Simos Xenitellis simos.lists at googlemail.com
Tue May 31 12:23:06 UTC 2011 

2011/5/31 ο ελάχιστος όλων <elahistos at yahoo.gr>:
> http://tdcassiut.fateback.com/find11.htmlxxxxxxxxxxxxxxxxxxx
>

Τι μπορούμε να μάθουμε από το παραπάνω γράμμα;

1. Όταν λαμβάνουμε τέτοιο γράμμα όπου προέρχεται από κάποιο «γνωστό» μας
και περιλαμβάνει ένα παράξενο σύνδεσμο, τότε πρόκειται για τυπικό spam.
Σε νεότερα spam μπορεί να αλλάξει το περιεχόμενο, ωστόσο τώρα παίζει
το στυλ όπου το γράμμα περιλαμβάνει ένα σύνδεσμο μόνο.

2. Ο σύνδεσμος έχει κακόβουλο περιεχόμενο, και προσπαθεί να
εκμεταλλευτεί τον περιηγητή σας.
Οπότε δεν επισκεπτόμαστε το σύνδεσμο.

3. Ποιος έστειλε το γράμμα; Κατά βάση δεν είναι ο φερόμενος αποστολέας.
Κατά πάσα πιθανότητα ο αποστολέας (δεν είναι σίγουρο) πήγε σε κάποιο μολυσμένο
Internet Cafe ή εγκατέστησε λογισμικό με δούρειο ίππο, και έγινε
διαρροή του διευθυνσιολογίου.
Οπότε, μιλάμε για κάποιον που γνωρίζει (είναι είναι ο ίδιος) τον
elahistos at yahoo.gr, είχε επαφή
με το έργο Slackintosh, κτλ.

4. Από που ήρθε το γράμμα; Επιλέγουμε View Original από το GMail μας
για να δούμε όλες τις κεφαλίδες.
Βλέπουμε συγκεκριμένα το κομμάτι που αναφέρει

Received: from [84.15.62.2] by web27908.mail.ukl.yahoo.com via HTTP;
	Tue, 31 May 2011 11:58:06 BST
X-Mailer: YahooMailWebService/0.8.111.303096

Οπότε είναι μέσω YahooMail (Web), από τη διεύθυνση 84.15.62.2.
Από που είναι το 84.15.62.2;

Βλέπουμε στο
http://whois.domaintools.com/84.15.62.2
και διαπιστώνουμε, Λιθουανία!
Οπότε οι spammers έχουν διασύνδεση στη Λιθουανία.

5. Και τι κάνουμε για τώρα ως Ubuntu-gr;
Έβαλα τη διεύθυνση του Γιάννη να γίνεται moderated, οπότε όταν στέλνεται γράμμα
να πρέπει να το επιτρέπει πρώτα κάποιος από τους διαχειριστές (Μιχάλης
Κ. ή εγώ).
Θα το αφήσουμε έτσι για 1-2 βδομάδες μέχρι να βαρεθούν εκεί στη Λιθουανία.

6. Τι κακόβουλο ήθελαν να κάνουν;
Μπορούμε να αναλύσουμε τη σελίδα του συνδέσμου που δίνεται.
Κάνουμε τη λήψη της σελίδας με wget, π.χ.

wget http://......          (δε γράφω το πλήρη σύνδεσμο)

και το αποτέλεσμα πάει σε ένα αρχείο find11.html.
Εκεί μέσα βλέπουμε διαφημίσεις για CMS, σχεδόν άκακο, ώστε στο τέλος
του αρχείου υπάρχει εντολή για αυτόματη μετάβαση σε νέα σελίδα,
www τελεία safetylife2011 τελεία org,
Δοκιμάζουμε και εκεί με wget και βλέπουμε το πραγματικό πρόσωπο του
κακόβουλου προγράμματος.
Προωθεί συνέχεια από το ένα δικτυακό τόπο στον άλλο, και φθάνει σε μια σελίδα
όπου πωλούν φάρμακα για αθλητές. Στη διαδικασία αυτή γίνεται καταγραφή
του ΙΠ μας,
και όπως φαίνεται ανάλογα με την τοποθεσία του θύματος, εμφανίζει το
αντίστοιχο spam.
ΜΗ φορτώσετε τα παραπάνω στον περιηγητή σας διότι μπορεί να εκμεταλλευτούν και
κάποια αδυναμία του λογισμικού σας.


Αυτά, ελπίζω να ήταν ενδιαφέροντα!
Σίμος

Ιστολόγιο: http://simos.info/blog/
Διαβάζετε Πλανήτη ΕΛ/ΛΑΚ στο http://planet.ellak.gr/

More information about the Ubuntu-gr mailing list