Yop - Spam/Virus

ORDB se rebelle

Yannick — Fri, 28 Mar 2008 00:07:00 +0100

Ordb a cessé son activité en 2006 (cf ce billet)......Mais depuis 2 jours, leurs serveurs DNS répondent une IP pour tout sous domaine demandé. Ceci a pour conséquence de ne laisser passer aucun mail pour ceux qui auraient oubliés d'enlever relays.ordb.org de la liste des RBLs de leur serveur AntiSpam.

$ dig 1.2.3.4.relays.ordb.org +short
127.0.0.2
$ dig 11.222.3.4444.relays.ordb.org +short
127.0.0.2
$

L'info sur Slashdot:

At noon today (Eastern Standard Time), the long dead ORDB spam identification system began returning false positives as a way to get sleeping users to remove the ORDB query from their spam filters. The net effect: all mail is blocked on servers still configured to use the ORDB service, which was taken out of commission in December of 2006. So if you're not getting any mail, check your spam filter configuration!"

Vérification de virus

Yannick — Tue, 14 Aug 2007 01:12:00 +0200

vtuploader.pl est un script écrit par Cd-MaN qui permet d'uploader des fichiers suspects chez VirusTotal.com pour être analysés par plus d'une trentaine de moteurs anti-virus.

$ wget http://hype.free.googlepages.com/vtuploader.pl
$ chmod +x vtuploader.pl

Nous allons prendre pour tests les virus fournis dans le récent article http://blog.untangle.com/?p=96
Les détails sont aussi sur http://virus.untangle.com/

$ wget http://virus.untangle.com/samples.zip
$ unzip -P a samples.zip

$ ./vtuploader.pl -nv all/000_eicar.com
Processing file all/000_eicar.com
MD5: 44d88612fea8a8f36de82e1278abb02f
File size: 68 bytes

Upload finished, waiting for scanning
Enqued in position 10. Estimated start time between 93 and 133 seconds
Scanning. Scanned with 31 engines
Scanning done
Infection count 32 out of 32

File all/000_eicar.com

Antivirus...... Version ...... Last Update ......Result
AVG ...... 7.5.0.476 ...... 2007.08.13 ...... EICAR_Test
AhnLab-V3 ...... 2007.8.9.2 ...... 2007.08.13...... EICAR_Test_File
AntiVir ...... 7.4.0.60 ...... 2007.08.13 ...... Eicar-Test-Signature
Authentium ...... 4.93.8 ...... 2007.08.13 ...... EICAR_Test_File
Avast ...... 4.7.1029.0 ...... 2007.08.13 ...... EICAR Test-NOT virus!!
BitDefender ...... 7.2 ...... 2007.08.13...... EICAR-Test-File (not a virus)
CAT-QuickHeal ...... 9.00 ...... 2007.08.13 ...... EICAR Test File
ClamAV ...... 0.91 ...... 2007.08.13 ...... Eicar-Test-Signature
DrWeb ...... 4.33 ...... 2007.08.13...... EICAR Test File (NOT a Virus!)
Ewido ...... 4.0 ...... 2007.08.13...... Not-A-Virus.Test.Eicar
F-Prot ...... 4.3.2.48 ...... 2007.08.13...... EICAR_Test_File
F-Secure ...... 6.70.13030.0 ......2007.08.13 ...... EICAR_Test_File
FileAdvisor ...... 1 ...... 2007.08.13...... High threat detected
Fortinet ...... 2.91.0.0 ...... 2007.08.13...... EICAR_TEST_FILE
Ikarus ...... T3.1.1.12 ...... 2007.08.13 ...... EICAR-ANTIVIRUS-TESTFILE
Kaspersky ...... 4.0.2.24 ...... 2007.08.13...... EICAR-Test-File
McAfee ...... 5096 ...... 2007.08.13 ...... EICAR test file
Microsoft ...... 1.2704 ...... 2007.08.13...... Virus:DOS/EICAR_Test_File
NOD32v2 ...... 2457 ...... 2007.08.13...... Eicar test file
Norman ...... 5.80.02 ...... 2007.08.13...... EICAR_Test_file_not_a_virus!
Panda ...... 9.0.0.4 ...... 2007.08.12 ...... EICAR-AV-TEST-FILE
Prevx1...... V2 ...... 2007.08.13 ...... Win32.Malware.gen
Rising ...... 19.36.02.00 ...... 2007.08.13...... EICAR-Test-File
Sophos ...... 4.20.0 ...... 2007.08.12...... EICAR-AV-Test
Sunbelt ...... 2.2.907.0 ...... 2007.08.11 ...... EICAR (v)
Symantec ...... 10 ...... 2007.08.13...... EICAR Test String
TheHacker ...... 6.1.8.167 ...... 2007.08.13 ...... EICAR_Test_File
VBA32 ...... 3.12.2.2 ...... 2007.08.13...... EICAR-Test-File
VirusBuster...... 4.3.26:9 ...... 2007.08.13 ...... EICAR_test_file
Webwasher-Gateway...... 6.0.1 ...... 2007.08.13 ...... Virus.Eicar-Test-Signature
eSafe ...... 7.0.15.0 ...... 2007.08.10...... EICAR Test File
eTrust-Vet ...... 31.1.5055 ...... 2007.08.13...... the EICAR test string

Additional information

File size: 68 bytes
MD5: 44d88612fea8a8f36de82e1278abb02f
SHA1: 3395856ce81f2b7382dee72602f798b642f14140
$

Le test complet:

$ ./vtuploader.pl -nv all/*

Les résultats sont ici.

Chacun en tirera ses conclusions...

/!\ Le script est à utiliser avec parcimonie pour éviter un DOS sur VirusTotal.com ou un filtrage du script de leur part...

Recherche d'adresses emails "masquées" par Google

Yannick — Sun, 29 Jul 2007 19:07:00 +0200

Vous protégez votre adresse mail en l'écrivant:

moi [at] mondomaine [dot] com

allinurl:*(at)*dot*|allinurl:*[at]*dot*
Résultats 1 - 10 sur un total d'environ 1 780 000 pour allinurl:*(at)*dot*|allinurl:*[at]*dot* (0,33 secondes)

Le recherche Google

Source

Spam fortune

Yannick — Fri, 29 Jun 2007 21:04:00 +0200

sudo apt-get install fortunes-spam

$ fortune -o
Today's spam:

The best |/.|@.Cr./\!

Si on veut virer les "Today's spam":

$ head -1 /usr/share/games/fortunes/off/spam
Gbqnl'f fcnz:
$

Some of the fortunes are _really_ vulgar and obscene; you're warned. Plaintext files are "encrypted" with rot13.

sudo apt-get install gcipher

$ cat /usr/share/games/fortunes/off/spam | gcipher -C Rot -k 13 > spam2
$ head -1 spam2
Today's spam:
$
$ grep -v "Today's spam:" spam2 > out && mv out spam2
$ strfile -r spam2
"spam2.dat" created
There were 1011 strings
Longest string: 2540 bytes
Shortest string: 15 bytes
$ sudo cp spam2.dat /usr/share/games/fortunes/off/

$ fortune -o spam2

Do not visit this illegal websites!
$

SarkoSpam - Le bilan

Yannick — Sat, 21 Apr 2007 18:21:00 +0200

Bilan de l'affaire par Bertrand Lemaire

En gros... Aucune poursuite judiciaire malgré les nombreuses plaintes...

Le billet de l'époque

Live Spam Challenge 2007

Yannick — Thu, 12 Apr 2007 21:32:00 +0200

24 heures de spams (et de hams) en continu.
Qui trouvera le maximum de spams en faisant le moins de false positive ?

La page d'information
Le Pdf de description

(Microsoft est dans les parages...
...Via Slashdot)

La fin d'ORDB

Yannick — Mon, 18 Dec 2006 20:39:38 +0000

Extrait de http://ordb.org/news/?id=38

We regret to inform you that ORDB.org [...] is shutting down.[...]
We encourage system owners to remove ORDB checks from their mailers immediately and start investigating alternative methods of spam filtering.[...]
DNS and the mailing lists will vanish today, December 18, 2006.

Spam camouflage

Yannick — Thu, 16 Nov 2006 23:20:00 +0000

Encore un petite nouveauté...

Je vois 2 raisons à ce "camouflage":

La 1ère, c'est que l'OCR sera plus difficile car certaines lettres seront sur un fond de la même couleur.

La 2ème, c'est le ratio "pixels par octets":

En effet, devant l'explosion des spams contenant des images, des nouveaux moyens de défense ont dus êtres trouvés pour identifier les images contenant essentiellement du texte (à priori un spam).

L'une de ces nouvelles techniques pour détecter les images "spam" est d'étudier le ratio "pixels par octets"...

spamNormal.gif

12259 octets (12 Ko)
508x560 -> 284 480 pixels
Nombres de pixels par octets (ratio): 23

ImageNormale508x560pasSpam.gif

124793 octets (122 Ko)
508x560 -> 284 480 pixels
Nombres de pixels par octets (ratio): 2.2

NouvelleImageSpamCamouflage.gif

27154 octets (26,5 Ko)
700x400 -> 280 000 pixels
Nombres de pixels par octets (ratio): 10.3

A priori, la moyenne des images spams non "camouflage", a un ratio allant de 7 à 60 (en moyenne 35) alors qu'une image non spam a plutôt en général un ratio entre 1 et 10 (en moyenne 3).
Tant que les fonds d'images spams sont unis, le ratio étant en moyenne de 35, c'est très significatif, mais avec ce nouveau spam "camouflage" avec un ratio de 10, çà l'est beaucoup moins...

Tout le monde aura noté également l'anti OCR avec les lettres décalées...

Edit 20/11/2006 :

Spam sans URL

Yannick — Thu, 09 Nov 2006 00:57:08 +0000

De plus en plus de spams n'ayant pas de liens vers des sites webs...
Ceci pour contrer les détections basées sur les URLs (comme SURBL )

Ici la technique consiste à montrer l'URL dans un beau gif animé:

Le spam:

Le gif animé:

Spam en gif animé et OCR

Yannick — Mon, 23 Oct 2006 14:33:30 +0000

En ce moment, la mode est au gif animés.
Le but étant de contourner les différentes méthodes implémentant de l'OCR pour la détection de spam.

L'image finale:

Le séquencement à l'intérieur du gif:

[SURBL-Announce] PhishTank data added to SURBL phishing list

Yannick — Fri, 20 Oct 2006 13:52:33 +0000

Jeff Chan jeffc at surbl.org
Thu Oct 19 09:13:27 CEST 2006

I'm pleased to announce that we are now including PhishTank
data [...]

FUSSP

Yannick — Thu, 19 Oct 2006 23:13:41 +0000

Vous avez LA solution Anti-Spam car:
You Might Be An Anti-Spam Kook If

Vous n'envoyez pas de spams car:
Spam is that Which We Don't Do

Les spammeurs profitent des nombreuses sorties de services Google

Yannick — Wed, 21 Jun 2006 10:18:24 +0000

Tout le monde parle de Google Calendar ou encore de Google Browser Sync...mais c'est en exclu que je vous présente Google Pharmacy ! ;)

On notera l'Url en question:(voir cet ancien billet)

http://www.google.com/url?q=%68%74%74%70%3A%2F%2F%72%78%6C%69%73%74%2E%63%6F%6F%6C%69%6E%63%2E%69%6E%66%6F

Avec ici en prime un encodage de l'URL...

Je déconseille d'y aller avec un client graphique... ;)

SarkoSpam - Classement sans suite...

Yannick — Thu, 16 Feb 2006 18:51:29 +0000

Suite au SarkoSpam, des plaintes avaient été déposées...
... voici le résultat d'une de ces plaintes :(

Terminé le spam

Yannick — Thu, 26 Jan 2006 14:41:54 +0000

Two years from now, spam will be solved

Bill Gates - 25th January 2004 - World Economic Forum - Davos

Le petit lien1 qui va bien
Le petit lien2 qui va bien

Je crois que je n'ai plus qu'à fermer ma rubrique "Spam" alors..

Le Spam Sarko

Yannick — Mon, 03 Oct 2005 15:55:35 +0000

Quand les hommes politiques français se mettent aux spams...

Le ~~mail~~ spam reçu:

Les en-têtes:

Le spam provient de la "célèbre" société de Emarketing "EmailVision"

whois 84.14.78.161
inetnum: 84.14.78.0 - 84.14.78.255
netname: FR-EMAIL-VISION-NET-2
descr: FR-EMAIL-VISION
country: FR

Le contexte:

L'adresse email vers laquelle le spam a été envoyée est uniquement dans la base "whois" (hormis les bases de spammeurs ;) ) car c'est l'adresse associée à un nom de domaine. Cette adresse me sert uniquement à être informé lorsque le domaine vient à expiration. L'adresse n'a jamais été utilisée pour envoyer des mails, s'incrire à des sites etc...
L'adresse reçoit une centaine de spams par jour (et un mail de gandi par an ;) ) Cela n'empêche absolument pas le mail de prétendre qu'il est émis suite à mon inscription sur un site, comme le font tous les spams...

MAJ du 10 Octobre:
Plusieurs billets sur l'enquête de qui a acheté la base d'adresse a qui..qui l'a acheté a qui...etc...
http://blog2.lemondeinformatique.fr/management_du_si/2005/10/sarkospam_les_l.html

Spam et écriture verticale

Yannick — Wed, 14 Sep 2005 00:44:14 +0000

Pour éviter la détection de mots contenus dans les spams, on avait vu apparaître il y a quelque temps la méthode "d'écriture verticale" (employé dans le célèbre "University Diplomas")...

Cette méthode qui n'était plus beaucoup utilisée semble revenir...

Voici le source...
On peut noter les 2 premières lettres du premier mot de la ligne1, puis les 2 premières lettres du premier mot de la seconde ligne et ainsi de suite, rendant plus difficile la détection des mots par un filtre AntiSpam.

et voici le message tel qu'il apparaît au final, c'est à dire de manière parfaitement lisible:

Directory Harvesting et check_helo_access

Yannick — Tue, 14 Jun 2005 23:34:16 +0000

Même si le destinataire n'existe pas, le message est bloqué au moment du RCPT TO par le paramêtre postfix "check_helo_access" qui contient mes noms de domaines et mes Ips publiques...

Ceci permet de rejeter les machines qui envoient notre domaine ou notre IP en paramêtre HELO.
La RFC indique d'utiliser en paramêtre le nom FQDN de la machine émettrice (ou son IP entre crochet). Qui d'autre que mon serveur peut avoir ma propre IP ? (mes serveurs internes sont autorisé avant le check_helo_access par le paramêtre mynetworks...

Merci a tous les spammeurs et codeurs de virus qui utilisent des moteurs SMTP qui ne respectent pas les Rfcs..
Avec ce bloquage HELO, pas de risque de false positive...

On peut noter:

les destinataires dans l'ordre alphabétique (on est en plein dans les b)
le MAIL FROM change en cours..
Ip koréenne

A noter que Postfix rajoute par défaut un délai de 1 seconde pour chaque nouvelle erreur au bout de 10 erreurs, puis au bout de 20 erreurs, il coupe la session SMTP...

Jun 9 15:21:26 NomMachine postfix/smtpd-27461-: connect from unknown-211.105.250.100-
Jun 9 15:21:28 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<braun@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:28 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<brewer@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:29 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<brewster@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:29 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<bried@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:30 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<britton@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:30 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<broussard@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:31 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<bruno@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:32 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<bryson@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:33 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<bullard@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:33 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<bunch@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:34 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<burger@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:35 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<burgess@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:37 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<burgos@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:39 NomMachine postfix/smtpd-27461-: disconnect from unknown-211.105.250.100-

Phishing sur des banques francaise

Yannick — Thu, 02 Jun 2005 16:33:09 +0000

Ahhh ca y est.. du Phishing sur des banques francaise!

Voila le mail reçu:

Bon il y a un peu de progrès a faire pour le rendre crédible (message en Français surtout)

Le source avec ces liens de redirection:

Les alertes des principales banques concernées (pas trouvé pour le ccf)
Société Générale
BnpParibas
CIC

Un autre Wiki AntiSpam (qui parle évidemment de Postfix), celui du CRU

Yannick — Wed, 27 Apr 2005 16:34:36 +0000

Message venant de: De: Aumont - Comite Reseaux des Universites Date: Wednesday, April 27, 2005, 4:11:54 PM Sujet: rubrique antispam de www.cru.fr

==============Message original=============== * PGP Signed by an unverified key: 04/27/2005 at 03:11PM Bonjour

Nous vous informons de l'ouverture d'une rubrique anti-spam http://www.cru.fr/antispam . Ces documents sont le fruit d'un travail collaboratif de plusieurs administrateurs messagerie de la communauté, en particulier Fabrice Prigent et Jose Marcio Martins da Cruz.

Serge Aumont

On y trouve, entre autre à cette adresse, une petite note expliquant comment mettre les pièces jointes louches (aka .exe) dans la queue HOLD de Postfix, avec un script qui libère toutes les heures ces messages de + de 6 heures...
Ceci permettant à l'Antivirus de mettre à jour sa signature...