November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Почтовые вирусы

dil: (Default)
[personal profile] dil
Tuesday, August 18th, 2009 01:32 pm

Вот все говорят про электронную почту как основную среду распространения вирусов в современных условиях.

А у меня есть достаточно засвеченный, но не используемый уже много лет адрес. Туда приходит исключительно спам. И вирусы. Последние 4 месяца почта на него принимается моим сервером и складывается в IMAP. Антивируса на сервере нет. То есть, он есть, но почту автоматически не проверяет. А сейчас я её проверил clamscan’ом:

———– SCAN SUMMARY ———–
Known viruses: 608892
Engine version: 0.94.2
Scanned directories: 1
Scanned files: 519
Infected files: 5
Data scanned: 45.40 MB

Всего 5 нехороших писем, из них три просто фишинговые:

Phishing.Heuristics.Email.SpoofedDomain
Phishing.Heuristics.Email.SSL-Spoof
HTML.Phishing.Bank-485,

одно маскируется под Greeting Card от ICQ  и содержит ссылку на какой-то зловредный card.exe

Email.Ecard-35

и только в одном натурально вредоносный код, но на VBS, который даже в windows в почтовых клиентах давно не работает:

VBS.Small-2

Так и где они, все эти страшные почтовые вирусы? Или я куда-то не туда смотрю?

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Tags:
Flat | Top-Level Comments Only

[identity profile] shadowtramp.livejournal.com
Friday, November 6th, 2009 05:39 pm (UTC)
Зависит. Как минимум от реализации клиента. Если клиент позволяет в рамках одной сессии меняться сертификату сервера, то это - кривая реализация. Единственная реальная уязвимость при авторизации клиентскими сертификатами с кривонастроенным сервером, который позволяет начинать сессию нешифрованным текстом.

[identity profile] dkfl.livejournal.com
Friday, November 6th, 2009 05:46 pm (UTC)
если честно, я ни хрена не понял. ни по-русски ни по-английски.

[identity profile] dil.livejournal.com
Friday, November 6th, 2009 05:52 pm (UTC)
если вкратце, то умные товарищи, воспользовавшись свойством протокола, научились вставлять в начало шифрованной сессии произвольный текст, причем ни сервер, ни клиент этого не замечают

[identity profile] dkfl.livejournal.com
Friday, November 6th, 2009 07:34 pm (UTC)
т.е. ключи шифрования раскрыты? иначе это просто мусор будет после дешифровки.

[identity profile] dil.livejournal.com
Friday, November 6th, 2009 09:23 pm (UTC)
не-а, ключи не раскрыты. MITM передает текст, шифруя его своим ключом, а потом для настоящего клиента обмен ключами происходит заново в процессе renegotiation
Flat | Top-Level Comments Only