Спам Бот

спам бот

Мобильная версия статьи Злобные программисты не спят ночами и не отдыхают днями, пытаясь засадить очередного спам-бота в компьютер честного пользователя. Они зарабатывают деньги на нашем трафике, засвечивая нас в блеклистах и выставляя в дурном свете перед начальством. В этой статье мы взглянем на спам-боты с позиции защитника добра и справедливости, проведем вскрытие и научимся их убивать. Капля истории Исторически методики рассылки спама пережили три базовых этапа: Этот метод до сих пор применятся, но эффективность его невелика, и с таким спамом очень просто бороться путем внесения почтового и ip-адреса отправителя спама в черный список.

Программы автоматической рассылки спама. Могут быть выполнены в виде утилиты под Windows или скрипта для размещения на web-сайте. В сущности, это автоматизированная разновидность метода 1, и иногда она работает по принципу лохотрона — пользователю обещаются золотые горы, если он примет участие в рассылке спама при помощи указанной программы. Доверчивые пользователи ловятся на это, принимают участие — в результате они и денег не получат, и их ip попадает в черные списки.

Рассылка спама при помощи сети троянских прокси и спам-ботов. Этот метод наиболее популярен и актуален в настоящее время и поэтому заслуживает детального рассмотрения. Схема работы типового спам-бота Во-первых, для построения сети троянских прокси или ботов необходимо каким-либо образом заразить множество компьютеров этим самым ботом. Достигнуть этого можно при помощи эксплойтов, Trojan-Downloader, почтовых или сетевых червей.

Наиболее простая схема — это Trojan-Downloader, который после запуска доверчивым пользователем затаскивает на пораженный компьютер все остальные компоненты. Далее, после установки и запуска, спам-бот связывается с сервером владельцев. Несложно догадаться, что для работы ему необходим список email-адресов, по которым следует рассылать спам, параметры рассылки и шаблоны самих писем.

Чаще всего получение этой информации ведется по многоступенчатой схеме — на первом этапе спам-бот посылает своим хозяевам информацию о том, что он запущен с указанием IP-адреса пораженной машины, ее характеристиками и неким уникальным идентификатором — шаг 1 на схеме , в ответ получает конфигурацию шаг 2 , содержащую, в частности, URL серверов, с которых ему следует загружать списки адресов и шаблоны спама.

Далее спам-бот загружает базу адресов шаг 3 и шаблоны шаг 4 , после чего приступает к рассылке. Важной особенностью является то, что спам-бот вместо тупой рассылки заданной текстовки по списку адресов может модифицировать текст, дополнять его картинками или представлять в виде графики в соответствии с заданным алгоритмом и шаблоном. После завершения рассылки порции писем многие спам-боты посылают отчет о проделанной работе шаг 5.

Отчет может содержать статистические данные количество успешных рассылок и ошибок и список адресов, по которым не удалось разослать спам. Для пользователя появление на компьютере спам-бота является крайне неприятным событием. Во-первых, он накрутит ему десятки мегабайт трафика. А во-вторых, IP пораженной машины с высокой степенью вероятности попадет в черные списки, и в дальнейшем возникнут проблемы с отправкой нормальной почты.

Это особенно важно для фирм, имеющих свой почтовый сервер и статический IP-адрес — всего один юзер со спам-ботом может причинить массу головной боли админам. Построение сетей из спам-ботов является прибыльным бизнесом — объектом торгов может быть сам спам-бот, готовая сеть из таких ботов или платная рассылка спама, осуществляемая ботами. Бороться с рассылаемым при помощи ботов спамом намного сложнее — фильтрация по IP не эффективна, а модификация писем затрудняет отсев по контексту при помощи байесовских фильтров или сигнатурных анализаторов.

Помимо спам-ботов существует еще одна методика рассылки спама, основанная на применении так называемых троянских прокси Trojan-Proxy , которые позволяют злоумышленнику работать в сети от имени пораженной машины. Типовой алгоритм работы троянского прокси состоит в открытии на прослушивание некоторого TCP-порта иногда номер порта статический, но чаще произвольный — для затруднения обнаружения путем сканированием портов , после чего он связывается с владельцами и передает им IP и порт.

Далее он работает как обычный прокси-сервер. Многие троянские прокси умеют размножаться по принципу сетевых червей или при помощи уязвимостей.

Важно отметить, что существует множество гибридов — например, спам-бот может обладать функцией Trojan-Downloader для загрузки своих обновлений или установки дополнительных компонентов. Рассмотрим реальный пример — зловреда Trojan.

Его установка начинается с загрузки из интернета дроппера размером около 29 Кб. Запустившись, дроппер создает на диске файл C: Далее он внедряет троянский код в процесс winlogon. Работает библиотека по описанному выше алгоритму — получает задание и начинает методичную рассылку спама. В качестве лирического отступления следует заметить, что среди троянских прокси и спам-ботов метод автозапуска в качестве расширения Winlogon весьма популярен.

Его плюс в том, что работа идет из контекста winlogon. Если еще добавить руткит-маскировку, восстановление ключей реестра и монопольное открытие файла, то получим труднообнаруживаемого и трудноудаляемого зловреда. Теперь посмотрим на спам-бота с точки зрения защиты. Конечно, для борьбы с ними можно посоветовать антивирусы, Firewall и проактивную защиту… Но на самом деле детектировать наличие спам-бота очень несложно и без них.

Дело в том, что даже в случае идеальной руткит-маскировки, спам-бота выдает рассылка спама — достаточно вооружиться сниффером и посмотреть, что твориться в сети. Выбор сниффера в данном случае не важен, но желательно, чтобы он умел реконструировать TCP-сессии и накапливать статистику.

Мне для таких опытов нравится использовать CommView, очень неплох Ethereal. Обнаружив в сети зараженную спам-ботом машину, мы увидим примерно такую статистику на рисунке 2 показан трафик сегмента сети из двух компьютеров: Далее можно отфильтровать обмен по порту 25 TCP и посмотреть содержимое пакетов.

Протокол SMTP — текстовый, поэтому рассылка спама засвечивается по содержимому писем. Фрагмент обмена с SMTP-сервером Аналогичным способом, кстати, можно ловить почтовых червей — разница с точки зрения трафика лишь в том, что червь рассылает свои копии вместо спама.

Однако у сниффера есть один большой минус — он слишком громоздкий для оперативной проверки компьютера и требует инсталляции. Кроме того, не сложно изготовить собственный детектор спам-ботов при помощи C на основе анализа сетевого трафика.

Спам бот | ANTICHAT - Security online community

Помимо самого управляющего скрипта, так же было обнаружено множество бекдоров и webshell-лов в разных папках CMS Wordpress. Скрипты именованы случайным образом, например: Обнаружение, признаки, первые меры Первым что бросилось в глаза, так это задержки между отправкой и приемом почтовых писем. В очереди почтового сервера стояли сотни тысяч писем на отправку. Спасибо Munin за его графики, посмотрели и ужаснулись.

Удалили все письма из очереди. Через apache server status обнаружили странные POST запросы на php скрипт одного из виртуальных хостов. Как вы уже догадались, на нем стоял Wordpress. Прикрыли вредоносный скрипт путем переименования файла, сделали бекап зараженного виртуального хоста. Восстановили файлы сайта из бекапа и закрыли посредством htaccess файла доступ ко всем папкам, оставили доступ только для нашего IP. В общем наладили нормальную работу сайта, остальное закрыли все, вплоть до панели управления и всех дополнительных папок с классами и дополнительными библиотеками.

Анализ кода, поиск деталей по вредоносному скрипту Далее начали анализировать сам вредоносный скрипт, который принимал команды и отправлял сообщения.

Выстроили код, разложили все по полочкам. После обфускации код не читабельный а имена переменных и функций названы рандомно. Смотрим код по смыслу выполнения и обычной заменой текста в текстовом редакторе приводим все в нормальный и читабельный вид. Все стало понятно сразу же после форматирования кода, а после приведения имен переменных и функций уточнились детали формирования тела письма, имя отправителя и почтовых заголовков. Далее начался квест с поисковой системой Google и оригинальным кодом спам-бота.

Пытались найти константы, похожие и повторяющиеся участки кода. Поиск не давал значимых результатов, а если и находило что то то примерно такого содержания: Твой сайт взломали, ищи webshell… Конец Чудным образом удалось найти документ компании trendmicro, еще и в PDF формате, Ссылка в котором было все подробно и детально описано.

Посмотрели — такие же признаки, все точно такое же. Вы хотите заказать у меня разработку сайта? Как бороться со спамерами. Стандартное действие в таких ситуациях - занесение в черный список, но не спешите этого делать! Вот такие ребята могут вам хорошо помочь. Конечно, не в том, что они предлагают. Во-первых, это чертовски доставляет. Вы кардинально меняете свой эмоциональный настрой. Вместо раздражения начинаете испытывать нечто позитивное.

Во-вторых, начинаете тренировать свой скил продажника. Да, впустую, спамер у вас ничего не купит, но это банальная отработка умений снимать возражения и работать в стрессовой ситуации. Особенно полезным бывает e-mail спам. Спам-боты – хорошая ли это реклама? | Сайт с нуля Каждую неделю, не читая, чистите почту от мусора? Если вы работаете в интернет-маркетинге, делаете сайты, банеры и прочий рекламный контент, внимательно просматривайте весь приходящий спам.

Spam BOT Rooms v Описание: Принцип работы данного спамбота заключается в том что он печатает сообщения на месте где стоит курсор он печатает сообщение и жмёт ввод. То есть этот спамбот может спамить везде, к примеру даже в ICQ, вы просто откройте окно диалога ICQ поставьте курсор в место ввода сообщений и включите спамбот, он будет печатать и отправлять сообщения аналогично для Garena, WCIII, WOW короче он может спамить везде ^^. Месяц бесплатно. спам бот майнркафт Gamer lexar. Загрузка   БОТ РЕКЛАМИРУЕТ МАЙНКРАФТ - Продолжительность: Nervell 1 просмотров. Как взломать Аккаунт донатера в minecraft?. Сегодня мы расскажем вам о бесплатной программе для спама сообщениями на телефон. Называется она SMS Bomber и подходит для спама на сотовые номера РФ. Все что нужно для старта - скачать и запустить софт, ввести номер телефона "жертвы", указать кол-во сообщений и нажать "Старт". Использовать данный софт можно против конкурентов, недоброжелателей или просто для розыгрыша друзей.

Предыдущая статья: zennoposter автопостер

Следующая статья: email рассылка amocrm