemaz nezinot, tad nav ko briiniities, ka tie tiek suutiiti tavaa vaardaa :))
karuuzo, tur nav ko brinities, virus sevii ietver vienkarshotu SMTP serveri
2 ui: Bet no manas mashiinas tas toch nav laists 😕 Varu garanteet.
m
vairuma gadijumu taa arii ir, bet ljaudis joprojam satraucas. nevienam nav patikami sanemt mailu, kura rakstiits, ka “juus suutiijaat…”
baa nu kas tas par linku uz mailwasher )));
pirmaamkaartaam maksas o come on
otraamkaartaam ((; tef ir jaadod savs e pasts doh
un vinji atklaataa tekstaa saka gribi vai nee sanjemsi (itkaa 3) muusu sexiigos piedaavajumus un jebkuraa laikaa vareesi atteikties no tiem hmzss taatad buus vairaak par 3 un mana e adrese tiks veel daaljaata visiem kas vinju gribees
nu senks
es netaisos maksaat taadu cenu par triaalo versiju ((;
par 30 dienaam pilnu pasta kasti ar spamu
kaut kaa nelodjiski sanaak it kaa spama filtrs bet pats ir spamo uz nebeedu