[Cascavel-pm] [Administrativia]: Virus solto no Cascavel.pm

Alceu Rodrigues de Freitas Junior glasswalk3r em yahoo.com.br
Domingo Fevereiro 8 20:11:39 CST 2004 

Olá monges,

Some historians believe that on Mon, 09 Feb 2004 09:51:43 -0200
Luis Campos de Carvalho <lechamps em terra.com.br> wrote:
> > Acredito esse ser um problema em relação ao vírus MyDom (alguém
>  > me corrija se estiver errado em relação ao nome): ele envia
>  > emails "retornados" com remetentes forjados... e é claro com
>  > um arquivo em anexo para providenciar a eventual infecção. Para
>  > sistemas Microsoft, não é preciso sequer abrir o anexo,
>  > basta visualizar o email.
> 
>    Obrigado pelas informações úteis, Alceu.
>    E obrigado ao "Tio Bill" por todas as "facilidades" que permitiram 
> aos sistemas Micro$hit chegarem a este "nível de evolução"... (:

Gostou? Então vai aí mais algumas informações úteis relacionadas...
A própria Micro$oft recomenda que se desabilite a função de "auto-visualização" para evitar problemas como este. Por que oferecer um recurso que compromete o sistema?
A Micro$oft também vai descontinuar o Outlook Express... o software é tão ruim que eles desistiram de criar tantos patches para ele. Para usar o Outlook em versões novas, será necessário adquirir versões novas do pacote Office (não gratuíto, obviamente)... que provavelmente será incompatível com Windows NT e 98, que aliás também não são mais suportados.
O vírus foi criado no intuito de criar uma rede de computadores "zumbis" para executar um ataque de DDOS nos sites da SCO e Microsoft. O site da SCO já está fora do ar por algum tempo (não sei se já voltou). As duas companhias botaram uma recompensa para quem entregar os meliantes... parece uma história do Velho Oeste.
 
> > Acredito que a forma de envio de emails com o endereço forjado
>  > deva funcionar de maneira semelhante como spammers recolhem
>  > endereços pela Internet.
> 
>    Não entendi isso aqui. (:
>    Explica, por favor?

Bem, o método de recolhimento de emails pela net acredito que os monges conheçam... os famosos robôs que ficam caçando emails em páginas html... existem outros métodos também, como comprar um cdrom com milhres de endereços de email na Sta Efigênia, mas não acho que seja esse o caso.

O que o vírus faz é enviar um email, contendo seu endereço, como se você tivesse enviado uma mensagem à o endereço forjado, e a mensagem não pode ser entregue. Aí ele retorna seu email "enviado" a um destinatário XYZ, dizendo que não pode entregar a mensagem. Claro que com o vírus em anexo.

O vírus deve também ler o livro de endereços do programa e enviar para os destinatários lá cadastrados.
 
> > Eu tenho recebido mensagens assim aos montes... recentemente
>  > passei a usar o Bogofilter para minizar essas chatices.
> 
>    Hey! Boa pedida!
>    Que tal um link?

Sem o intuito de fazer propagandas, mas a Revista do Linux, edição 45 dá um tutorial de como configurar o Sylpheed-Claws para utilizar o bogofilter.

Sylpheed-Claws (clawss.sylpheed.org) é um cliente de email baseado no Sylpheed, mas com mais recursos que o original (muitos mais) e possui versão para Windows (eu recomendo como substituto ao Outlook, a interface inclusive é muito parecida). O Sylpheed é mais estável que o Sylpheed-Claws no entanto, eu já tive alguns crashes com ele. 

Bogofilter (http://bogofilter.sourceforge.net) é um filtro para emails baseado em algorítmo "Bayesian", que através de estatísticas, classifica emails como sendo SPAM ou HAM (emails "bons").

Em miúdos, você instala o bogofilter na estação de trabalho, e cria filtros no Sylpheed-Claws para classificar a mensagem utilizando o Bogofilter. O Bogofilter deve ser "treinado" dizendo o que é spam ou não, e para isso o tutorial ensina a criar botões para executar o bogofilter fazer isso.

No entanto, a única utilidade que encontrei para o Bogofilter é não ter que ler as mensagens e descobrir que são SPAM: como a maioria dos provedores não oferece acesso IMAP, as mensagens são baixadas de qualquer maneira, e classificadas na própria máquina, o que não proporcia que se economize banda rejeitando o email ou deixando ele no servidor.

O ideal é ter um filtro desse no servidor, e você o treinar classificando as mensagens manualmente. O Bogofilter funciona em linha de comando, e pode ser utilizado em conjunto com um servidor de email, mas nesse caso creio que seria melhor utilizar o SpamAssassin ou outro filtro de email para servidores. Não me recordo do nome agora, mas existe um filtro baseado em estatísticas como o Bogofilter, feito em Python, que classifica, após treinado, as mensagens em "SPAM", "HAM" e "Não tenho certeza".

[]'s


-- 
Alceu Rodrigues de Freitas Junior
--
glasswalk3r em yahoo.com.br
PGP public key at http://www.imortais.cjb.net/addgb.html
---------------------------------------------------------------
This file will self-destruct in five minutes.

Mais detalhes sobre a lista de discussão Cascavel-pm