Malware w poczcie: Pseudofakturom mówimy nie

Viruses, trojans, worms

W ostatnim czasie w Internecie można znaleźć sporo informacji o problemie z fałszywymi fakturami wysyłanymi na adresy e-mail, które w rzeczywistości próbują instalować złośliwe oprogramowanie na komputerach użytkowników (np. na portalu Niebezpiecznik.pl1 czy 2). Problem ten niestety także dotknął użytkowników naszego hostingu.

Szukaliśmy właściwego rozwiązania, jak się okazało, Spam Assasin nie był w stanie w pełni odfiltrować tego spamu. W tym celu też prześledziliśmy konfigurację ClamAV – antywirusa zainstalowanego na naszych serwerach – i dodaliśmy własne reguły, jednakże różnorodność sygnatur także była przytłaczająca (co więcej, reakcja ze strony baz ClamAV była zbyt wolna, stąd decyzja o własnym repozytorium).

Z dniem dzisiejszym problem w znacznej mierze możemy potraktować jako rozwiązany: od dzisiaj nasze serwery blokują podejrzaną zawartość w archiwach ZIP, RAR, 7Z oraz CAB – są to wszystkie pliki, które pod płaszczykiem plików PDF, AVI czy innych są wykonywalną szkodliwą zawartością. Takich plików być nie powinno w normalnym użytkowaniu.

Minusem rozwiązania jest jednak fakt, że w pewnych sytuacjach (bardzo nielicznych, problem będzie dotyczył tylko zaawansowanych użytkowników) mogą być blokowane poprawne wiadomości. Jednakże prawdopodobieństwo to jest tak niewielkie, że możemy je pominąć.

Jak rozpoznać, że mój e-mail jest blokowany? Po przesłaniu do serwera każda wiadomość e-mail jest skanowana przez ClamAV. (dokładniej przed odesłaniem odpowiedzi 250 – przyjęto do doręczenia). Jeżeli wiadomość jest uznana jako szkodliwa pojawi się odpowiedź (tutaj przykładowo):

550 Znaleziono wirusa: Sanesecurity.Foxhole.Zip_pdf.UNOFFICIAL

Oznacza to, że pod nazwą pliku PDF kryje się wykonywalny plik (EXE, PIF, VB, czy inne). W przypadku gdy jesteśmy pewni, że to nie jest szkodliwa zawartość, należy przesłać plik, zmieniając jego nazwę w archiwum.

Mamy nadzieję, że wprowadzone zmiany korzystnie wpłyną na bezpieczeństwo naszych Klientów.

W razie jakichkolwiek problemów – oczywiście zapraszam do kontaktu z pomocą techniczną.

O autorze: Mateusz Tabaka

Z komputerem od niepamiętnych czasów, użytkownik od 2006 roku a administrator LinuxPL.com w latach 2012 - 2014.