Как Найти Спам Бота В Локальной Сети

Мобильная версия статьи Злобные программисты не спят ночами и не отдыхают днями, пытаясь засадить очередного спам-бота в компьютер честного пользователя. Они зарабатывают деньги на нашем трафике, засвечивая нас в блеклистах и выставляя в дурном свете перед начальством.

В этой статье мы взглянем на спам-боты с позиции защитника добра и справедливости, проведем вскрытие и научимся их убивать.

Капля истории Исторически методики рассылки спама пережили три базовых этапа: Этот метод до сих пор применятся, но эффективность его невелика, и с таким спамом очень просто бороться путем внесения почтового и ip-адреса отправителя спама в черный список. Программы автоматической рассылки спама. Могут быть выполнены в виде утилиты под Windows или скрипта для размещения на web-сайте.

В сущности, это автоматизированная разновидность метода 1, и иногда она работает по принципу лохотрона — пользователю обещаются золотые горы, если он примет участие в рассылке спама при помощи указанной программы. Доверчивые пользователи ловятся на это, принимают участие — в результате они и денег не получат, и их ip попадает в черные списки.

Рассылка спама при помощи сети троянских прокси и спам-ботов. Этот метод наиболее популярен и актуален в настоящее время и поэтому заслуживает детального рассмотрения. Схема работы типового спам-бота Во-первых, для построения сети троянских прокси или ботов необходимо каким-либо образом заразить множество компьютеров этим самым ботом. Достигнуть этого можно при помощи эксплойтов, Trojan-Downloader, почтовых или сетевых червей.

Наиболее простая схема — это Trojan-Downloader, который после запуска доверчивым пользователем затаскивает на пораженный компьютер все остальные компоненты. Далее, после установки и запуска, спам-бот связывается с сервером владельцев. Несложно догадаться, что для работы ему необходим список email-адресов, по которым следует рассылать спам, параметры рассылки и шаблоны самих писем. Чаще всего получение этой информации ведется по многоступенчатой схеме — на первом этапе спам-бот посылает своим хозяевам информацию о том, что он запущен с указанием IP-адреса пораженной машины, ее характеристиками и неким уникальным идентификатором — шаг 1 на схеме , в ответ получает конфигурацию шаг 2 , содержащую, в частности, URL серверов, с которых ему следует загружать списки адресов и шаблоны спама.

Далее спам-бот загружает базу адресов шаг 3 и шаблоны шаг 4 , после чего приступает к рассылке. Важной особенностью является то, что спам-бот вместо тупой рассылки заданной текстовки по списку адресов может модифицировать текст, дополнять его картинками или представлять в виде графики в соответствии с заданным алгоритмом и шаблоном. После завершения рассылки порции писем многие спам-боты посылают отчет о проделанной работе шаг 5.

Отчет может содержать статистические данные количество успешных рассылок и ошибок и список адресов, по которым не удалось разослать спам. Для пользователя появление на компьютере спам-бота является крайне неприятным событием. Во-первых, он накрутит ему десятки мегабайт трафика.

А во-вторых, IP пораженной машины с высокой степенью вероятности попадет в черные списки, и в дальнейшем возникнут проблемы с отправкой нормальной почты.

Это особенно важно для фирм, имеющих свой почтовый сервер и статический IP-адрес — всего один юзер со спам-ботом может причинить массу головной боли админам. Построение сетей из спам-ботов является прибыльным бизнесом — объектом торгов может быть сам спам-бот, готовая сеть из таких ботов или платная рассылка спама, осуществляемая ботами.

Бороться с рассылаемым при помощи ботов спамом намного сложнее — фильтрация по IP не эффективна, а модификация писем затрудняет отсев по контексту при помощи байесовских фильтров или сигнатурных анализаторов. Помимо спам-ботов существует еще одна методика рассылки спама, основанная на применении так называемых троянских прокси Trojan-Proxy , которые позволяют злоумышленнику работать в сети от имени пораженной машины.

Типовой алгоритм работы троянского прокси состоит в открытии на прослушивание некоторого TCP-порта иногда номер порта статический, но чаще произвольный — для затруднения обнаружения путем сканированием портов , после чего он связывается с владельцами и передает им IP и порт. Далее он работает как обычный прокси-сервер. Многие троянские прокси умеют размножаться по принципу сетевых червей или при помощи уязвимостей. Важно отметить, что существует множество гибридов — например, спам-бот может обладать функцией Trojan-Downloader для загрузки своих обновлений или установки дополнительных компонентов.

Рассмотрим реальный пример — зловреда Trojan. Его установка начинается с загрузки из интернета дроппера размером около 29 Кб. Запустившись, дроппер создает на диске файл C: Далее он внедряет троянский код в процесс winlogon. Работает библиотека по описанному выше алгоритму — получает задание и начинает методичную рассылку спама. В качестве лирического отступления следует заметить, что среди троянских прокси и спам-ботов метод автозапуска в качестве расширения Winlogon весьма популярен.

Его плюс в том, что работа идет из контекста winlogon. Если еще добавить руткит-маскировку, восстановление ключей реестра и монопольное открытие файла, то получим труднообнаруживаемого и трудноудаляемого зловреда.

Теперь посмотрим на спам-бота с точки зрения защиты. Конечно, для борьбы с ними можно посоветовать антивирусы, Firewall и проактивную защиту… Но на самом деле детектировать наличие спам-бота очень несложно и без них. Дело в том, что даже в случае идеальной руткит-маскировки, спам-бота выдает рассылка спама — достаточно вооружиться сниффером и посмотреть, что твориться в сети.

Выбор сниффера в данном случае не важен, но желательно, чтобы он умел реконструировать TCP-сессии и накапливать статистику. Мне для таких опытов нравится использовать CommView, очень неплох Ethereal. Обнаружив в сети зараженную спам-ботом машину, мы увидим примерно такую статистику на рисунке 2 показан трафик сегмента сети из двух компьютеров: Далее можно отфильтровать обмен по порту 25 TCP и посмотреть содержимое пакетов. Протокол SMTP — текстовый, поэтому рассылка спама засвечивается по содержимому писем.

Фрагмент обмена с SMTP-сервером Аналогичным способом, кстати, можно ловить почтовых червей — разница с точки зрения трафика лишь в том, что червь рассылает свои копии вместо спама. Однако у сниффера есть один большой минус — он слишком громоздкий для оперативной проверки компьютера и требует инсталляции. Кроме того, не сложно изготовить собственный детектор спам-ботов при помощи C на основе анализа сетевого трафика.

Спам изнутри сети (как найти с какого компьютера)

Наиболее простая схема — это Trojan-Downloader, который после запуска доверчивым пользователем затаскивает на пораженный компьютер все остальные компоненты. Далее, после установки и запуска, спам-бот связывается с сервером владельцев. Несложно догадаться, что для работы ему необходим список email-адресов, по которым следует рассылать спам, параметры рассылки и шаблоны самих писем.

Чаще всего получение этой информации ведется по многоступенчатой схеме — на первом этапе спам-бот посылает своим хозяевам информацию о том, что он запущен с указанием IP-адреса пораженной машины, ее характеристиками и неким уникальным идентификатором — шаг 1 на схеме , в ответ получает конфигурацию шаг 2 , содержащую, в частности, URL серверов, с которых ему следует загружать списки адресов и шаблоны спама.

Далее спам-бот загружает базу адресов шаг 3 и шаблоны шаг 4 , после чего приступает к рассылке. Важной особенностью является то, что спам-бот вместо тупой рассылки заданной текстовки по списку адресов может модифицировать текст, дополнять его картинками или представлять в виде графики в соответствии с заданным алгоритмом и шаблоном.

После завершения рассылки порции писем многие спам-боты посылают отчет о проделанной работе шаг 5. Отчет может содержать статистические данные количество успешных рассылок и ошибок и список адресов, по которым не удалось разослать спам.

Для пользователя появление на компьютере спам-бота является крайне неприятным событием. Во-первых, он накрутит ему десятки мегабайт трафика. А во-вторых, IP пораженной машины с высокой степенью вероятности попадет в черные списки, и в дальнейшем возникнут проблемы с отправкой нормальной почты. Это особенно важно для фирм, имеющих свой почтовый сервер и статический IP-адрес — всего один юзер со спам-ботом может причинить массу головной боли админам. Построение сетей из спам-ботов является прибыльным бизнесом — объектом торгов может быть сам спам-бот, готовая сеть из таких ботов или платная рассылка спама, осуществляемая ботами.

Бороться с рассылаемым при помощи ботов спамом намного сложнее — фильтрация по IP не эффективна, а модификация писем затрудняет отсев по контексту при помощи байесовских фильтров или сигнатурных анализаторов.

Помимо спам-ботов существует еще одна методика рассылки спама, основанная на применении так называемых троянских прокси Trojan-Proxy , которые позволяют злоумышленнику работать в сети от имени пораженной машины. Типовой алгоритм работы троянского прокси состоит в открытии на прослушивание некоторого TCP-порта иногда номер порта статический, но чаще произвольный — для затруднения обнаружения путем сканированием портов , после чего он связывается с владельцами и передает им IP и порт.

Далее он работает как обычный прокси-сервер. Многие троянские прокси умеют размножаться по принципу сетевых червей или при помощи уязвимостей.

Важно отметить, что существует множество гибридов — например, спам-бот может обладать функцией Trojan-Downloader для загрузки своих обновлений или установки дополнительных компонентов.

Рассмотрим реальный пример — зловреда Trojan. Его установка начинается с загрузки из интернета дроппера размером около 29 Кб.

Запустившись, дроппер создает на диске файл C: Далее он внедряет троянский код в процесс winlogon. Работает библиотека по описанному выше алгоритму — получает задание и начинает методичную рассылку спама. В качестве лирического отступления следует заметить, что среди троянских прокси и спам-ботов метод автозапуска в качестве расширения Winlogon весьма популярен. А потом на стену уже постятся реклама, акции, ссылки на продвигаемые ресурсы и пропагандистские картинки в зависимости от поставленной задачи.

Задача этого бота репостить сообщения с определённых сайтов или определённых групп. Обычно у таких вся стена в репостах из одной или нескольких групп. Фото на аватарке не своё котики, пейзажи, абстракции etc. Эти, как уже ясно из названия, мусорят пропагандистскими картинками определённой тематики или ссылками на продвигаемую статью или видео.

Есть такие, которые быстро вкидывают много сообщений флейм и их быстро банят, а есть более аккуратные, которые делают это реже и в разных местах впрочем, у меня большой опыт модерирования различных форумов, и я такое просекаю очень быстро. Ну и, конечно же, куда без них — бот-кукушка. Чтобы вы могли себе хотя бы примерно представлять масштабы явления.

У одного только Бориса Филатова в Днепропетровске ещё в году было около человек-ботоводов в подчинении. Соответственно, это несколько тысяч аккаунтов. Примерно сопоставимое количество или даже больше — это боты в подчинении у Порошенко. Есть аналогичные структуры и у Тимошенко, и у других группировок точной численности не назову, но примерный масштаб можно прикинуть. И у Порошенко, и у Тимошенко ещё со времён до переворота на всех их публичных выступлениях и в реальной толпе обязательно была группа поддержки, которая хлопала, скандировала, выражала одобрение и одновременно подавляла любые попытки публичного выражения недовольства в толпе.

Один раз я с ними даже чуть не подрался а поскольку я тоже был на мероприятии не один, это едва не переросло в махач толпа на толпу.

Статья в формате Microsoft Word. Справочная FAQ. Ответы на часто задаваемые вопросы · С чего начать? Что такое IP-телефония? Вопросы IP- . А так же анти-спам решение от Касперского. На анти-спам Есть все подозрения, что бот сидит в локальной сети, поскольку на. Запускаем на роутере: tcpdump -i eth1 -l tcp port 25 /var/log/zennoposter.club Читаем логи. Все что не почтовый сервер - бот.

Предыдущая статья: vpn для zennoposter

Следующая статья: human emulator бесплатно