%20de%20um%20computador%20Windows.png)
Estou procurando ajuda sobre alguns itens impossíveis de rastrear malware que enviam spam para toda a minha lista de contatos usando envio SMTP direto.
Ele usa meu endereço de e-mail pessoal (baseado em ISP, POP3/SMTP, NÃO baseado na web, pois não consegui encontrar nada além de problemas relacionados ao Gmail ou hotmail e respostas na web, o que NÃO é o meu caso) e é capaz de navegar e usar meus contatos lista para enviar pequenas mensagens de spam com um link para algum site infectado para um grupo de destinatários (a única maneira de detectar que algo errado está acontecendo é receber mensagens de retorno de falha quando um dos endereços da lista está obsoleto, por exemplo, ou quando um dos servidores do destinatário ou servidor ISP rejeita)
Meu ISP verificou o histórico a partir das datas e horas indicadas nesses avisos de retorno e é capaz de certificar que o spam foi realmente enviado do meu endereço IP, portanto, NÃO está apenas falsificando meu endereço: meu computador era o verdadeiro remetente. Aliás, todos os destinatários estão na minha lista de contatos reais.
Tudo começou quando eu estava usando meu computador antigo com Windows XP e Outlook Express. No entanto, agora ele faz o mesmo no meu novo computador com Windows 7 Pro e Thunderbird, o que significa que também é capaz de navegar na minha lista de contatos do Thunderbird, e não apenas no antigo arquivo WAB óbvio do Outlook Express.
Recentemente, um de meus clientes relatou o mesmo problema (eles notaram quando alguns dos servidores de seus clientes os colocaram na lista negra e começaram a receber as mesmas mensagens de retorno não entregues que eu tenho recebido). Aliás, o ISP deles é igual ao meu (veja abaixo sobre o fato de que eles ainda podem permitir SMTP anônimo). No caso dela, o computador dela está executando o Windows 10 Professional e ela está usando o MS Outlook 2007.
- Provavelmente, ele não usa meu programa cliente de e-mail para emitir e-mails de spam (embora seja difícil dizer se ele não o inicia em segundo plano), mas embora o computador deva ser deixado ligado, é claro, geralmente os envia à noite (na maioria das vezes por volta de 1h às 3h, embora às vezes tenham sido emitidos durante o dia) quando meu cliente de e-mail está fechado.
Portanto, ele precisa se conectar diretamente ao meu servidor ISP com SMTP (usando, é claro, meu endereço de e-mail e senha, embora meu ISP ainda possa permitir SMTP anônimo, o que é obviamente um problema).
Infelizmente, meu ISP local não usa criptografia SSL nem TLS (embora eu ache que isso não mudaria muito, desde que nenhuma senha fosse necessária). No entanto, considerando que ele poderia obter meu endereço de e-mail e lista de contatos, acho que provavelmente não foi tão difícil obter minha senha armazenada também, já que a NirSoft é capaz de fazer isso, por exemplo).
- Nenhum software antivírus conseguiu detectar nada, mas ainda está lá, enviando spam para toda a minha lista de contatos cerca de duas vezes por mês, às vezes com mais frequência, às vezes apenas uma vez: a frequência, a hora, etc., são totalmente aleatórias e imprevisíveis.
Eu tentei tudo o que foi recomendado na web sem absolutamente nenhum resultado.
- É claro que verificar manualmente o registro, os serviços, etc. não mostra nada suspeito na inicialização. E ainda assim, o maldito processo tem que estar escondido em algum lugar, ou não seria capaz de estourar centésimos de e-mails em poucos segundos como faz!
Então agora tentei bloqueá-lo usando regras de firewall;
No entanto, usando o firewall da Microsoft, eu poderia adicionar uma regra de saída permitindo que o Thunderbird usasse a porta 25 com autenticação de usuário, mas não tenho certeza se isso torna a regra exclusiva, ou seja, ativar isso provavelmente não desabilita nenhum outro uso.
Infelizmente, adicionar outra regra de bloqueio da porta 25 não torna a regra acima uma exceção. Se eu fizer isso, isso me impedirá de enviar qualquer e-mail, apesar da permissão explícita. Aparentemente, a regra de proibição substitui a de permissão, onde eu gostaria de obter exatamente o comportamento oposto (bloquear tudo e permitir a exceção).
Idealmente, eu gostaria que qualquer tentativa do único aplicativo permitido (Thunderbird no meu caso atual) fosse registrada para que eu pudesse rastrear o culpado.
Algum de vocês já ouviu falar de tal problema e talvez possa me levar a uma solução, ou a alguém capaz de resolver esse problema, ou conheça alguma ferramenta que seja mais eficiente para detectá-lo?
Alguém sabe como eu poderia configurar o firewall para bloquear qualquer uso da porta 25, mas de um aplicativo permitido? E, idealmente, como registrar qualquer tentativa de qualquer processo, exceto o permitido? Ou talvez algum software de firewall gratuito de terceiros que faria o trabalho?
É claro que identificar o culpado e ser capaz de eliminá-lo seria perfeito, mas se isso não puder ser feito, evitar que ele cause danos ainda seria um compromisso aceitável até que um dia os antivírus fossem capazes de detectá-lo.
EDITAR:
Aqui está um exemplo:http://www.mediafire.com/download/relstor86wkfw44/Undelivered_Mail_Returned_to_Sender.eml.zip
EDITAR: para concluir, a análise do cabeçalho ajudará você a saber se o spam foi originado do seu PC ou se o seu endereço de e-mail foi falsificado.
Problema resolvido no meu caso, graças à resposta de David abaixo. Isso explica por que nenhuma ferramenta antivírus conseguiu encontrar algo suspeito in situ.
Responder1
De onde realmente veio esse e-mail?
Meu ISP verificou o histórico a partir das datas e horas indicadas nesses avisos de retorno e é capaz de certificar que o spam foi realmente enviado do meu endereço IP, portanto NÃO está apenas falsificando meu endereço: meu computador era o verdadeiro remetente
Meu ISP é canl.nc
Aqui estão os cabeçalhos de um desses e-mails retornados:
Return-Path: <my email address> Received: from localhost (localhost [127.0.0.1]) by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2; Sun, 7 Aug 2016 23:00:34 +0800 (MYT) X-Virus-Scanned: amavisd-new at zakat.com.my Received: from mail.zakat.com.my ([127.0.0.1]) by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id cl7meerEgQyi; Sun, 7 Aug 2016 23:00:33 +0800 (MYT) Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227]) by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085; Sun, 7 Aug 2016 23:00:28 +0800 (MYT) From: <my email address> To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address> Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?= Date: Sun, 7 Aug 2016 17:59:57 +0300 Message-ID: <[email protected]>
Seu ISP é incompetente:
Este e-mail não veio de você (a menos que você more na Polônia)
Veio de 82.160.175.227 (Polônia)
% Information related to '82.160.175.0 - 82.160.175.255' % Abuse contact for '82.160.175.0 - 82.160.175.255' is '[email protected]' inetnum 82.160.175.0 - 82.160.175.255 netname PL-NETLINE-STARGARD descr Net-line sp. z o.o. descr Stargard Szczecinski country PL admin-c LH133-RIPE tech-c LH133-RIPE status ASSIGNED PA mnt-by NETIA-MNT mnt-lower NETIA-MNT mnt-routes NETIA-MNT created 2014-04-07T07:36:13Z last-modified 2016-03-15T14:24:30Z source RIPE # FilteredFoi enviado para (e entregue para) mail.zakat.com.my (Malásia).
zakat.com.my rejeitou o e-mail com um erro 451 smtp:
Se você receber uma das mensagens de erro acima (ou semelhantes) do seu servidor de e-mail (depois de enviar algumas mensagens), você atingiu o limite do seu servidor de e-mail (ou conta de e-mail). Isso significa que seu servidor de e-mail não aceitará mais mensagens até que você espere algum tempo.
Sua conta de e-mail pode ter uma ou várias limitações:
- Limite diário de correspondência, por exemplo, máx. 2.000 mensagens por dia
- Limite de correspondência por hora, por exemplo, máx. 500 mensagens por hora
- Limite de taxa de envio de mensagens
A notificação de rejeição foi enviada a você porque:
Return-Path: <my email address>Seu ISP é canl.nc. Em nenhum momento doenviandodeste e-mail está envolvido em canl.nc. Eles estão envolvidos apenas porque a devolução foi enviada para você.
Então, o que realmente aconteceu?
Sua agenda de endereços vazou de alguma forma.
Um spammer na Polônia enviou spam com seu endereço de e-mail forjado como endereço de retorno do endereço IP 82.160.175.227
O spam foi enviado para mail.zakat.com.my e rejeitado - provavelmente porque mail.zakat.com.my notou muitos spams vindos do endereço IP do spammer.
mail.zakat.com.my não está muito bem configurado, pois 82.160.175.227 é na verdade um endereço IP na lista negra.
mail.zakat.com.my não é um retransmissor aberto, então é possível que o spammer tenha uma conta lá.
O spam, portanto, foi devolvido e você é o destinatário do que é chamadoretroespalhamento:
Backscatter (também conhecido como outscatter, devoluções mal direcionadas, blowback ou spam colateral) são mensagens devolvidas incorretamente automatizadas enviadas por servidores de e-mail, normalmente como um efeito colateral do spam recebido.
Notas:
Muitos dos cabeçalhos de e-mail podem ser (e geralmente são) falsificados por spammers quando enviam spam.
- "A partir do endereço
- Caminho de retorno: endereço
- Alguns cabeçalhos "Recebidos:" também podem ser falsificados.
Falsificação de mensagem SMTPmostra como isso pode ser feito facilmente usando um servidor de retransmissão de correio aberto (inseguro).
Análise dos cabeçalhos de e-mail
Existem muitas ferramentas para analisar cabeçalhos de e-mail, algumas das quais podem mostrar se algum dos endereços IP da cadeia está em listas negras de spam.
Essas ferramentas também podem dizer se algum dos cabeçalhos "Recebido:" da cadeia foi forjado.
Uma dessas ferramentas éAnalisador de cabeçalho de e-mail MxToolbox.
A análise com esta ferramenta mostra os seguintes resultados:
