Win.Trojan.Agent в почте и headers_check в Postfix

Тут недавно отгребал кучу вирусни в почте, к сожалению наличие ClamAV с актуальными базами на почтовом сервере ниразу не спасало 🙁 Письма были шаблонные, тема одна и та же, вложение — zip файл photo.zip или iphone_photo.zip (несколько раз еще приходили transact_store.zip) который внутри содержит вирус exe-шник … основная разница только в том с какого хоста, от кого и кому шлют.
Вот примеры вложений с вирусом сохраненные из тех спам-писем для анализа, можете проверить на стойкость свои антивирусы 🙂
Надо? — жми!
Архив запаролен: FhiibNAfNm
Для тех кто верит мне на слово будет достаточно скриншота с содержимым данного архива:
Email with Virus
Вся эта беда сыпется по почте, ниже пример сообщения

исходник одного из писем:

Return-Path: <agnewt02@sys.sociopsychological.in>
X-Original-To: someaddress@mycompany.ua
Delivered-To: someaddress@mycompany.ua
Received: from mail.mycompany.ua (localhost [127.0.0.1])
by mail.mycompany.ua (Postfix) with ESMTP id E22FC763CA7;
Mon, 15 Sep 2014 12:17:07 +0300 (EEST)
Received: from sys.sociopsychological.in (36-230-126-224.dynamic-ip.hinet.net [36.230.126.224])
by mail.mycompany.ua (Postfix) with ESMTP id 58B6B763CB2;
Mon, 15 Sep 2014 12:16:45 +0300 (EEST)
Received: from [165.20.158.42] (account outdo66@sociopsychological.in HELO afejxuxztpyp.bjffe.com)
by 36-230-126-224.dynamic-ip.hinet.net (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 492044949 for s.dotserenko@mycompany.ua; Mon, 15 Sep 2014 17:17:09 +0800
Date: Mon, 15 Sep 2014 17:17:09 +0800
From: "Julia Love" <agnewt02@sys.sociopsychological.in>
X-Mailer: The Bat! (v2.00.0) Educational
X-Priority: 3 (Normal)
Message-ID: <9183206754.YO62B3QX557503@hrqdwpdnbj.skvrb.org>
To: <s.dotserenko@mycompany.ua>,
<s.kovaiev@mycompany.ua>,
<s.lysop@mycompany.ua>,
Cc: <s.lyn@mycompany.ua>,
<s.oberet@mycompany.ua>,
Subject: my new photo ;)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------2492012F5DFB36"
X-Virus-Scanned: ClamAV using ClamSMTP

my new photo ;)
if you like my photo to send me u photo
photo.zip

Спасение — headers_check в postfix (или аналогичный функционал в других MTA)
Бегло пробежавшись по доке сложил вот такие правила:

/^Subject: my new photo \;\)/ REDIRECT admin@mycompany.ua
/^Subject: Alert Transactions Report.*/ REDIRECT admin@mycompany.ua
/^Subject: Alert\: Order Details/ REDIRECT admin@mycompany.ua

Таким простым способом я завернул письма с темами:
my new photo 😉
Alert Transactions Report…дальше_все_что_угодно
Alert: Order Details
на себя.
Проверить работоспособность правил можно вот так:

postmap -q 'Subject: my new photo ;)' regexp:/etc/postfix/header_checks

или так, если у вас есть письмо целяком:

postmap -q - regexp:/etc/postfix/header_checks < /tmp/spam.msg

Включить headers_check в postfix можно прописав опцию в main.cf

header_checks = regexp:/etc/postfix/header_checks

после перезагрузки postfix, все вирусные месаги начали приходить мне 🙂 Я ими любезно накормил ClamAV Virus Database и SpamCop
После этого на виндовой машине проверил эффективность антивируса NOD … она оказалась нулевой с данным вирусом 🙂 «Ловить» NOD его начинал примерно через пару-тройку часов, после очередного обновления баз … впрочем как и ClamAV.
Также интересно то что вирус несколько раз модифицировали и история с антивирусом повторялась … начинает обнаруживать с опозданием в несколько часов. В мире зараза известна как Win.Trojan.Agent и распространялась по почте гигантскими масштабами. Думаю за месяцок-второй таких вот рассылок ктото сколотил себе нехилый ботнетик и собрал TB различных данных 🙂 Впрочем, это уже другая история …

Хай щастить!

  1. Комментов пока нет

  1. Трэкбэков пока нет.

Why ask?