Klez: клиент не виноват, но именно его письма заразили соседей
Червь Klez подделывает адрес отправителя из адресной книги жертвы. Клиенты получают жалобы на вирусные письма, хотя их машины чисты. Решение - антивирус прямо на почтовом шлюзе.
червь Klez подделывал адрес отправителя из адресной книги жертвы
В конце февраля нам позвонил директор небольшой торговой компании - один из постоянных клиентов. История была странная: два его партнёра пожаловались, что получили вирусные письма якобы от него. Он ничего не отправлял. Машины в офисе проверили - чисто. Антивирус молчит. А жалобы продолжают приходить.
Диагноз поставили довольно быстро: это Klez.
Как работает подмена. Klez - почтовый червь, и он хитрее тех, что были раньше. Sircam рассылал документы с диска жертвы, и это было неприятно, но хотя бы логично: заражённая машина рассылала письма со своего адреса. Klez поступает иначе. Он находит адресную книгу на заражённой машине, выбирает оттуда случайный адрес и подставляет его в поле «From». Письмо уходит с реального адреса третьей стороны - того, кто в адресной книге, но при этом сам может быть совершенно чист.
В итоге получается такая картина: заражён Иванов, в его адресной книге есть Петров, и Klez рассылает письма от имени Петрова. Петров начинает получать жалобы. Петров смотрит свои машины - всё чисто. Потому что его машины действительно чисты - он просто «поставщик адреса», а не источник заразы.
Именно это и произошло у нашего клиента. Его адрес был в чьей-то адресной книге - скорее всего, у кого-то из партнёров или поставщиков. Тот человек заражён, его машины рассылают Klez, а в поле «From» красуется адрес нашего клиента. Проверять его машины бессмысленно - они здесь вообще ни при чём.
Почему антивирус на ПК не помогает. Это ключевой момент. Антивирус на рабочих станциях защищает от того, что попадает на эту конкретную машину. Если письмо с Klez приходит на машину сотрудника - он его поймает (при условии актуальных баз). Но если письмо с вашим адресом в «From» уходит с чужой заражённой машины - ваш антивирус об этом вообще не знает. Он видит только свой трафик.
Чтобы перехватить вирус на входе - до того, как письмо попало в ящик сотрудника - нужна проверка на уровне почтового шлюза. Письмо приходит на сервер, сервер его проверяет, и только потом оно идёт дальше. Или не идёт - если нашли.
Что мы поставили. У клиента своя почта на собственном сервере, что в данном случае удобно - есть точка, где можно перехватывать. Поставили антивирусный модуль прямо на почтовый сервер. Настройка несложная: все входящие письма проходят через проверку до доставки в ящики. Заражённые вложения - в карантин, отправителю и получателю - уведомление.
Дополнительно настроили автоматическое обновление антивирусных баз - ежедневно, ночью. Klez продолжает эволюционировать, появляются новые варианты, и база должна успевать.
Что это даёт на практике. Вирусное письмо перехватывается до того, как сотрудник его видит. Не нужно надеяться, что каждый пользователь правильно отреагирует на подозрительное вложение. Не нужно объяснять, что «.exe в письме открывать не надо» - это письмо просто не дойдёт до ящика.
Антивирус на шлюзе и антивирус на ПК - это не одно и то же, они решают разные задачи:
- Шлюз - останавливает заразу на входе в сеть, до любого взаимодействия с пользователем.
- ПК - ловит то, что пришло не по почте: с флешки, из сети, со скачанного файла.
Одно не заменяет другое. Но если выбирать, что важнее для почтового трафика - шлюз выигрывает. Пользователь, который не видит вирусного письма, не может его случайно открыть.
Что с жалобами клиента. Его собственную проблему - что его адрес используют как подставной - антивирус на его шлюзе не решит. Он не контролирует чужие заражённые машины. Единственный способ это остановить - чтобы настоящий источник был вылечен. Мы объяснили клиенту, что нужно сообщить партнёрам: кто-то из его круга контактов заражён, пусть проверяют свои машины.
Часть партнёров восприняла нормально, часть - обиделась. Стандартная реакция: «у нас всё чисто, это вы что-то не так настроили». Спорить смысла нет - время покажет.
Пока суд да дело, шлюзовый антивирус у клиента работает. Входящий поток писем заметно чище - за первую неделю несколько десятков заражённых вложений ушли в карантин, которые раньше просто добрались бы до ящиков. И это без каких-либо действий со стороны пользователей.
Такой уровень обслуживания - когда почтовая защита настроена, обновляется и мониторится без участия клиента - это часть того, что мы делаем в рамках сопровождения инфраструктуры. Не аврал после инцидента, а фоновая работа, которую клиент не замечает именно потому, что она работает.
- Sircam: партнёры получили прайсы, хотя клиент ничего не слал · 20 сентября 2001
- Своя почта или у провайдера: что выбрать небольшой конторе · 20 ноября 2000