image

Spammers hernoemen Rar-bijlage naar .zip

woensdag 1 augustus 2007, 10:58 door Redactie, 23 reacties

Spammers zijn de afgelopen weken bijzonder actief. Na de pdf en Excel-spam, versturen ze nu een ingepakt tekstbestand (.txt) als bijlage. Op zich lijkt dit niet bijzonder, ware het niet dat de spammers de ingepakte bijlage de .zip extensie hebben gegeven, terwijl het in feite een Rar-archief is.

Veel computers zijn uitgerust met een uitpakprogramma als WinRAR om zowel .zip als .rar bestanden te kunnen openen. Doordat veel uitpakprogramma’s niet naar de extensie kijken, maar naar de headerinformatie, zijn de .zip bijlagen toch gewoon te openen.

De spammers hebben de tekstbestanden voor elke geadresseerde dynamisch voorzien van een heleboel legitieme teksten: "Bayesian poisoning". Hiermee proberen ze spamfilters met leerfuncties te foppen en uiteindelijk onbruikbaar te maken. Interessant detail is dat de spammers nu bijzonder veel poison toevoegen om hun doel te bereiken. Dit is mogelijk omdat een tekstbestand eenvoudig te comprimeren is, tot 20 keer kleiner dan dan het originele tekstbestand, waardoor spammers in dezelfde tijd meer spamberichten kunnen versturen.

Spamfilters zullen over het algemeen niet de inhoud van Rar-bestanden analyseren, terwijl de bijlagen dynamisch zijn gegenereerd. Hierdoor kunnen grote spamfilters de verspreidingsgraad niet eenvoudig in kaart brengen wat gunstig is voor de spammers. "Met de tekstbestanden proberen spammers een aandelenkoers kunstmatig op te drijven. Ze hebben deze aandelen eerder bij een gunstigere koers ingekocht en proberen ze na een effectieve spamrun weer te verkopen" zegt Mark Loman.

Reacties (23)
01-08-2007, 11:22 door [Account Verwijderd]
[Verwijderd]
01-08-2007, 11:53 door Skizmo
Het gebeurt me niet vaak. . maare. . ik heb werkelijk geen
idee wat nu de clou van het wijzigen van de extensie is. En
dat verhaal over txt-files in de zipfile die kleiner zijn en
iets met 'posion' is mij ook compleet onduidelijk.
01-08-2007, 12:18 door Anoniem
Door Iceyoung
Even kijken hoor............

het txt bestand bevat legitieme teksten (Bayesian Poison) om de
spams
filters te foppen (dus het mailtje door te laten)

door het txt bestand te Rarren kunnen ze meer tekst in een kleiner
mailtje
kwijt, slim...........

echter zullen de spamfilters over het algemeen niet in de RAR's kijken

????????


en over welke aandelen koersen hebben we het hier ???

Inderdaad, volgens mij moet de vakantie hulp nog even zijn tekst na
lezen voor het te posten...
01-08-2007, 14:01 door wimbo
ik ben dus niet de enige die niet veel van het verhaal
begrijpt.....
01-08-2007, 14:13 door Mark Loman
Om spamfilters te misleiden hernoemen spamverspreiders de .rar
extensie naar .zip. Naast dat de extensie dus niet klopt pakken de meeste
spamfilters de bijlagen niet uit (kost teveel tijd, vooral als je honderden
berichten per minuut moet verwerken, zoals een grote provider). Dus
belanden ze in de inbox van de ontvanger = gunstig voor de spammer.

In het Rar-archief zit een tekstbestand met:
1. de spam-advertentie (over de aandelen die de spammers hebben
gekocht) en
2. een heleboel irrelevante geldige teksten.

De irrelevante teksten zijn per geadresseerde dynamisch gegenereerd,
willekeurig, dus telkens anders. Dit hebben spamverspreiders wederom
gedaan om spamfilters te foppen en uiteindelijk onbruikbaar te maken.
Want spamfilters met een leerknop als "dit is spam" raken na een aantal
weken corrupt: de geldige teksten gaan in de databank met foute teksten.
Geldige berichten zullen dankzij dit "gif" na verloop van tijd in de spam-map
verdwijnen (false positive).
Kijk hier voor meer info over Bayesian Poison:
http://www.surfright.nl/nl/caretaker/antispam/background#poisoning

Door in plaats van een inline afbeelding, pdf of xls-bijlage nu een
ingepakt .txt bijlage te gaan gebruiken kunnen spammers meer berichten
versturen in dezelfde tijd = meer spam = gunstig voor de spamverspreider.

Het gaat om aandelen die in principe weinig waard zijn maar waar een
interessant feitje over te melden valt. Door dit nieuws iets aan te dikken (en
bijzonder veel aandacht te geven in een spamrun) proberen de
spamverspreiders het aandeel populairder te maken dan ze eigenlijk zijn.
Dit is bijzonder lucratief gezien de hoeveelheid aandelenspam dat
tegenwoordig mailboxen bereikt. De bedrijven waarvan de aandelen
worden verhandeld hebben over het algemeen niets te maken met de
spamverspreiders en zijn uiteindelijk slachtoffer (over het algemeen zijn de
aandelen na een tijd niets meer waard).

Dus:
- Rar-bijlage hernoemd naar .zip om filters te misleiden
- Bijlage bevat tekstbestand met zowel spam-advertentie als gif om (leer-)
filters te vernielen en dus te omzeilen
- Spammers kunnen meer spamberichten versturen omdat de tekstbijlage
beter te comprimeren is
- Spammers misbruiken waardeloze aandelen om geld te verdienen

Deze spamvorm is nieuw en sinds 3 dagen bijzonder populair.
01-08-2007, 14:20 door Anoniem
1. Spammer kiest RAR als archief formaat.
2. Spammer hernoemd ".rar" extensie in het bericht naar ".zip".
3. Spammer stuurt de spam.
4. Doorsnee gebruiker klikt op de bijlage en kan die niet openen want er is
geen ZIP viewer die RAR kent geïnstalleerd.
5. Zeldzame gebruikers hebben WinRAR (of een andere ZIP/RAR viewer)
geïnstalleerd als default ZIP viewer, deze gebruikers kunnen het bericht
wel lezen.
01-08-2007, 14:40 door Anoniem
Bayesian Poison bestaat niet, wat je bedoelt is Bayesian filter poisoning,
letterlijk vertaald: vergiftiging van Bayesian filters.
01-08-2007, 15:00 door Erik Loman
4. Doorsnee gebruiker klikt op de bijlage en kan die niet openen
want er is geen ZIP viewer die RAR kent geïnstalleerd.
5. Zeldzame gebruikers hebben WinRAR (of een andere ZIP/RAR viewer)
geïnstalleerd als default ZIP viewer, deze gebruikers kunnen het bericht
wel lezen.
Dit klopt niet helemaal want bijna alle uitpakkers kunnen prima met Rar
overweg. Ik vermoed dat Rar wordt gebruikt omdat Rar tekstbestanden
aanzienlijk beter comprimeert dan Zip.

Bayesian Poison bestaat niet
De term bestaat wel: http://en.wikipedia.org/wiki/Bayesian_poisoning (zie ook de link in het artikel). Al moet ik toegeven dat Bayesian filter poisoning de lading beter afdekt.
01-08-2007, 15:12 door Anoniem
Bayesian Poison bestaat niet
De term bestaat wel: http://en.wikipedia.org/wiki/Bayesian_poisoning. Al moet ik toegeven dat Bayesian filter poisoning de lading beter
afdekt.[/quote]
Nee, het bestaat niet. Bayesian poison impliceert dat een gif wordt
gemaakt a la Bayes en dat is onzin.

Bayesian poisoning is al een stuk beter, maar niet duidelijk, bayesian filter
poisoning is wel duidelijk, maar daarover waren we het al eens.
01-08-2007, 15:20 door Anoniem
Door Erik Loman
4. Doorsnee gebruiker klikt op de bijlage en kan die niet openen
want er is geen ZIP viewer die RAR kent geïnstalleerd.
5. Zeldzame gebruikers hebben WinRAR (of een andere ZIP/RAR viewer)
geïnstalleerd als default ZIP viewer, deze gebruikers kunnen het bericht
wel lezen.
Dit klopt niet helemaal want bijna alle uitpakkers kunnen prima met Rar
overweg.

Nee, dat is niet zo.

1. Voor het gemak ga je eraan voorbij dat de doorsnee gebruiker helemaal
geen archief programma op zijn computer heeft, laat staan een die RAR
ondersteund.
2. WinRAR zelf is standaard niet gelinkt aan ZIP, dus zelfs met WinRAR
kun je de bestanden niet openen vanuit een mail reader die met MIME
associaties werkt.
Je moet dus een link hebben tussen zip en capabele RAR viewer.
3. De laatste versies van programma's als WinZIP ondersteunen alleen
oude versies van RAR. Zo kan WinZIP 11 deze RAR bestanden niet
openen, ondanks dat het wel de RAR associatie vervangt.

Je maakt dezelfde fouten als de spammer.
01-08-2007, 15:45 door Anoniem
Deze spamvorm is nieuw en sinds 3 dagen bijzonder populair.

De gerenaamde RAR is gisteren verschenen. Daarvoor, op maandag,
verscheen een echte zip met tekst file, die moet je niet verwarren.
01-08-2007, 16:28 door Mark Loman
Door Anoniem
Bayesian Poison bestaat niet, wat je bedoelt is Bayesian filter poisoning,
letterlijk vertaald: vergiftiging van Bayesian filters.
Het is geen muggezifterij maar muggeNzifterij ;-)

Bayesian Poision, Bayes Poison, Bayesian filter poisoning, Bayesian
Poisoning, whatever! Hier vinden ze het Bayesian Poison (niet dat ik het daarop heb gebaseerd):
http://www.americanscientist.org/template/AssetDetail/assetid/55592?&print=yes

"Some of the wiles of spammers may be intended not just to evade detection but also to sabotage the filter. The idea is called Bayesian poison. Many spams include a long addendum of random words or irrelevant text, such as paragraphs lifted from Dickens or Defoe, or recent news items."
01-08-2007, 17:09 door Erik Loman
Je maakt dezelfde fouten als de spammer.
De spammer heeft er anders goed aan kunnen verdienen.
Zie http://finance.google.com/finance?q=SZSN en zoom uit over 1
maand.
Niet alles is toe te schrijven aan het Rar / Zip verhaal maar ook PDF-spam
en Excel-spam hebben bijgedragen aan de verdubbeling op 18 juli.
01-08-2007, 17:26 door Anoniem
Door Erik Loman
Je maakt dezelfde fouten als de spammer.
De spammer heeft er anders goed aan kunnen verdienen.
Zie http://finance.google.com/finance?q=SZSN en zoom uit over 1
maand.
Niet alles is toe te schrijven aan het Rar / Zip verhaal maar ook PDF-spam
en Excel-spam hebben bijgedragen aan de verdubbeling op 18 juli.

Helemaal niets is toe te schijven aan hernoemde rar spam. Ten eerste, de
rar spam verscheen gisteren pas. Niet 2 weken of 3 dagen geleden.

De spammer gebruikt nu meerdere technieken naast elkaar voor dezelfde
aandelen, dus je kunt uit aandeel grafieken niets afleiden over de
effectiveit van hernoemde rar files.
01-08-2007, 22:32 door Anoniem
Oh my GOD wat een gezeur om niks hier. Het gaat er gewoon om dat er
een weer een nieuwe vorm van spam is. Ik vind het netjes dat de mensen
hiervoor gewaarschuwd worden.

Wat ik eigenlijk nog beter vind is dat een nederlands bedrijf hier zo snel op
inspringt om deze vorm te blokkeren. Ga zo door in ieder geval. Ik moet
Caretaker Antispam toch maar eens proberen.
02-08-2007, 12:04 door Anoniem
Ehm... zo uniek als Erik het doet voorkomen is detectie van deze spam
niet. Het is zelfs makkelijker te detecteren dan gewoon platte tekst.

Ook het gratis SpamAssassin is in staat deze spam te detecteren.

Overigens, toevallig is deze spammer is sinds vandaag weer begonnen
met het verzenden van platte tekst spam.
02-08-2007, 13:29 door Schouw
De reden waarom de extensie .zip is en niet .rar is heel simpel:
De spammers hebben een fout gemaakt.
Er zitten vanuit de spammer zijn point of view alleen maar
nadelen aan het hernoemen van een RAR naar .zip.

Misschien kunnen de makers van hitmanpro beter de visies van
de securitybedrijven kopiëren ipv zelf wat te verzinnen,
piggybacking is immers waar ze goed in zijn.
02-08-2007, 15:07 door Anoniem
Sinds wanneer stuurt Kaspersky spam dan? :)
02-08-2007, 15:14 door Anoniem
Door Schouw
Misschien kunnen de makers van hitmanpro beter de visies van
de securitybedrijven kopiëren ipv zelf wat te verzinnen,
piggybacking is immers waar ze goed in zijn.

De spammers hebben dus per ongeluk de archieven ingepakt met RAR
en het een .zip extensie gegeven. Heeft meer weg van een proefballon dan
een fout.
Overigens, wat heeft dit nieuwsbericht te maken met hitmanpro en
piggybacking?
02-08-2007, 20:11 door Anoniem
Het is goed mogelijk dat de spammer een fout heeft gemaakt in de
extensie al is de methode niet onbekend in die kringen (denk aan
executables met pif extensie). De methode is in ieder geval nauwelijks
effectief.

Ik denk niet dat het om een proefballon gaat, want een testmogelijkheid
ontbreekt. Aandelen van hetzelde bedrijf zijn ook tegelijkertijd in andere
spam gehyped.
03-08-2007, 09:35 door Anoniem
uhmmm het zal wel aan mij liggen, maar worden zip en rar door de
meeste virus scanners al niet geblokked?? dan is het hele probleem
van spam mailtjes toch al redelijk getackeld.
03-08-2007, 11:39 door SirDice
Door Anoniem
uhmmm het zal wel aan mij liggen, maar worden zip en rar
door de meeste virus scanners al niet geblokked??
Alleen als er een virus in zit.
03-08-2007, 19:04 door spatieman
gewoon alle atachments de nek omdraaien als die niet van
bekende peronen afkomen.

mailwasher kan je lekker tunen met atachments.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.