%20desde%20una%20computadora%20con%20Windows.png)
Estoy buscando ayuda sobre un malware imposible de rastrear que envía spam a toda mi lista de contactos mediante el envío SMTP directo.
Utiliza mi dirección de correo electrónico personal (ISP, basada en POP3/SMTP, NO basada en la web, ya que no pude encontrar nada más que problemas relacionados con Gmail o Hotmail y responder en la web, que NO es mi caso) y puede navegar y usar mis contactos. lista para enviar mensajes breves de spam con un enlace a algún sitio web infectado a un grupo de destinatarios (la única forma de detectar que algo anda mal es recibir mensajes de respuesta de error cuando una de las direcciones de la lista está obsoleta, por ejemplo, o cuando uno de los servidores de los destinatarios o el servidor ISP lo rechaza)
Mi ISP ha verificado el historial de las fechas y horas indicadas en dichas advertencias de devolución y puede certificar que el spam realmente se envió desde mi dirección IP, por lo que NO solo está falsificando mi dirección: mi computadora fue el remitente real. Por cierto, todos los destinatarios están en mi lista de contactos reales.
Comenzó cuando estaba usando mi vieja computadora con Windows XP y Outlook Express. Sin embargo, ahora hace lo mismo en mi nueva computadora con Windows 7 Pro y Thunderbird, lo que significa que también puede explorar mi lista de contactos de Thunderbird, y no solo el antiguo archivo WAB obvio de Outlook Express.
Recientemente, uno de mis clientes informó el mismo problema (se dieron cuenta cuando los servidores de algunos de sus clientes los pusieron en la lista negra y comenzaron a recibir los mismos mensajes de respuesta no entregados que yo he estado experimentando). Por cierto, su ISP es el mismo que el mío (consulte a continuación el hecho de que aún pueden permitir SMTP anónimo). En su caso, su computadora ejecuta Windows 10 Professional y usa MS Outlook 2007.
- De todos modos, lo más probable es que no utilice mi programa de cliente de correo electrónico para enviar los correos electrónicos no deseados (aunque, por supuesto, es difícil decirlo si no lo inicia en segundo plano), pero aunque, por supuesto, la computadora debe dejarse encendida, Por lo general, los envía por la noche (la mayoría de las veces entre la 1 y las 3 a. m., aunque a veces se emitieron durante el día) cuando mi cliente de correo electrónico está cerrado.
Por lo tanto, tiene que conectarse directamente al servidor de mi ISP con SMTP (usando, por supuesto, mi dirección de correo electrónico y contraseña, aunque es posible que mi ISP aún permita SMTP anónimo, lo cual, por supuesto, es un problema).
Desafortunadamente, mi ISP local no utiliza cifrado SSL ni TLS (aunque supongo que no cambiaría mucho siempre que no se requiera contraseña). Sin embargo, considerando que podría obtener mi dirección de correo electrónico y mi lista de contactos, supongo que probablemente no fue tan difícil obtener mi contraseña almacenada también, ya que NirSoft puede hacerlo, por ejemplo).
- Ningún software antivirus puede detectar nada, pero sigue ahí, enviando spam a toda mi lista de contactos unas dos veces al mes, a veces más a menudo, a veces sólo una vez: la frecuencia, la hora, etc. son totalmente aleatorias e impredecibles.
Probé todo lo que se recomendaba en la web sin ningún resultado.
- Por supuesto, comprobar manualmente el registro, los servicios, etc. no muestra nada sospechoso al inicio. Y, sin embargo, el maldito proceso tiene que estar escondido en alguna parte, o no sería capaz de enviar cientos de correos electrónicos en unos pocos segundos como lo hace.
Así que ahora intenté bloquearlo usando reglas de firewall;
Sin embargo, al usar el firewall de Microsoft, podría agregar una regla saliente que permita a Thunderbird usar el puerto 25 con autenticación de usuario, pero no estoy totalmente seguro de si esto hace que la regla sea exclusiva, es decir, habilitar esto probablemente no deshabilite ningún otro uso.
Desafortunadamente, agregar otra regla que bloquee el puerto 25 no convierte la regla anterior en una excepción. Si lo hago, simplemente me impide enviar cualquier correo electrónico, a pesar del permiso explícito. Aparentemente, la regla de prohibición anula la de permiso, donde me gustaría obtener exactamente el comportamiento opuesto (bloquear todo y luego permitir la excepción).
Idealmente, me gustaría registrar cualquier intento de la única aplicación permitida (Thunderbird en mi caso actual) para poder localizar al culpable.
¿Alguno de ustedes ha oído hablar alguna vez de un problema de este tipo y tal vez podría llevarme a una solución, o a alguien capaz de resolver este problema, o conocería alguna herramienta que sería más eficiente para detectarlo?
¿Alguien sabe cómo puedo configurar el firewall para que bloquee cualquier uso del puerto 25 excepto desde una aplicación permitida? E idealmente, ¿cómo registrar cualquier intento de cualquier proceso excepto el permitido? ¿O tal vez algún software de firewall gratuito de terceros que haga el trabajo?
Por supuesto, identificar al culpable y poder eliminarlo sería perfecto, pero si no se puede hacer, evitar que dañe seguiría siendo un compromiso aceptable hasta que los antivirus puedan detectarlo algún día.
EDITAR :
Aquí hay una muestra:http://www.mediafire.com/download/relstor86wkfw44/Undelivered_Mail_Returned_to_Sender.eml.zip
EDITAR: en conclusión, analizar el encabezado le ayudará a saber si el spam se originó en su PC o si su dirección de correo electrónico ha sido falsificada.
Problema resuelto en mi caso, gracias a la respuesta de David a continuación. Esto explica por qué ninguna herramienta antivirus pudo encontrar nada sospechoso in situ.
Respuesta1
¿De dónde vino realmente este correo electrónico?
Mi ISP ha verificado el historial de las fechas y horas indicadas en dichas advertencias de devolución y puede certificar que el spam realmente se envió desde mi dirección IP, por lo que NO solo está falsificando mi dirección: mi computadora fue el remitente real.
Mi ISP es canl.nc
Aquí están los encabezados de uno de esos correos electrónicos devueltos:
Return-Path: <my email address> Received: from localhost (localhost [127.0.0.1]) by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2; Sun, 7 Aug 2016 23:00:34 +0800 (MYT) X-Virus-Scanned: amavisd-new at zakat.com.my Received: from mail.zakat.com.my ([127.0.0.1]) by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id cl7meerEgQyi; Sun, 7 Aug 2016 23:00:33 +0800 (MYT) Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227]) by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085; Sun, 7 Aug 2016 23:00:28 +0800 (MYT) From: <my email address> To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address> Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?= Date: Sun, 7 Aug 2016 17:59:57 +0300 Message-ID: <[email protected]>
Su ISP es incompetente:
Este correo electrónico no proviene de usted (a menos que viva en Polonia)
Provino de 82.160.175.227 (Polonia)
% Information related to '82.160.175.0 - 82.160.175.255' % Abuse contact for '82.160.175.0 - 82.160.175.255' is '[email protected]' inetnum 82.160.175.0 - 82.160.175.255 netname PL-NETLINE-STARGARD descr Net-line sp. z o.o. descr Stargard Szczecinski country PL admin-c LH133-RIPE tech-c LH133-RIPE status ASSIGNED PA mnt-by NETIA-MNT mnt-lower NETIA-MNT mnt-routes NETIA-MNT created 2014-04-07T07:36:13Z last-modified 2016-03-15T14:24:30Z source RIPE # FilteredFue enviado (y entregado a) mail.zakat.com.my (Malasia).
zakat.com.my rechazó el correo con un error 451 SMTP:
Si recibe uno de los mensajes de error anteriores (o uno similar) de su servidor de correo (después de haber enviado algunos mensajes), entonces ha alcanzado un límite en su servidor de correo (o cuenta de correo electrónico). Esto significa que su servidor de correo no aceptará más mensajes hasta que espere un tiempo.
Su cuenta de correo puede tener una o varias limitaciones:
- Límite de correo diario, p. ej. máx. 2000 mensajes por día
- Límite de correo por horas, p. ej. máx. 500 mensajes por hora
- Límite de tasa de envío de mensajes
Se le envió la notificación de rechazo porque:
Return-Path: <my email address>Su ISP es canl.nc. En ningún momento delenviandoDe este correo electrónico está involucrado canl.nc. Están involucrados sólo porque se le envió el rebote.
Entonces, ¿qué pasó realmente?
De alguna manera se filtró tu libreta de direcciones.
Un spammer en Polonia envió spam con su dirección de correo electrónico falsificada como dirección de devolución de la dirección IP 82.160.175.227
El spam se envió a mail.zakat.com.my y fue rechazado, probablemente porque mail.zakat.com.my notó que había demasiados spam provenientes de la dirección IP del spammer.
mail.zakat.com.my no está muy bien configurado ya que 82.160.175.227 es en realidad una dirección IP incluida en la lista negra.
mail.zakat.com.my no es un relé abierto, por lo que es posible que el spammer tenga una cuenta allí.
Por lo tanto, el spam rebotó y usted es el destinatario de lo que se llamaretrodispersión:
El backscatter (también conocido como outscatter, rebotes mal dirigidos, retroceso o spam colateral) son mensajes de rebote automatizados incorrectamente enviados por servidores de correo, generalmente como efecto secundario del spam entrante.
Notas:
Muchos de los encabezados de correo electrónico pueden (y suelen ser) falsificados por spammers cuando envían spam.
- "De la Dirección
- Ruta de retorno: dirección
- Algunos encabezados "Recibido:" también se pueden falsificar.
Suplantación de mensajes SMTPmuestra con qué facilidad esto se puede hacer usando un servidor de correo de retransmisión abierto (no seguro).
Análisis de las cabeceras de los correos electrónicos.
Existen muchas herramientas para analizar los encabezados de correo electrónico, algunas de las cuales pueden mostrar si alguna de las direcciones IP de la cadena está en listas negras de spam.
Estas herramientas también pueden indicar si alguno de los encabezados "Recibido:" de la cadena es falso.
Una de esas herramientas esAnalizador de encabezados de correo electrónico MxToolbox.
El análisis con esta herramienta arroja los siguientes resultados:
