[GTER] SPAMs referenciando sites *.TMP.BR

Durval Menezes durval at tmp.com.br
Sun Jan 18 11:49:36 -02 2004 

Como nao podia deixar de ser, esqueci o anexo... :-/ segue nesta.
-- 
   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)

On Sun, Jan 18, 2004 at 11:48:02AM -0200, Durval Menezes wrote:
> Prezados,
> 
> Desde ontem (2004/01/17) venho recebendo SPAMs como o anexo, ou seja, 
> possuindo simultaneamente todas as caracteristicas abaixo:
> 
> 1) A construcao do email em si e' bem sofisticada, em especial os longos
> trechos de palavras escolhidas aleatoriamente de dicionarios. A intencao
> provavelmente e' confundir ( bypassar e poluir) os filtros bayesianos
> como o que eu uso [Vide Nota 1]; Estes trechos ocorrem tanto na parte
> "text/plain" do email como na parte "text/html", e sao DIFERENTES...
> 
> 2) A "mensagem" do SPAM propriamente dita ocupa somente 319 bytes
> (incluindo os "fake tags" utilizados para disfarcar a mensagem),
> isso no meio de quase 3Kb de "ruido" puro (os trechos com palavras
> aleatorias de dicionarios que mencionei acima).
> 
> 3) E agora o mais interessante: a "mensagem" contem um link apontando
> para a seguinte URL: http://www.qi.keepitmovinforu.tmp.br/about/cd/
> Reparem no .TMP.BR (DPN destinado pelo Registro.BR para "Eventos
> temporários, como feiras e exposições")... consultando o Whois do
> Registro, obtemos o seguinte:
> 
> 	domínio:      KEEPITMOVINFORU.TMP.BR
> 	entidade:     BR IT Consulting
> 	documento:    005.724.985/0001-11
> 	responsável:  Leni Abreu Neto
> 	endereço:     Av Cons Nebias, 340, 
> 	endereço:     11015-002 - Santos - SP
> 	telefone:     (13) 32235453 []
> 	[...]
> 	criado:       03/01/2004 #1473188
> 	alterado:     03/01/2004
> 	status:       publicado
> 	[...]
> 	ID:           BIC21
> 	nome:         BR IT Consulting
> 	e-mail:       lneto77 at UOL.COM.BR
> 	endereço:     Av Cons Nebias, 340, 
> 	endereço:     11015-002 - Santos - SP
> 	telefone:     (13) 32235453 []
> 	[...]
> 
> Checando a hostname da pagina, vi que o DNS AA aponta para dois HTTP
> servers no Brasil (um sob o bloco da Telefonica e outro sob o bloco da
> Embratel). O primeiro nao responde, e o segundo retorna um redirect para
> um servidor na rede da Roadrunner nos USA (provavelmente um ADSL
> "hijacked").
> 
> Quanto ao site em si, constatei conter mais uma daquelas paginas
> (atencao: EM INGLES) vendendo informacoes para cracking (que eles
> naturalmente rotulam como hacking), manufatura de bombas, trapacas
> no ebay, etc.
> 
> 4) Analise do header do email mostra que o mesmo foi enviado diretamente 
> para o meu MX a partir do endereco 219.249.2.28 (que obviamente nao tem
> reverso, mas um "trace" (e uma checada no Whois) indicam ser uma maquina
> ligada a um Cablemodem na Asia, mais precisamente em KYONGGI, Coreia do Sul.
> 
> Comentarios:
> a) Os emails preparados pelos Spammers estao ficando cada vez mais
>    venenosos e sofisticados... Cada vez fica mais dificil bloquea-los.
> 
> b) Muito interessante o uso do "TMP.BR"... provavelmente para ocultar o 
>    os servidores verdadeiros do Spammer. Mais interessante ainda ver
>    que ha' um brasileiro por tras do registro. Este registro acabou de
>    ser feito, e certamente nao foi (e nem vai ser) pago...
>   
>    -> Pessoal do Registro: o que voces podem fazer a respeito? bloquear
>    o registro do dominio? Idem o ID? Nao encontrei informacao a respeito
>    na documentacao disponivel no site...
> 
> c) Recebi informacoes seguras ha' uns meses atras que grandes "spammers" 
>    internacionais estavam recrutando brazucas para "ajudar no servico".
>    Sera' o caso?
> 	
> [Nota 1]: para SPAMs "normais", meu bayesian apresenta menos de 5% de
> falsos negativos e um numero insignificante de falsos positivos; para
> estes emails com longas sequencias de palavras escolhidas
> aleatoriamente, mesmo com algum treinamento meu bayesian esta'
> apresentando da ordem de 50% de falsos negativos -- como era de se
> esperar. O que e' pior, suspeito que se eu continuar a treinar meu
> Bayesian apresentando estes falsos negativos como "SPAM", as tabelas de
> probabilidade do mesmo vao acabar poluidas resultando no aumento de
> falsos positivos...
> 
> Um Grande Abraco,
> -- 
>    Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
> --
> GTER list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list