Servizi di posta con messaggi di virus. Come vengono trasmessi i virus tramite e-mail. Vite senza fine Nimda
Un tipo speciale di virus di rete. I virus della posta utilizzano le capacità dei protocolli per la propagazione. E-mail. Inviano il loro corpo via e-mail come file allegato. Quando un utente apre un tale file, il virus viene attivato e svolge le sue funzioni. A causa di vari bug presenti nei programmi di posta dei client (in particolare Microsoft Outlook), il file allegato può avviarsi automaticamente quando si apre la lettera stessa, ad esempio il virus "I Love You". Per la distribuzione, il virus può utilizzare l'elenco di indirizzi archiviati nella rubrica del client di posta.
Per mascherarsi, i distributori di virus utilizzano spesso il fatto che per impostazione predefinita Microsoft Windows Explorer non visualizza le estensioni dei file registrati. Di conseguenza, il file allegato alla lettera con il nome, ad esempio FreeCreditCard.txt.exe, verrà mostrato all'utente come FreeCreditCard.txt. E se l'utente non controlla gli attributi esterni del file e tenta di aprirlo, verrà avviato il programma dannoso. Un'altra mossa ampiamente utilizzata consiste nell'includere 70-100 o più spazi tra il nome e la vera risoluzione nel nome del file. Il nome del file diventa:
« readme.txt.exe",
inoltre, Explorer Microsoft Windows Explorer, a causa dei difetti degli sviluppatori, mostra solo " leggimi.txt". Di conseguenza, l'utente, senza alcun sospetto, può provare ad aprire il file e quindi avviare il programma dannoso.
Inoltre, i messaggi di posta elettronica spesso vengono visualizzati sotto forma documenti HTML, che può includere collegamenti a controlli ActiveX, applet Java e altri componenti attivi. Quando si riceve un messaggio HTML client di posta ne mostra il contenuto nella propria finestra. Se il messaggio contiene componenti attivi dannosi, vengono immediatamente avviati e fanno il loro lavoro sporco. Nella maggior parte dei casi, i trojan ei worm di rete vengono distribuiti in questo modo.
Macro - virus.
I virus macro (o virus di script) utilizzano le capacità dei linguaggi macro integrati in vari Sistemi operativi e strumenti di elaborazione delle informazioni editor di testo, fogli di calcolo, sistemi finanziari, ecc.). Oggi, tali virus sono ampiamente noti per le applicazioni del pacchetto MSOffice, nonché per i casi di comparsa di macro-virus per il pacchetto 1C. Anche i virus per il sistema operativo Windows scritti in VISUAL BASIC possono essere considerati un tipo di virus macro.
Una caratteristica distintiva dei virus macro è la seguente:
Il corpo del virus è un file di testo contenente comandi e dati in macrolinguaggio;
Il macrovirus può essere attivato solo nell'ambiente in cui opera l'interprete del macrolinguaggio dato;
Il corpo di un virus macro viene solitamente inserito all'interno di un file di documento destinato all'elaborazione pacchetto software, che ha nella sua composizione il corrispondente interprete di macrolingua;
Il corpo di un virus, quando un programma è infetto, viene solitamente salvato nel programma insieme alle impostazioni dell'utente (ad esempio, il modello normal.dot dell'editor MSWord) o con moduli caricabili aggiuntivi.
I macro-virus lanciati da un documento infetto prendono il controllo quando un file infetto viene aperto, intercettano alcune funzioni del file e quindi infettano i file a cui si accede. I macro-virus sono in grado di "vivere" non solo sui singoli computer, ma anche di interagire con la rete se tali funzioni sono implementate nell'ambiente in cui viene elaborato il documento infetto.
Anche l'ambiente di "vita" dei macrovirus presenta segni esterni di infezione. Ad esempio, uno dei sintomi dell'infezione da MSWord è che non è possibile salvare i file utilizzando il comando "Salva con nome...". Oppure, se non riesci ad accedere alla voce "Macro" nel menu "Strumenti", anche questo è un segno di infezione.
Poiché i virus macro sotto MSWord erano i più popolari, ci soffermeremo su di essi in modo più dettagliato.
Innanzitutto, è necessario ricordare che l'intero pacchetto MS Office è costituito da macro. Qualsiasi azione eseguita su un documento viene eseguita utilizzando una macro. Ad esempio: stampa di un documento - " FileStampa", salvando il file - " FileSalva", salvando il documento in un altro file - " FileSalva come».
Per eseguire automaticamente una macro da un modello su un particolare evento, la macro deve avere uno dei seguenti nomi:
- autoexec – Viene eseguito all'avvio di MSWord o al caricamento di un modello globale
- autonuovo – Viene eseguito quando viene creato un nuovo documento
- apertura automatica - Viene eseguito all'apertura di un documento
- chiusura automatica - Viene eseguito quando il documento è chiuso
- uscita automatica – Viene eseguito all'uscita di Word o alla chiusura del modello globale.
In linea di principio, l'esecuzione di tali macro può essere annullata premendo il tasto Spostare durante l'esecuzione dei passaggi precedenti.
Inoltre, i creatori Microsoft Office ha semplificato il compito degli aggressori introducendo la possibilità di sostituire i comandi di MSWord con le macro utente. Pertanto, se il documento caricato ha una macro denominata, ad esempio, " Apri file”, quindi verrà eseguito ogni volta che viene aperto un altro documento. Cioè, verrà eseguito un virus macro con il nome corrispondente al posto della corrispondente macro dell'editor integrato.
Quando infettano MSWord, i macro virus salvano il loro corpo in un modello Normal.punto, ma potrebbero esserci anche altri modelli che vengono caricati all'avvio dell'editor e contengono virus di macro. Per fare ciò, l'editor utilizza l'opzione delle impostazioni "caricato automaticamente" a disposizione dell'utente dal menu: Servizio/ Opzioni/ Posizione.
In linea di principio, MSWord stesso è in grado di controllare il processo di caricamento delle macro all'apertura di un documento. Per fare ciò, è necessario impostare il livello di sicurezza nel menu: Servizio\Macro\Sicurezza. Il livello di sicurezza di MSWord è controllato dalla chiave di registro, ad esempio: MSWord 2000, controllato dalla chiave: HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Sicurezza, per le versioni successive dell'editor, "9.0" deve essere sostituito con "10.0", "11.0", ecc. Valori chiave, rispettivamente: 1, 2, 3 e altro ancora. 1 è il livello di sicurezza più basso, che consente l'esecuzione di qualsiasi macro senza avvisare l'utente. Qualsiasi macro eseguita con Win 9x, o con Win 2000, Win XP, Win Vista con un utente con diritti di amministratore, può modificare il valore della chiave in 1 e l'utente non sarà quindi in grado di tenere traccia dei successivi download di virus macro.
Prima di tutto, dobbiamo fare una piccola digressione su quello che è considerato un virus. Ora qualsiasi programma o file su cui giura un antivirus viene solitamente chiamato virus, anche se in realtà non lo è. Un virus è un programma che si riproduce (si copia molte volte) per infettare quanti più file e computer possibili (virus di rete). Tutto il resto è solo malware che non è in grado di propagarsi automaticamente. Per esistere, i virus devono in qualche modo diffondersi ad altri computer. Pertanto, sono progettati in modo tale che, dopo essere penetrati in un PC, possano spostarsi da esso ad altri. È così che si verifica l'infezione.
Il primo gruppo include i virus di avvio. Questo metodo di penetrazione è abbastanza comune. Qualsiasi supporto di memorizzazione (unità flash e scheda di memoria, floppy disk, CD-DVD, disco fisso) ha un settore di avvio. Quando accendi il computer, la prima cosa che legge sono le informazioni di avvio. Se le informazioni di avvio sono contenute nel disco, il computer le utilizza da solo per il corretto funzionamento. Tuttavia, se il disco è stato infettato da un virus, anche dal CD entra immediatamente nel computer, attivandosi. La maggior parte di questi virus "vivono" sul PC dell'utente per molto tempo senza rilevarsi. Sono progettati per essere distribuiti sulla rete e non danneggiano il computer. I programmi dannosi hanno spesso una sorta di sensore: si attivano all'ora loro assegnata ( Capodanno o Halloween). Questo viene fatto per accumulare una massa sufficiente di computer infetti e gli antivirus non interferiscono con questo. Tuttavia, alcuni virus iniziano a nuocere non appena entrano nel PC. Molto spesso sono programmati per formattare completamente (ripulire il contenuto) del disco del tuo PC. I programmi per infettare i file appartengono al secondo gruppo. Il virus rimane nella memoria del computer subito dopo l'avvio dell'applicazione infetta. Se questo virus non viene rimosso, tutte le applicazioni che apri sul tuo PC verranno infettate automaticamente. Ciò comporterà un aumento del numero di applicazioni pericolose. L'infezione di più applicazioni contemporaneamente è molto dannosa per il sistema. Di norma, i file che sono stati infettati potrebbero non causare problemi per un po'. Questo è esattamente ciò per cui sono pericolosi: durante il tempo in cui le applicazioni funzioneranno normalmente, il virus avrà il tempo di distruggere l'intero sistema. Il salvataggio errato dei nomi dei file o la memorizzazione parziale dei contenuti è il primo segno di infezione del computer. I programmi appartenenti a questo gruppo compromettono le prestazioni di tutti i programmi utilizzati per trasferire informazioni con altri utenti o computer sulla rete. Ad esempio, trasferimento documenti d'ufficio, screenserver, applicazioni che ti consentono di lavorare con la posta e file compressi, che vengono spacchettati da soli, soffrono in primo luogo. I virus "posta" costituiscono il gruppo dei programmi più pericolosi e diffusi per danneggiare il software del computer. E-mail con un file allegato è il vettore più comune di virus. Se il computer è stato infettato in questo modo, l'utente continuerà a inviare virus semplicemente allegando alla lettera il file necessario per l'invio. Allo stesso tempo, non indovinerà nemmeno che quando si allega un'applicazione, il virus si attacca da solo. Dopo aver aperto la lettera, la procedura viene ripetuta. Dovresti prestare attenzione alle lettere di utenti che non conosci. Ma anche se l'autore della lettera ti è familiare, potrebbe essere un distributore di virus senza saperlo. Pertanto, se ricevi un'e-mail con animazioni, battute, fogli di calcolo allegati, biglietti d'auguri, foto o documenti, controlla l'e-mail alla ricerca di virus. Spesso tali virus inviano indipendentemente e-mail infette a tutti gli utenti le cui e-mail sono archiviate nella memoria del computer. Pertanto, durante la diffusione, il virus danneggia la reputazione dell'utente. Ecco perché, prima di aprire una lettera, dovresti imparare il più possibile su di essa. Anche le lettere di persone famose si controllano meglio con un antivirus. Questo è l'unico modo per proteggere il tuo computer e i computer di altri utenti dall'infezione da vari tipi di virus. link utili215. I virus dei file infettano:
file grafici
file di fogli di calcolo
documenti di testo
File eseguibili
aree di servizio su disco
216. I macrovirus infettano
Aree di servizio del disco
Programmi che hanno un linguaggio macro
file eseguibili
file di avvio
documenti grafici
217. I virus delle bombe sono caratterizzati dal fatto che
infettare i file eseguibili
non rilevato dagli strumenti del sistema operativo
Non avere una fase di riproduzione
non hanno un codice permanente
infettare i file di avvio
218 I virus stealth sono programmi che...
stupire file di testo
distruggere le aree di servizio sul disco
disturbato da messaggi inaspettati
Non può essere visto tramite il sistema operativo
infettare i file eseguibili
219 I virus distruttivi distruggono
file eseguibili
Aree di servizio sul disco rigido
file di testo
File di fogli di calcolo
file grafici
Sono 220 i programmi soprannominati cavalli di Troia
file virus
Codici dannosi
virus macro
programmi innocui
221.Il virus è
programma che interessa solo file di sistema
Un programma in grado di eseguire azioni non autorizzate su un computer
programma che distrugge solo i file di avvio
programma che disturba i messaggi imprevisti
programma per nascondere i file
223 I virus informatici possono interessare
tutte le risposte sono corrette
Programmi e documenti
file video
file audio
file grafici
concetto di struttura fisica disco rigido Escluso
224 Potrebbe apparire un virus nel computer
quando si risolve un problema matematico
quando si collega un modem a un computer
spontaneamente
durante l'archiviazione dei dati
Sposta da floppy disk
225 Può verificarsi un'infezione da virus informatici
tutte le risposte sono corrette
Programmi e documenti
file audio
file grafici
file video
226 I virus informatici sono...
Un programma speciale di piccole dimensioni che può attribuirsi ad altri programmi, ha la capacità di "moltiplicarsi"
programma di controllo e riparazione del disco
software di deframmentazione del disco
qualsiasi programma scritto in linguaggi di basso livello
scansione del software da un floppy disk formattato male
227 I programmi soprannominati "cavalli di Troia" si riferiscono a:
programmi innocui
file virus
Codici dannosi
virus macro
228. Un computer può essere infettato da un virus quando:
Lavorare con un "programma infetto"
formattazione di un floppy disk
lanciare un programma antivirus
prove informatiche
riavviare il computer
229 Specificare un tipo di virus inesistente
Virus di installazione
virus di avvio
virus macro
i virus sono compagni
file virus.
230 Virus che infettano i file con estensione .com. exe
file virus
virus di installazione
virus macro
Virus DIR
231 Il programma Auditor rileva i virus...
controllare periodicamente tutti i file sul disco
controlla importanti funzioni del computer e modalità di possibile infezione
tiene traccia delle modifiche nei settori di avvio del disco
All'apertura di un file, calcola i checksum e li confronta con i dati memorizzati nel database
per data di infezione da virus
232 Specificare un tipo di software antivirus inesistente
Screener del programma
revisori dei programmi
filtri dei programmi
rilevatori di programmi
dottori auditor
233 Virus di avvio
Influisce sulle aree di sistema dei dischi rigidi e floppy.
cambia sempre il codice del file infetto;
infetta i file;
cambia sempre l'inizio del file;
cambia l'inizio e la lunghezza del file.
234 Scopo dei programmi antivirus chiamati rilevatori
rilevamento e distruzione di virus;
controllo modi possibili distribuzione di virus informatici;
Rilevamento di virus informatici;
"curare" i file infetti;
distruzione di file infetti.
235 Specificare i programmi che non sono antivirus
Scansione di programmi
rilevatori di programmi
Programmi fagici
revisori dei programmi
tutte le risposte sono corrette
236 Si verifica un'infezione con il virus "posta" ...
Quando ci si connette a un server web infetto da un virus "posta".
Quando si apre un file infetto inviato con un'e-mail
Quando si utilizza Internet
Quando ci si connette a un server di posta
Quando ricevi un file infetto con una lettera inviata via e-mail
Internet è uno spazio virtuale universale che ha offerto all'umanità molte opportunità straordinarie. Oggi è difficile immaginare un tempo trascorso senza utilizzare Internet o i suoi servizi. Questo è uno spazio così grande che contiene già miliardi di diversi siti e comunità, portali e forum e molto altro ancora. Ma, come di solito accade, con grandi opportunità arrivano sfide globali. E il primo pericolo sorto a causa di Internet è stata l'opportunità di dedicarsi all'hacking. Oggi ci sono intere comunità in tutto il mondo che sono attivamente impegnate in attività illegali e rubano costantemente dati o causano panico, sia tra gli utenti ordinari che tra le grandi aziende. Un esempio di ciò è l'enorme azienda Sony, che un tempo è stata oggetto di un massiccio attacco da parte di hacker e non ha saputo resistere. Di conseguenza, i dati personali di 77 milioni di utenti del sistema PlayStation sono stati rubati da loro. Ma non solo Sony è una vittima di questi intrusi. Ogni giorno attacco hacker vengono esposte molte aziende, siti Web, database e altri elementi costitutivi che utilizzano Internet.
Ma, hacker, questo non è l'unico problema moderno, oltre a questi ci sono anche attacchi di virus che hanno una portata molto più ampia. Questi virus possono danneggiare diversi milioni di utenti contemporaneamente. Un uso incauto di un programma con un virus può mettere in pericolo intere città e paesi. Per combattere i virus e proteggere il tuo computer, puoi utilizzare i suggerimenti in questa pagina. E oggi analizzeremo i virus più terribili nella storia del mondo dei computer.
Verme Morris
Questo è il leggendario e primo virus creato da Robert T. Morris nel 1988. Il creatore stesso non voleva danneggiare gli utenti di Internet, voleva solo misurare la scala dell'intera rete nel mondo, di conseguenza, ha causato danni, stimati in diverse decine di milioni di dollari. Il risultato della sua curiosità è stata la sconfitta dei nodi Internet, il cui numero ha superato i 5000 pezzi. La cosa più interessante è che il suo virus non solo ha colpito questi siti Internet, ma li ha completamente paralizzati, privandoli di ogni possibilità di svolgere attività, il che è paragonabile a un semplice arresto. Per quei tempi, la sconfitta di così tanti nodi era solo una catastrofe globale.
Virus della melissa
Un altro rappresentante dei virus più pericolosi, che, stranamente, prende il nome da una spogliarellista. Questo virus ha colpito immediatamente le migliori aziende del mondo, inclusa persino Microsoft con la loro presunta protezione incomparabile. Ma dopo l'attacco del virus, Microsoft ha dovuto chiudere tutti i suoi gateway di posta per prevenire l'infezione attiva con questo virus. Quindi è stato attraverso di loro che è passata l'infezione globale degli utenti.
Virus della posta ILOVEYOU
Il virus più semplice, che è stato sviluppato nelle Filippine nel 2000, si è rivelato in effetti spaventoso e distruttivo. Questo è il primo virus di posta che l'umanità ha incontrato.
Il virus era una semplice lettera che arrivava all'utente. Con l'intrigante titolo "Ti amo", ovviamente, tutti erano curiosi di approfondire, ma alla fine sembrava vuoto. Anche se questo vuoto era solo a prima vista. Nella lettera, infatti, era nascosto uno speciale script ".vbs", che si attivava dopo l'apertura della lettera e si distribuiva (sempre nel formato della lettera "Ti amo") a tutti gli utenti i cui indirizzi erano citati in cassetta postale utente interessato. Di conseguenza, la catena di questo virus si è diffusa in quasi tutto il mondo. Il danno totale che ne deriva è stato di quasi 15 miliardi di dollari.
E, sulla base del fatto che questo danno era di tale entità, il virus ILOVEYOU è stato incluso nel Guinness dei primati.
Codice verme rosso
Code Red è il capostipite della comparsa di virus classificati come "worm". Si è mostrato il 13 luglio 2001, quando un attacco di massa è stato effettuato dagli utenti di un server noto e popolare in quel momento, che aveva il nome "Microsoft IIS".
Il worm è penetrato attivamente nel nucleo stesso del server e ha iniziato ad agire là fuori, per essere più precisi, ha sostituito tutti i dati del sito con la frase incorporata in esso. E, quando gli utenti hanno aperto un sito in cui era penetrato il worm Code Red, invece delle informazioni, hanno visualizzato la frase "Ciao, il sito è stato violato dai cinesi!". Pertanto, centinaia di progetti sono stati interrotti e le prestazioni di molte aziende sono state interrotte. Il danno totale del virus è stato di quasi 2,6 miliardi di dollari.
Vite senza fine Nimda
Una curiosa coincidenza si è verificata con un certo virus chiamato "Nimda". Il fatto è che è apparso esattamente quando è avvenuta la tragedia negli Stati Uniti. Il triste destino delle due torri gemelle dove è stato inviato l'aereo. Di conseguenza, ci furono centinaia di vittime e un'enorme distruzione. Fu in questo momento che apparve questo virus. Pertanto, gli viene prescritta un'origine terroristica, presumibilmente, con l'aiuto di questo virus, i terroristi hanno continuato a terrorizzare la popolazione.
Lo scopo del virus era quello di infettare quanti più utenti possibile, di conseguenza gli Stati Uniti hanno subito una perdita di 635 milioni di dollari.
SQL Slammer
SQL Slammer è un altro malware che è riuscito a penetrare sistema Microsoft e infetta la maggior parte degli utenti. L'infezione ha attraversato un buco inosservato in SQL, che ha permesso al virus di diffondersi liberamente e rovinare le prestazioni dei browser Internet. Ha rallentato o interrotto completamente Internet.
Virus MS Blast
MS Blast è il virus più pericoloso esistente. Con la giusta combinazione di circostanze, è in grado di infettare Utenti Windows tramite uno speciale sistema di aggiornamento del sistema. Ma non solo infetta gli utenti, paralizza completamente il sistema, interrompendo così il sistema operativo.
Virus della posta Mydoom
Un altro rappresentante di una lettera apparentemente vuota e innocua. Molti utenti hanno ricevuto una strana lettera nella posta, aprendo la quale, l'utente ha trovato il messaggio "Farò solo il mio lavoro, niente di personale", dopo di che all'utente è stato impedito di accedere alle risorse Web di Microsoft, alle risorse antivirus specializzate (e loro applicazioni) e portali di notizie.
Verme Sasser
Un virus praticamente innocuo, ma altamente contagioso e fastidioso chiamato Sasser ha causato molti problemi. Dopo che il virus è penetrato nel computer dell'utente, ha infettato altri computer, o meglio, ha cercato un modo per entrare in altri computer, cosa che ha fatto bene, quindi ha infettato un numero enorme di computer. L'unica cosa che poteva nuocere era un semplice riavvio del computer, che avveniva quando voleva.
Virus spiritoso
BlackICE, un firewall popolare all'epoca, si rivelò una fonte di pericolo per tutti i suoi utenti. Fatto sta che ha avuto un piccolo errore nella protezione, che ha permesso agli aggressori di diffondere il virus Witty. Centinaia di migliaia di utenti sono stati colpiti da questa massiccia infezione. Il virus è penetrato nei loro computer e ha riempito lo spazio libero sui loro dischi rigidi con dati arbitrari.
L'invio di spam con allegati dannosi è un modo abbastanza diffuso per diffondere malware e infettare i computer degli utenti su Internet. Secondo varie società di antivirus, le e-mail con allegati dannosi rappresentano tra il 3 e il 5% del traffico totale di spam, il che significa che almeno ogni trentesima e-mail in un flusso di spam contiene una sorpresa dannosa.
Nonostante la Russia (sorpresa!) non sia tra i leader per numero di infezioni informatiche in questo modo (i primi tre sono tradizionalmente USA, Germania e Inghilterra), pensiamo sarebbe utile scoprire cosa rende molti utenti in diverse parti del mondo fare clic sul puntatore fare clic sugli allegati nelle e-mail di mittenti sconosciuti. Andare!
LETTERA DEL MALE
Indirizzo mittente (da campo)
La prima cosa di cui dovrebbe occuparsi un utente malintenzionato che invia spam dannoso è per conto di chi verrà effettuata la spedizione. I messaggi per conto di privati (se non si tiene conto dell'invio da un account di posta hackerato alla rubrica) non sono molto efficaci in questo caso, quindi vengono utilizzate varie società, organizzazioni e persino alcune autorità giudiziarie o esecutive.
I 10 migliori malware di posta elettronica
Di recente, i servizi di consegna internazionale (DHL, FedEx, United Parcel Service (UPS) o TNT) sono stati particolarmente apprezzati. Se ricordi, ecco come, sotto le spoglie di un rapporto di consegna da FedEx o UPS, distribuito
Criptoarmatore.
Il problema con l'indirizzo del mittente nel campo Da: (Da:) viene risolto dai cattivi in diversi modi:
Entrano nella posta dell'azienda desiderata e inviano lettere da lì (cosa estremamente difficile da implementare e quasi irrealistica, soprattutto quando si tratta di un'azienda grande e seria);
registrare un dominio con un nome molto simile al nome dell'azienda desiderata;
usa il servizio di posta gratuito registrandoti
ha qualcosa di simile [email protetta];
sostituiscono l'indirizzo reale del mittente (ci sono diversi modi per farlo, dai vari programmi e servizi su Internet agli script per l'invio di lettere).
Oggetto e-mail (campo Oggetto)
L'oggetto dell'e-mail dovrebbe attirare l'attenzione del destinatario e incoraggiarlo ad aprire l'e-mail. Naturalmente deve corrispondere al tipo di attività dell'ufficio per conto del quale è stata inviata la lettera.
Se la mailing list viene condotta, ad esempio, per conto di un servizio di consegna, gli argomenti di posta elettronica più popolari saranno:
Tutto ciò che riguarda la spedizione, il monitoraggio o la consegna delle spedizioni (notifiche di spedizione, stato di consegna, conferma della spedizione, documenti di spedizione, informazioni di consegna);
informazioni sull'ordine e fattura per il pagamento;
notifiche su messaggi e account (creazione e verifica di un account, ricezione di nuovi messaggi).
Esempi di compilazione del campo Oggetto in lettere per conto di servizi di consegna popolari
Per il nostro Paese sono più tipici gli invii per conto di vari enti statali e, in questo caso, gli aggressori scelgono gli argomenti appropriati, ad esempio "Decisione giudiziaria" (per conto del Servizio federale degli ufficiali giudiziari) o "Ricevuta di pagamento di un multa per violazioni del codice stradale” (a nome di chi vengono inviate lettere con un tema del genere, penso che tu abbia indovinato).
Testo e design della lettera
Per aggiungere credibilità alle lettere, gli aggressori utilizzano attivamente i loghi delle società sotto il cui nome lavorano, i dettagli di contatto e altre informazioni. Al fine non solo di convincere il destinatario della veridicità della lettera, ma anche di spingerlo ad aprire l'allegato, le notifiche di errori nella consegna degli articoli (indirizzo errato del destinatario, assenza del destinatario, ecc.), richieste intraprendere ogni azione indicando eventuali sanzioni in caso di inosservanza o frasi indicanti quanto in allegato (ad esempio, “relazione di riconciliazione”, “polizza di carico” o “fattura di pagamento”).
Inoltre, molto spesso vengono utilizzate varie frasi tipiche delle mailing list ufficiali (qualcosa come si prega di non rispondere a questa e-mail o questa è un'e-mail generata automaticamente ).
TIPI DI INVESTIMENTI DANNOSI
Allegato eseguibile
Nonostante il fatto che la maggior parte dei server di posta non consenta più file eseguibili attraverso se stessi, questo tipo di allegato dannoso si verifica ancora occasionalmente. Di norma, un tale file è mascherato da un documento innocuo (doc o PDF) o da un'immagine.
Allo stesso tempo, al file viene assegnata l'icona corrispondente e il file stesso prende il nome, ad esempio, "invoice.pdf.exe" (in questo caso, l'estensione exe è molto spesso separata dal nome del file grande quantità spazi in modo che non sia troppo visibile).
Allegati con archivio protetto da password
Un archivio protetto da password consente di aggirare tutti i controlli antivirus sui server di posta, firewall e scanner di sicurezza. Il file dannoso stesso, come nel primo caso, è camuffato da qualcosa di innocuo. La cosa più importante in questo caso è incoraggiare il destinatario a inserire la password specificata nella lettera, decomprimere l'allegato e aprirlo.
Documento allegato con exploit o script VBA dannoso
Una lettera del genere sarà in grado di superare il divieto di invio di file eseguibili e, in molti casi, la scansione antivirus sui server di posta (soprattutto se l'exploit è recente).
Le vulnerabilità più comunemente sfruttate sono:
Adobe Lettore acrobatico(CVE-2013-0640, CVE-2012-0775);
Adobe Flash Player(CVE-2012-1535);
MS Office (CVE-2012-0158, CVE-2011-1269, CVE-2010-3333, CVE-2009-3129).
Oltre agli exploit, i documenti di MS Office con macro VBA dannose possono essere utilizzati come allegati dannosi (sì, ci sono ancora persone che non vietano le macro in Word e gli antivirus non sempre rispondono a tali script).
Documenti HTML nidificati
Alla lettera è allegato un documento HTML con codice che implementa un attacco drive-by. Questo metodo consente in molti casi di aggirare i filtri antivirus dei server di posta, nonché i divieti che bloccano le transizioni attraverso l'iframe.
Collegamenti ipertestuali nel corpo dell'e-mail
Di norma, tali e-mail non contengono allegati e il testo dell'e-mail stesso contiene diversi collegamenti che portano alla stessa risorsa, che contiene una serie di exploit o reindirizza a un'altra risorsa dannosa. Tutti questi collegamenti sono mascherati da collegamenti a siti decenti e sicuri o testo normale.
CONCLUSIONE
Nonostante tutto, le e-mail di spam sono ancora un modo molto efficace per distribuire codice dannoso. E si può presumere che al diminuire del numero di vulnerabilità software e hardware, questo metodo verrà utilizzato sempre più spesso, acquisendo forme sempre più sofisticate per sfruttare la vulnerabilità più importante di qualsiasi sistema informativo- il suo utente.