酷!學園

技術討論區 => 系統安全討論版 => 主題作者是: 日京三子 於 2003-06-22 00:11

主題: [警告]看到這種偽裝信件請小心!
作者: 日京三子2003-06-22 00:11
話說, 我最近一直收到這封信件, 偽裝的很高明:

----------- 引文開始 ------------


----------- 引文結束 -----------

起先, 我也以為是我的主機被人惡搞; 正在煩惱的時候, 冷靜的看了一下這個內容. "咦? 怎麼會有公司信件背景圖案, 取名是亂碼? " 再來, 上面有個很怪異的domain, www.7lk.com.cn.k666.com , 事實上為一個中國大陸盜版軟體網頁, 小弟從來沒去過, 也不曾有這方向連線紀錄, 怎麼會扯到我?

於是乎, 我觀察到一些蛛絲馬跡. 對方這ID(200306270259.h5R2xFQ10235)根本不存在(偽裝寄件者), 且中間經過一個Received: (from root@localhost) (偽裝寄件者IP); 這封信件預設的背景圖案是一張偽裝的病毒執行檔http://www.0912345678.com.tw/vivian4_background/HQYAAhgZFwcdOQ4GBx9UBgwUClcJCQBBFw8X.jpg(欺騙IE, Outlook 專用病毒, 看檔名是jpg, 其實是一個執行檔, Script)

且, 其中沒有任何跟我有關的domain name, 既不是我發出的, 收信的人也不是我, 何來廣告信之說? 此來源為一個免費信箱, 反而讓人不知道是使用者中毒or這台可憐的主機(mail2000.com.tw)中毒?


給大家作為參考! 並請各位先進分析一下各種可能, 多謝!
主題: [警告]看到這種偽裝信件請小心!
作者: paulso2003-06-22 19:07
所有不知什麼的信我也會立刻 delete,看也不看
主題: [警告]看到這種偽裝信件請小心!
作者: philiphsu2003-06-22 19:53
ㄛ,我也收到這麼兩封信耶,感覺納悶何時自己的 mail server 變成了轉信站。 :roll: 幸好沒有啥事發生。
主題: [警告]看到這種偽裝信件請小心!
作者: Tim2003-06-22 20:46
代碼: [選擇]
TC218-187-138-103.adsl.pl.apol.com.tw [218.187.138.103]
應該是這個來源。
所以,我將 apol.com.tw (亞太線上)的來信全部 deny ,並告知所有的同事預做因應。

我另外注意到其信件表頭有一個:
代碼: [選擇]
From: VIVIAN<vivian@www.0912345678.com.tw>

正在嘗試過濾中。
主題: [警告]看到這種偽裝信件請小心!
作者: 日京三子2003-06-22 23:14
其實, 重點是防禦這個檔案http://www.0912345678.com.tw/vivian4_background/HQYAAhgZFwcdOQ4GBx9UBgwUClcJCQBBFw8X.jpg[/list]

跟幾位前輩交換過意見之後, 大家的觀點一致認為, 這個0912345678.com.tw是有人故意申請用來放病毒木馬的網址(或者, 是離職員工所為) 之所以人人會變成病毒清單裡面的收件人, 這點原因不明; 但我們可以確定的是, 用非M$系的讀信程式就不會中招...

怎麼防禦, 不知道; 目前知道這個網域的擁有者是使用Hinet的單IP, 小弟也寫信請HINET的MIS幫忙處理與監控該用戶

大致上是這樣, 還請各位幫忙補齊其他防禦方法...
主題: [警告]看到這種偽裝信件請小心!
作者: duncanlo2003-06-23 00:39
最近也很反常,
還有0204主動打到手機來免費試聽,
不聽就在你語音信箱留言...
主題: [警告]看到這種偽裝信件請小心!
作者: 日京三子2003-06-23 00:42
引述: "duncanlo"
最近也很反常,
還有0204主動打到手機來免費試聽,
不聽就在你語音信箱留言...


來亂的..... (飛踢)~~
主題: [警告]看到這種偽裝信件請小心!
作者: Jerry Liu2003-06-23 10:18
看來我真的是太單純了 = =
我本來以為是想要騙我回信,然後就可取得系統管理者真正的ID
因為我收到的信都是寄給一些系統預設帳號........

看來我的警戒心還是不足,受教了,謝謝
主題: [警告]看到這種偽裝信件請小心!
作者: 日京三子2003-06-24 01:47
報告一下最新情況....

小弟以telnet嚐試得知www.0912345678.com.tw所使用的主機系統, 發現是SUN 5.6; 也寄信給它們的網管, 告知它目前的情況....

希望有好的回應...!
主題: [警告]看到這種偽裝信件請小心!
作者: adersun2003-06-25 17:11
不能在 access 裡 DENY Return-Path 為 admin 的信件嗎 ??

admin@ DENY
主題: [警告]看到這種偽裝信件請小心!
作者: 日京三子2003-06-25 18:26
引述: "adersun"
不能在 access 裡 DENY Return-Path 為 admin 的信件嗎 ??

admin@ DENY

很遺憾的, 不行.

他會自動把所有預設的帳戶全部寄送一次(似乎以M$所慣用的帳號為優先清單? )