Никто не замечал появления в последнее время спама
с чем-то на испанском (похоже), и со ссылками на всякие
..scr/.exe ? Например,
Received: from two.tickercentral.com (two.tickercentral.com [70.84.188.98])
by hobbit.corpit.ru (Postfix) with ESMTP
for <mjt@xxxxxxxxxx>; Mon, 6 Feb 2006 23:06:01 +0300 (MSK)
(envelope-from nobody@xxxxxxxxxxxxxxxxxxxxx)
Received: from nobody by two.tickercentral.com with local (Exim 4.52)
id 1F6CcZ-00025L-8h
for mjt@xxxxxxxxxx; Tue, 07 Feb 2006 07:05:59 +1100
To: mjt@xxxxxxxxxx
Subject: Alguem Lembrou de Voce
From: Humortadela <mensageiro@xxxxxxxxxxxxxxx>
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
Content-Transfer-encoding: 8bit
Reply-To: Humortadela <mensageiro@xxxxxxxxxxxxxxx>
Message-ID: <5ec931862776e08162b770e7b2024e84@xxxxxxxxxxxxxxx>
X-Priority: 1
X-MSmail-Priority: High
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
Date: Tue, 07 Feb 2006 07:05:59 +1100
<META HTTP-EQUIV=Content-Type CONTENT=text/html;charset=iso-8859-1>
<!DOCTYPE HTML PUBLIC -//W3C//DTD HTML 4.0 Transitional//EN>
<HTML><HEAD><TITLE>Mensageiro Humortadela.</TITLE>
<META http-equiv=Content-Type content=text/html;charset=iso-8859-1>
<META content=MSHTML 6.00.2900.2722 name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV> </DIV>
<DIV> </DIV><FONT face=Tahoma size=2>Ol?, </FONT><FONT
face=Tahoma>
<P><FONT size=2>Algu?m que n?o tinha nada para fazer (Rafael), numa
de suas
visitas ao Humor Tadela n?o sei por que cargas d'?gua, lhe recomendou
a seguinte
p?gina:</FONT></P>
<P><FONT size=2>Piada Animada: Ser? que ? voc??
<BR><BR>Coment?rios:</FONT></P>
<P><FONT size=2>? dificil eu recomendar alguma coisa, porque foi
muito engra?ado
quando eu vi, logo lembrei de voc? e decide mandar, concerteza voc?
tamb?m ir?
gostar como eu gostei!</FONT></P>
<P><FONT size=2>Abra?os Rafael.</FONT></P></FONT>
<TABLE borderColor=#000000 width=54% bgColor=#ffcc00 border=1>
<TBODY>
<TR>
<TD height=225>
<P align=center><FONT face=Tahoma size=2><A
href=http://www.entornosocial.es/.es/humortadela.scr>Ver Piada
Animada.</A></FONT></P>
<P align=center><FONT face=Tahoma size=2>N?o se desespere!
Temos um
segundo link ativo abaixo:</FONT></P>
<P align=center><FONT face=Tahoma size=2><A
href=http://www.entornosocial.es/.es/humortadela.scr>http://humortadela.uol.com.br/piada_animada/index_336.html</A></FONT></P>
<P align=center><FONT face=Tahoma size=2>Ou Acesse
http://www.humortadela.com.br</FONT></P>
<P align=center><FONT face=Tahoma size=2>Ainda n?o funcionou?
</FONT></P>
<P align=center><FONT face=Tahoma size=2>Bem, ent?o chegou a
hora de
come?ar a se
desesperar...</FONT></P></TD></TR></TBODY></TABLE>
[...]
Все они идут с разных мест, но у всех есть нечто похожее. А именно,
ссылка на .scr (http://www.entornosocial.es/.es/humortadela.scr),
и то что письмо было отправлено локально с сервера, на котором
стоит какой-либо unix.
Среди ссылок (они разные) попалась такая:
http://www.diarix.net/files/.www.aguiabranca.com.br/promocao_itacare/participantes.exe
а рядом лежит вот такая забавная штука:
http://www.diarix.net/files/.www.aguiabranca.com.br/promocao_itacare/c.php
Называется "C99Shell v. 1.0 pre-release build #16"
См. например
http://isc.sans.org/diary.php?date=2005-11-13http://tincan.co.uk/?lid=851http://csteam.ru/item11.html
Вывод - наконец-то народ начал *активно* эксплуатировать дыры в www-скриптах,
в частности для рассылки всякой дряни. До этого такое тоже практиковалось,
но во всяком случае я впервые сталкиваюсь с реально масштабным использованием
такого метода. Ну и, количество дырявых web-игрушек настолько большое, и
настолько много людей ими пользуются... oh well... ;)
JFYI.
/mjt