Интересные письма

[Basil/2 0]

Регулярно получаю письма с подобным заголовком, а текст обычно такой:

 

Kaspersky Anti-Virus Notification

 

The message from daylight50@schuetzencompagnie.de to alex@koptevo.net

was received by 217.78.176.238 from 68.187.243.150 on 2009-06-17 at 07:12:33Z

and processed as follows:

"Part skipped"

Reason: Trojan-Downloader.Win32.FraudLoad.epb

 

The anti-virus service found infected objects that might be removed for

your protection.

 

If you need the original message or want more information please address

to your system administrator.

 

Original message backup: N/A.

 

К сообщению обычно приложен файл с архивом, в котором находится экзешник. Я так понимаю это такой способ рассылки вируса, но интересуют пара вопросов:

 

- Действительно ли какой-то продукт ЛК может рассылать подобные сообщения? (или же текст - чистый креатив вирусописателей)

- Почему именно (и только!) Касперский? (все-таки в мире есть и другие антивирусы, но их в спаме не упоминают)

 

Сообщение от модератора wise-wistful

Объединил темы, т.к. об одном и том же

Изменено 23 июня, 2009 пользователем wise-wistful

[ТроПа 92]

Вы адрес отправителя внимательно смотрели? Я бы не поверил такому адресату.

[ROMIK 21]

Регулярно получаю письма с подобным заголовком, а текст обычно такой

 

Действительно ли какой-то продукт ЛК может рассылать подобные сообщения?

 

Нет. Сами подумайте серьезная антивирусная организация может рассылать экзешник вам без вашего ведома и т.д. ?

 

Проверьте этот экзешник на вирустотал, и результат выложите здесь.

Изменено 17 июня, 2009 пользователем ROMIK

[Самогонщик 374]

- Почему именно (и только!) Касперский? (все-таки в мире есть и другие антивирусы, но их в спаме не упоминают)

 

Да нет не только касперский просто касперский счас наиболее популярный АВ, видел еще от Макфее такое

[Basil/2 0]

Вы адрес отправителя внимательно смотрели? Я бы не поверил такому адресату.

Я и не поверил, как вы могли так плохо обо мне подумать!

Вопрос в другом:

 

Нет. Сами подумайте серьезная антивирусная организация может рассылать экзешник вам без вашего ведома и т.д. ?

Я понимаю, что серьезная антивирусная организация рассылать экзешники не может. Вопрос по САМОМУ ТЕКСТУ ПИСЬМА - продукты ЛК могут отсылать подобные предупреждения? (без экзешника, конечно)

 

Проверьте этот экзешник на вирустотал, и результат выложите здесь.

Проверил, downloader там какой-то - даже распаковать не получилось...

[Apollon 185]

даже распаковать не получилось...

Здраствуйте! дам вам совет никогда неоткрывайте незнакомые вам, файлы, а на оборот если есть возможность отправляйте их в вирлаб!

[Basil/2 0]

Здраствуйте! дам вам совет никогда неоткрывайте незнакомые вам, файлы, а на оборот если есть возможность отправляйте их в вирлаб!

Даже и не собирался открывать - только распаковать. Антивирус, как и положено, зарубил файл при попытке его создания.

Изменено 22 июня, 2009 пользователем Basil/2

[Basil/2 0]

Кстати, еще одно интересное письмишко получил:

 

Critical Update

 

Update for Microsoft Outlook / Outlook Express (KB910721)

Brief Description

Microsoft has released an update for Microsoft Outlook / Outlook Express. This update is critical and provides you with the latest version of the Microsoft Outlook / Outlook Express and offers the highest levels of stability and security.

Instructions

° To install Update for Microsoft Outlook / Outlook Express (KB910721) please visit Microsoft Update Center:

_http://update.microsoft.com/microsoftofficeupdate/isapdl/default.aspx?ln=en_us&id=7997529374365235200469199487729857

 

Quick Details

° File Name: officexp-KB910721-FullFile-ENU.exe

° Version: 1.4

° Date Published: Mon, 22 Jun 2009 12:27:53 -0600

° Language: English

° File Size: 81 KB

 

System Requirements

° Supported Operating Systems: Windows 2000; Windows 98; Windows ME; Windows NT; Windows Server 2003; Windows XP; Windows Vista

° This update applies to the following product: Microsoft Outlook / Outlook Express

 

Contact Us

© 2009 Microsoft Corporation. All rights reserved. Contact Us |Terms of Use |Trademarks |Privacy Statement

 

 

И обратный адрес логичный (Microsoft Customer Support <no-reply@microsoft.com>), и адрес по ссылке на сайт МС указывает. Все бы хорошо (не считая конечно того что подобное письмо я в первый раз вижу, а апдейты приходят через виндовый интерфейс)... но глянул на реальный адрес ссылки - и тоже хорошо! на первый взгляд А потом пригляделся - ба, вот в чем собака зарыта:

 

_http://update.microsoft.com.i11lih1h.com/microsoftofficeupdate/isapdl/default.aspx?ln=en-us&id=7997529374365235200469199487729857

 

Удовольствие увидеть это предоставляю вам самим

[Самогонщик 374]

Файл тоже заражен

22.06.2009 23:32:31 Обнаружено: Trojan-Spy.Win32.Zbot.gen Firefox _http://update.microsoft.com.i11lih1h.com/microsoftofficeupdate/isapdl/default.aspx/officexp-KB910721-FullFile-ENU.exe

 

Хороший результат 78,05% http://www.virustotal.com/ru/analisis/23d6...903b-1245699874

Изменено 22 июня, 2009 пользователем Самогонщик

[skoworodker 15]

Kaspersky Anti-Virus Notification

 

The message from daylight50@schuetzencompagnie.de to alex@koptevo.net

was received by 217.78.176.238 from 68.187.243.150 on 2009-06-17 at 07:12:33Z

and processed as follows:

"Part skipped"

Reason: Trojan-Downloader.Win32.FraudLoad.epb

 

The anti-virus service found infected objects that might be removed for

your protection.

 

If you need the original message or want more information please address

to your system administrator.

 

Original message backup: N/A.

помоему это всего лишь нотификация от антивируса на почтовом сервере, там даже написано что в письме вирус, написано какой, написано что если вам всёже нужно письмо целиком, обратитесь к сисадмину (с почтового сервера)

Изменено 23 июня, 2009 пользователем skoworodker

[Basil/2 0]

помоему это всего лишь нотификация от антивируса на почтовом сервере, там даже написано что в письме вирус, написано какой, написано что если вам всёже нужно письмо целиком, обратитесь к сисадмину (с почтового сервера)

Интересно, почему в этом случае:

1. Я не отправлял исходного письма

2. Адреса в сообщении откровенно левые

3. Приложен (в архиве) файл ecard.exe?

 

Хотя собственно я так и не увидел ответа на мой оригинальный вопрос:

могут ли настоящие антивирусы (и в первую очередь ЛК) рассылать подобные уведомления?

[hinote 116]

да, при соотв. настройке почтовый антивирус может рассылать подобного рода нотификации (не скажу сейчас на память точно ли соотв. приложенное письмо честной нотификации, или нет). Нотификации могут рассылаться оригинальному получателю, и (если админ почтовика малолетний дебил) - отправителю письма.

 

Дело в том, что протокол SMTP устроен так, что в нем нельзя подделать только 2 вещи - адрес получателя (иначе письмо уйдет другому) и IP-адрес последнего сервера.

Все остальное подделывается. Это тяжелое наследие времен arpa-net. Именно поэтому спам занимает 90% трафика и именно поэтому безбоязненно рассылаются вирусы.

 

Поэтому, если спамер\вирус\ботнет рассылает зловредов, используя подделанный (forged) обратный адрес отправителя - ваш, то такой неправильно настроенный антивирус отправит вам нотификацию, в который может вложить и исходный детектированный зловред.

[Basil/2 0]

Спасибо за ответ, теперь все понятно.