Последний из нашумевших вирусов, имя которому MyDoom, ворвался в мой почтовый ящик во вторник 27 января. В принципе, ничего особенного - обычное спамерское письмо размером 32 Кб с вложенным zip-архивом, в котором содержался файл с двойным расширением htm.scr (некоторые особо наглые посылали сразу pif). Короче говоря, все как обычно (не знаю, насколько нужно быть невнимательным, чтобы подцепить эту заразу). Единственное, что привлекло внимание, так это массовость нежелательной корреспонденции: в день приходило по несколько десятков писем. Этот факт и наводил на мысли об эпидемии. Но по причине нехватки времени и из-за врожденной лени посещать новостные ресурсы я не стал. О названии вируса и обо всем, что с ним связано, довелось узнать другим, нетривиальным, способом.

Спамерский юмор

Перед тем, как удалить очередное сорное письмо в корзину, я обратил внимание на адрес отправителя: rsmith@ montereytechgroup.com. E-mail показался неожиданно знакомым... Повинуясь невнятным намекам памяти и озабоченно морща лоб, я полез в бумажную версию журнала Windows & .NET Magazine/RE (winnetmag.ru), открыл заглавие, по наитию выбрал имя Рэнди Франклин Смит и перелистнул на страницу номер 72. Точно! Рядом с фотографией упитанного и довольного мужчины было написано: Рэнди Франклин Смит - редактор Windows & .NET Magazine и президент компании Monterey Technology Group, которая занимается обучением и консалтингом в области защиты Windows NT. Связаться с ним можно по адресу: rsmith@montereytechgroup.com.

Ха, знакомый адресок! Ай да спамеры, ай да шутники... Это ж надо, прислали зазипованный вирус от имени товарища Смита (не путать с агентом Смитом). Получается, будто Рэнди Франклин Смит рассылает вирусы во все уголки мира, а в свободное время подрабатывает редактором авторитетного журнала и консультирует специалистов в области безопасности Windows NT. Шутка хоть и в американском духе, но для спамеров даже это является достижением. Так, благодаря чувству юмора своих отправителей, зловредное письмо временно избежало корзины и подверглось дальнейшему изучению.

Зуб за зуб, письмо за письмо...

По умолчанию, почтовый клиент показывает нам урезанную версию заголовка письма. В ней обычно содержатся заголовки: From, Reply-To, To. Но содержащуюся в них информацию легко подменить недостоверной (как в нашем примере), поэтому делать выводы, опираясь на их содержимое, нельзя. Помимо уже перечисленных, письмо содержит еще ряд заголовков. Просмотреть их можно, выбрав в почтовом клиенте соответствующую функцию, в М2 (встроенный клиент "Оперы") достаточно щелкнуть по ссылке "Показать все заголовки" (листинг заголовка письма приведен во врезке).

Просмотр всех заголовков позволяет более уверенно говорить об адресе отправителя. Самым информативным в этом смысле является Received: в нем указан весь маршрут, который письмо прошло до получателя. Делается это для того, чтобы в случае проблем недоставленное письмо могло вернуться обратно. Заголовок Received подделать гораздо труднее, поскольку он формируется уже после отправки письма серверами, через которые оно проходит. Однако стоит отметить, что спамер без особого труда может изменять атрибут from в нижнем заголовке Received, поэтому доверять следует только IP-адресам.

Заголовки Received (их обычно несколько) следует просматривать снизу вверх. Самая нижняя запись формируется при отправлении письма, самая верхняя - при его доставке получателю на почтовый сервер. Строка from unknown (HELO montereytechgroup.com) (81.3.135.38) by h1.moscow.neolocation.com with SMTP говорит о том, что вначале письмо было послано якобы с montereytechgroup.com на h1.moscow.neolocation.com по SMTP-протоколу. Чтобы проверить это, отправляемся по адресу www.geektools.com/whois.php, вводим IP-адрес 81.3.135.38 и смотрим на результат. А результат таков, что данный IP принадлежит некому ЗАО Peterstar, которое, судя по всему, предоставляет услуги хостинга. Как и следовало ожидать, montereytechgroup.com тут ни при чем (вряд ли они хостятся у питерской компании).

Итак, кое-что начинает проясняться: спамеры купили себе хостинг с поддержкой, допустим, Perl, и написали программу, которая автоматически отправляет письма с вложенным вирусом на другой сервер.

После этого умозаключения была написана жалоба в Peterstar, у которого хостится спамер. В письме был указан IP, с которого идет спам, и заголовок спамерского письма. Если моя жалоба будет не единственной, то компания должна расторгнуть контракт с таким клиентом, а то и сдать его "органам", ведь он не просто спамил, а рассылал вирус. В мировой практике для жалоб на спам существует специальный адрес, который выглядит как abuse@имя_компании.com (net, org и т.д.). Среди информации, которую выдает сервис Whois, такой e-mail обычно помечен как SPAM and Network security issues или что-то в этом роде (в данном случае адрес был abuse@peterstar.net).

Ну что ж, идем дальше. А дальше у нас другое поле Received: from h1.moscow.neolocation.com (217.16.18.180) by mx2.neolocation.com. Ага, знакомые все лица! Перед вами не что иное, как адреса серверов отечественного хостера "Экстмедиа". Как показал сервис Whois, IP-адрес 217.16.18.180 принадлежит российской компании "Мастерхост". Чтобы дополнительно убедиться, что имя сервера h1.moscow.neolocation.com не подделано, мы его немного попингуем (в консоли вводим ping h1.moscow.neolocation.com). Оказалось, не подделано - IP-адреса совпадают. Итак, в результате получается, что с московского сервера "Экстмедиа" письмо было перенаправлено на мой ящик (mx2.neolocation.com - это почтовый сервер компании).

Снова надо жаловаться: писать письмо на abuse@masterhost.ru, что с IP 217.16.18.180 рассылают вирусы и т.д., а также на abuse@extmedia.com (все-таки их серверы).

На следующий день пришел ответ от "Экстмедиа":

"Приносим свои извинения за доставленные неудобства, вызванные не вполне стабильной работой почтовых серверов. Причиной, которая вызвала эти перебои, а так же спровоцировала появление спама, стало распространение в сети вируса MyDoom...

...По последним данным, вирус вызвал увеличение сетевого трафика более чем в 5 раз, тем самым затруднив работу серверов и скорость доступа к интернет-ресурсам..."

И так далее. Прямо хроника с поля боя, даже порохом запахло в воздухе... Так, прослеживая путь спамерского письма, я впервые услышал о вирусе MyDoom.

Итог

То, что пришел только один ответ - лишь показатель уровня работы с клиентами у различных компаний, но это не является мерилом эффективности мер, предложенных в статье. Ведь, устанавливая почтовые фильтры, мы лишь ограждаем себя от спама, а жалуясь на него, наносим прямой удар по негодяям.

Кстати, автоматизировать процесс нахождения источника спама поможет сервис www.spamcop.net. Выбрав на сайте ссылку Spam reporting registration, авторизируйте себя при помощи e-mail, а затем скопируйте полный заголовок спамерского письма в окно редактирования и подождите: SpamCop выяснит, откуда сообщение поступило, и составит тексты жалоб во все необходимые инстанции.

Дмитрий БАРДИЯН,
localgroup@tut.by

Заголовки спамерского письма

Return-Path: <rsmith@montereytechgroup.com>

Received: from h1.moscow.neolocation.com (217.16.18.180) by mx2.neolocation.com with SMTP; 27 Jan 2004 08:11:08 -0000

Received: from unknown (HELO montereytechgroup.com) (81.3.135.38) by h1.moscow.neolocation.com with SMTP; 27 Jan 2004 08:11:06 -0000

From: rsmith@montereytechgroup.com

To: dima@positivno.com

Subject: Hello