[GTER] SPAMs referenciando sites *.TMP.BR

Durval Menezes durval at tmp.com.br
Sun Jan 18 11:48:02 -02 2004 

Prezados,

Desde ontem (2004/01/17) venho recebendo SPAMs como o anexo, ou seja, 
possuindo simultaneamente todas as caracteristicas abaixo:

1) A construcao do email em si e' bem sofisticada, em especial os longos
trechos de palavras escolhidas aleatoriamente de dicionarios. A intencao
provavelmente e' confundir ( bypassar e poluir) os filtros bayesianos
como o que eu uso [Vide Nota 1]; Estes trechos ocorrem tanto na parte
"text/plain" do email como na parte "text/html", e sao DIFERENTES...

2) A "mensagem" do SPAM propriamente dita ocupa somente 319 bytes
(incluindo os "fake tags" utilizados para disfarcar a mensagem),
isso no meio de quase 3Kb de "ruido" puro (os trechos com palavras
aleatorias de dicionarios que mencionei acima).

3) E agora o mais interessante: a "mensagem" contem um link apontando
para a seguinte URL: http://www.qi.keepitmovinforu.tmp.br/about/cd/
Reparem no .TMP.BR (DPN destinado pelo Registro.BR para "Eventos
temporários, como feiras e exposições")... consultando o Whois do
Registro, obtemos o seguinte:

	domínio:      KEEPITMOVINFORU.TMP.BR
	entidade:     BR IT Consulting
	documento:    005.724.985/0001-11
	responsável:  Leni Abreu Neto
	endereço:     Av Cons Nebias, 340, 
	endereço:     11015-002 - Santos - SP
	telefone:     (13) 32235453 []
	[...]
	criado:       03/01/2004 #1473188
	alterado:     03/01/2004
	status:       publicado
	[...]
	ID:           BIC21
	nome:         BR IT Consulting
	e-mail:       lneto77 at UOL.COM.BR
	endereço:     Av Cons Nebias, 340, 
	endereço:     11015-002 - Santos - SP
	telefone:     (13) 32235453 []
	[...]

Checando a hostname da pagina, vi que o DNS AA aponta para dois HTTP
servers no Brasil (um sob o bloco da Telefonica e outro sob o bloco da
Embratel). O primeiro nao responde, e o segundo retorna um redirect para
um servidor na rede da Roadrunner nos USA (provavelmente um ADSL
"hijacked").

Quanto ao site em si, constatei conter mais uma daquelas paginas
(atencao: EM INGLES) vendendo informacoes para cracking (que eles
naturalmente rotulam como hacking), manufatura de bombas, trapacas
no ebay, etc.

4) Analise do header do email mostra que o mesmo foi enviado diretamente 
para o meu MX a partir do endereco 219.249.2.28 (que obviamente nao tem
reverso, mas um "trace" (e uma checada no Whois) indicam ser uma maquina
ligada a um Cablemodem na Asia, mais precisamente em KYONGGI, Coreia do Sul.

Comentarios:
a) Os emails preparados pelos Spammers estao ficando cada vez mais
   venenosos e sofisticados... Cada vez fica mais dificil bloquea-los.

b) Muito interessante o uso do "TMP.BR"... provavelmente para ocultar o 
   os servidores verdadeiros do Spammer. Mais interessante ainda ver
   que ha' um brasileiro por tras do registro. Este registro acabou de
   ser feito, e certamente nao foi (e nem vai ser) pago...
  
   -> Pessoal do Registro: o que voces podem fazer a respeito? bloquear
   o registro do dominio? Idem o ID? Nao encontrei informacao a respeito
   na documentacao disponivel no site...

c) Recebi informacoes seguras ha' uns meses atras que grandes "spammers" 
   internacionais estavam recrutando brazucas para "ajudar no servico".
   Sera' o caso?
	
[Nota 1]: para SPAMs "normais", meu bayesian apresenta menos de 5% de
falsos negativos e um numero insignificante de falsos positivos; para
estes emails com longas sequencias de palavras escolhidas
aleatoriamente, mesmo com algum treinamento meu bayesian esta'
apresentando da ordem de 50% de falsos negativos -- como era de se
esperar. O que e' pior, suspeito que se eu continuar a treinar meu
Bayesian apresentando estes falsos negativos como "SPAM", as tabelas de
probabilidade do mesmo vao acabar poluidas resultando no aumento de
falsos positivos...

Um Grande Abraco,
-- 
   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)

More information about the gter mailing list