Dar vieno analitiko svetainė

Petras Kudaras

Įdomūs rytiniai virusai

Šiandieną ryte gavau porą labai įdomaus viruso kopijų. Štai kaip
atrodo headeriai:

From - Tue Sep 16 08:37:52 2003
X-UIDL: Y&5!!dV,!!P*V!!?l^!!
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
Return-path: <admin@duma.gov.ru>
Envelope-to: petras@lietuvoje.lt
Received: from [81.7.106.87] (helo=localhost)
	by www.lietuvoje.lt with smtp (Exim 3.35 #1 (Debian))
	id 19z0nf-0003vz-00
	for <petras@lietuvoje.lt>; Mon, 15 Sep 2003 23:22:23 +0200
From: "Microsoft" <security@microsoft.com>
To: <petras@lietuvoje.lt>
Subject: Use this patch immediately !
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary="xxxx"
Message-Id: <E19z0nf-0003vz-00@www.lietuvoje.lt>
Date: Mon, 15 Sep 2003 23:22:23 +0200
X-UIDL: Y&5!!dV,!!P*V!!?l^!!
Status: U

--xxxx
Content-Type: text/plain;
Content-Transfer-Encoding: 7bit

Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!

--xxxx

Labai įdomus socialinės inžinerijos pavyzdys. From lauke nurodyta security@microsoft.com,
pačiame laiške prašoma atsinaujinti ir užsilopyti savo programinę įrangą. Tiesa, galėtų šiek tiek oficialesniu
tonu rašyt o ne „Dear friend…“, nors nežinau, gal Microsoft marketingistai ir bendrauja tokiu tonu?

Kitas įdomus dalykas yra tas, kad Return-path yra admin@duma.gov.ru. Įdomu čia tikrai rusai susiję
ar tiesiog mėtomos pėdos ir bandoma jiems suversti kaltę ar norima užfludinti rusų dūmos vargšą adminą?