Цитата:
Сообщение от PavelAR
А... ну такие письма я и сам когда-то тоннами получал. Это подмена поля Sender,
рассыльная программа тупо в поле Sender вбивает адрес самого же получателя...
Эта уловка слегка помогает спамерам обходить спам-фильтры почтовых роутеров.
|
К сожалению, в данном случае это не похоже на простую подмену адреса отправителя. Такой заголовок "Received" получается в том случае, если письмо не отправили, а загрузили в почтовый ящик, создав черновик и переместив его в папку "Входящие". При этом в поле "From" автоматически подставляется адрес из настроек учётной записи.
Мне тоже "Давно пытаюсь создать с нуля..." пришло. Пароль был стойкий, доступ к ящику осуществлялся только с одного компьютера, на котором ничего подозрительного не нашлось (проверял с помощью CureIt, AVZ, ClamAV). Пароль знал только я. При аутентификации использовался протокол HTTPS. Если верить полю "Date", компьютер на момент создания письма был выключен. Также я обычно завершаю сессию в веб-интерфейсе и не храню cookie от почты. Похоже, что злоумышленник должен был знать пароль или обойти проверку.
А по ссылкам в этих письмах действительно вирус. Я один файл загрузил — там архив, в архиве файл с расширением scr, а там Trojan.Carberp.10 по классификации DrWeb.