Spam trojanı
Bugün başa gelenler;
Kerio connect olan mail sunucumuzda şöyle bir kural var;
1. Bir ip 1 saat içinde en fazla 100 eposta gönderebilir (bunun exchange'de karşılığı yok diye biliyorum varsa düzeltiniz) (keşke bu ayarın ip yerine kullanıcılar için olanı olsa...)
2. Bir eposta içinde en fazla 100 alıcı olabilir
Trojan incelemesi;
Dün bir kullanıcının makinesine trojan bulaşıyor, trojan kullanıcıda yüklü olan antivirüs/firewall'u atlamak için adını outlook.exe yapıyor.
Outlook'dan bağlantıda kullandığı eposta adresini ve şifresini yakalıyor.
Daha sonra kerio connect'in web arabirimini kullanarak spam epostaları atmaya başlıyor. Kerio connect'te kurallar web için geçerli değil (kontrol edilmiyor).
Aynı trojan smtp'yi kullanarak outlook üzerinden spam epostaları göndermeye devam ediyor, bunu kurallar nispeten engelliyordu.
Trojanın spamlaması ile 3 karalisteye birden girdik.
Karalistelerden birinde sitede hesap açıp daha sonra delisting başvurusunda bulundum bir kaç saat sonra listeden çıktığımızı gördüm.
Diğer karaliste iki seçenek sundu, ya 89€ vereceksin veya bir hafta bekleyeceksin diyordu. Bu karalisteyi yahoo kullanıyordu ve yahoo'ya atılan epostalar geri dönüyordu. Bu sebepten parayı ödedik 3-4 saat sonra bu listeden de çıkarıldık.
Sonuncu karaliste için de, sitede hesap açtık, bir iki yazışmadan sonra karalisteden çıktık.
3 listeden çıkmak yaklaşık 9 saat sürdü.
Aynı trojan acaba owa'yı kullanabiliyormu diye merak ediyorum ama test etmek içinde exchange kurmaya hiç niyetli değilim.
Aşağıdaki örnekte web browser olarak opera görünmekte ama kullanıcıda opera yüklü değil.
Örnek gönderilmiş web epostası;
Not: Avira, kaspersky, nod32, avg, gdata, panda, sophos, trendmicro ve symantec yakalayamadı.Kod:Bcc: wayneeboh1@yahoo.com, wayneeboh1@hotmail.com From: "Kullanıcının adı dosyadı" <hanks@mail.com> Reply-to: dominic.hanks01@yahoo.com.hk Organization: Loan Offer Apply Now!!! Subject: X-Mailer: Kerio Connect 7.1.3 WebMail Mini To: undisclosed-recipients:; Message-ID: <20110724101640.44ce088b@xyz.com.tr> Date: Sun, 24 Jul 2011 10:16:40 +0300 X-User-Agent: Opera/9.26 (Windows NT 6.0; U; en) MIME-Version: 1.0 Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: quoted-printable Attn: We are certified loan lender, we offer secured loans to individuals and = companies at low interest, and we offer long and short term loans. Our f= irm has recorded a lot of breakthroughs in the provision of first class = financial services to our clients especially in the area of Loan and cap= ital provision for individuals and companies. Our service has been repo= sitioned and standardized to meet customers demand in an economical way.= We have brought ailing industries back to life and we back good busines= s ideas by providing funds for their upstart. For more details please reply immediately. Truly Yours Dominic Hanks.
Alıntı Yaparak Cevapla
