Dario Cavallaro ha scritto: > Michele B ha scritto: >> Il 08/01/08, Alessandro Sappia<[EMAIL PROTECTED]> ha scritto: >>> Prendo spunto per chiedere delucidazioni : >>> Non mi spiego lo spam che riceve mio padre. >>> Ha registrato alcuni anni fa un dominio a nome della società di mia >>> madre, e lo usa come >>> suo indirizzo di posta. >>> [...] >> >> Ciao tutti, >> a mio modesto avviso non sembra propriamente spam, sembra più una mail >> mandata a mano con il mittente spoofato. Anche la firma dell'AVG >> sembra coerente. >> E poi dove starebbe il vantaggio economico dell'ipotetico spammer? >> l'unico vantaggio che mi viene in mente è a favore del dominio dove >> sta il server SMTP visto che chi controlla gli header è portato a >> visitarlo per vedere cosa vi risiede... ma non tutti sanno cosa sono >> gli header di un messaggio. >> Inoltre nell'output del whois sul dominio dove risiede la casella di >> tuo padre non appare mai il nome "Alessandro"... strano ti chiami per >> nome! >> > Non vorrei dire.... ma il nome potrebbero averlo messo a casaccio o > preso da alcune mail tirate in ballo da robot. Inoltre, se è vero che > i tag sono autentici, si sono scansionati una mail in uscita che ha > beccato il 40% come valutazione, salvata da una regola BAYES_00. Mi > risulta un attimo anomala per come è fatta la mail. > > Non credo nella storia del vantaggio degli spammer. A volte arriva > spam per ragioni anche incomprensibili. > > Infine farei notare anche le date, che non direi siano molto coerenti: > sinceramente due programmi sulla stessa macchina che lavorano con > timezone differenti non li ho mai visti, a maggior ragione se si > dovesse trattare di un prodotto con filtro integrato con l'smtp (non > conosco il tag MailScanner, che mi fa pensare a Trend però). > > Saluti > > Dario Cavallaro Concordo ^^
Giusto oggi ci sono state "evoluzioni" Allegato al file c'era un archivio ZIP (senza password) con alcine jpeg (aventi diversa estensione) e un EXE .NET Kaspersky non lo ha riconosciuto come virus, ma facendo una "più che veloce" analisi sembra un bot che raccolglie tutte la password memorizzare nel sistema, e le pusha verso un server remoto. Se trovo tempo di farne un'analisi più completa avrete notizie. Mi chiedevo dove fossero i tool di submission file sospetti (sul sito kasperski non l'ho trovato) Se poi qualcuno vuol vedere l'eseguibile .NET incriminato sarò lieto di inviarlo. Alessandro ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
