О портящемся
17 сентября 2020
А без ссылок письма могут вдруг со временем стать опасными?
Чисто теоретически?
Вопрос от нашего читателя
Отвечаем на вопрос, вынесенный в эпиграф: нет, письмо – не рыба, от времени оно не портится.
Электронное письмо представляет собой набор заголовков и одну или несколько секций с данными, разделенных разделителями. При пересылке в заголовки могут вноситься служебные пометки. Также при обработке почтовыми серверами (при отправке, пересылке или получении) в письмо может быть добавлена подпись, внесены изменения в заголовок, убраны вложения. Но при хранении письмо само по себе не меняется и, соответственно, вредоносным стать не может.
Однако оно будет представлять опасность, если было вредоносным изначально (содержало вложения с неизвестными на момент получения вредоносными файлами) или если сайт, на который ведет ссылка из письма, был взломан или куплен. А еще сайт, на который ведут ссылки, может стать вредоносным через некоторое время после отправки вам письма. Злоумышленники делают так, чтобы проверка при получении не заблокировала письмо или не удалила ссылку. Об этой опасности мы недавно писали.
И это – большая проблема для антивирусов. Дело в том, что в том же MS Outlook письма хранятся в специальных базах данных, формат которых известен только разработчику. Конечно, разобрать его аналитики могут, но нет ни малейшей гарантии того, что они узнают все нюансы. Отличный пример тому – попытки сделать продуты, совместимые с MS Word. Закрытый формат файлов типа DOC не позволяет создать совместимые продукты – несмотря на многолетние исследования этого формата. Всегда найдутся документы, которые в теоретически совместимых текстовых редакторах будут отображаться неверно.
То же самое и с базами почтовых клиентов. Проверить базу данных можно, но удалить письмо из нее – нельзя. Про Outlook мы рассказали, а вот – про The Bat!:
Почтовый клиент The Bat хранит письма в специальной почтовой базе MESSAGES.TBB. Ведущие антивирусы разбирают письма, находящиеся в почтовой базе. Найдя вирус, антивирусные программы сообщают о нем, но удалить не могут.
В результате единственное возможное действие для антивируса – удалить базу данных почтового клиента целиком. Что легко может произойти, если пользователь запустил полную поверку и указал действие «Удалять», а не «Перемещать в карантин».
Но, предположим, пользователь сам провел сканирование, увидел, что в базе писем есть какое-то древнее письмо с вирусами, и захотел удалить его вручную. И тут есть засада. Само письмо почтовый клиент может и не увидеть: оно уже было удалено, но… осталось в базе данных. Дело в том, что удаление письма – это как удаление файла. Оно помечается как удаленное, но физически может и не удалиться. Для полного удаления нужно выполнить, например, сжатие базы данных.
Почему после удаления писем в аутлуке размер файла данных не уменьшается?
Дело в том, что при удалении писем они все равно остаются в базе, а именно в файле данных Outlook с расширением .pst. Чтобы уменьшить размер этого файла нужно провести сжатие.
Чтобы понять, можно ли сжать базу данных, нужно смотреть конкретный почтовый клиент и конкретную его версию.
Замечено что на Outlook 2016 данные перезаписываются. но файл автоматически не сжимается.
#антивирусная_проверка #настройки_Dr.Web #подмена_страниц #почта #спам
Антивирусная правДА! рекомендует
Для полного удаления сообщения не забывайте удалить его из папки Удаленные (или аналогичной) и по возможности сжимать базу почтового клиента.
Проверки архивов и почтовых файлов в SpIDer Guard по умолчанию выключены, потому что зараженный файл внутри архива или почтовой базы не представляет прямой опасности для компьютера, так как его невозможно запустить напрямую. Для запуска файл необходимо извлечь из соответствующего контейнера (архива или почтовой базы) и записать на жесткий диск в явном виде, чего наш файловый монитор сделать не позволит. Когда в SpIDer Guard включена одна из этих проверок, антивирусу может потребоваться большой объем памяти для распаковки и проверки содержимого соответствующего контейнера, а если система не может выделить достаточный для этого ресурс, для распаковки используется диск, что еще сильнее замедляет работу. Включение этих проверок практически не улучшает уровень защиты, а лишь потребляет дополнительные ресурсы. При интенсивной работе, к примеру, почтовой программы или архиватора антивирус с такой настройкой может сильно загружать и процессор, и память, и дисковую подсистему, так как ему приходится непрерывно перепроверять объемное содержимое изменяющихся почтовых баз или архивов.
Поместите файлы базы почтового клиента в исключения антивируса, но не забывайте проверять их сканером.
Храните почтовые сообщения на сервере. В этом случае они каждый раз будут проверяться при получении.
Имеется еще один способ не сохранять подозрительные сообщения на своем компьютере. Идея состоит в том, чтобы сначала получать с сервера и просматривать только заголовки сообщений и удалять ненужные письма непосредственно на сервере, не скачивая их на свой компьютер.
Принимайте во внимание, что сообщения якобы от знакомых лиц могут оказаться рассылками, отправленными сетевыми червями.
А вот рекомендация, которую лучше не показывать руководству. Если что – это рекомендует полиция 😊.
Также никогда не открывайте немедленно присланные файлы-вложения, в том числе файлы от друзей, коллег или присланные от имени известных фирм.
Помните, что существуют пока неизвестные вашему антивирусу вредоносные программы. Рано или поздно они станут ему известны, но не сразу.
Исполняемый файл – это не только файл с расширением EXE. Если вы видите вложение со странным расширением, не открывайте его.
Обращайте внимание на расширение файла. Особую опасность могут представлять собой файлы со следующими расширениями:
-ade adp bas bat
-chm cmd com cpl
-crt eml exe hlp
-hta inf ins isp
- jse lnk mdb mde
-msc msi msp mst
-pcd pif reg scr
-sct shs url vbs
-vbe wsf wsh wscЧасто вредоносные файлы маскируются под обычные графические, аудио- и видеофайлы. Для того чтобы видеть настоящее расширение файла, обязательно включите в системе режим отображения расширений файлов.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Вячеслав
10:15:20 2020-11-09
matt1954
18:48:53 2020-09-18
Любитель пляжного футбола
12:17:42 2020-09-18
Альфа
21:24:06 2020-09-17
orw_mikle
21:18:34 2020-09-17
Lia00
20:59:53 2020-09-17
Dvakota
20:56:23 2020-09-17
anatol
19:46:35 2020-09-17
Karnegi
19:22:20 2020-09-17
Неуёмный Обыватель
19:08:31 2020-09-17
Шалтай Александр Болтай
19:04:30 2020-09-17
Toma
18:53:36 2020-09-17
Masha
18:40:29 2020-09-17
Masha
18:21:54 2020-09-17
Татьяна
18:13:00 2020-09-17
Геральт
18:12:24 2020-09-17
L1t1um
18:06:13 2020-09-17
Dmur
17:54:07 2020-09-17
Людмила
16:33:37 2020-09-17
"Возможно, станут известны как раз благодаря заражению именно вашего ПК и вашему последующему обращению в антивирусную лабораторию после инцидента ;)"
конечно и так бывает! мы не отрицаем. так что без обид:)) а сторис-то "НЕ банки, а обманки" https://www.drweb.ru/stories?reset отличная вышла, правда??
спасибо:))
VVK74
15:59:32 2020-09-17
vkor
15:33:07 2020-09-17
marisha-san
15:15:43 2020-09-17
Serg07
14:26:14 2020-09-17
EvgenyZ
13:07:47 2020-09-17
Родриго
12:32:54 2020-09-17
Денисенко Павел Андреевич
11:35:01 2020-09-17
vinnetou
11:29:34 2020-09-17
ka_s
11:20:15 2020-09-17
dyadya_Sasha
11:03:20 2020-09-17
Другой отложил - файлы стали копиться
А время летит, не сбежать и не скрыться
И вот накопил уже файлов гробницы!
Забыл ты давно, что в гробницах хранится
И если открыть решил ты гробницу,
То будь осторожен - есть шанс заразиться!
MaNiV
10:16:58 2020-09-17
Alexander
10:11:33 2020-09-17
Если же речь заходит о "портящемся", - то это уже не о свежести, а о степени разложения продукта, который в той или иной степени уже опасен для использования.
В сегодняшнем выпуске, на мой взгляд, рассуждения не о "портящемся" а о вредоносном. Письма с вредоносным вложением или ссылкой на "минное поле" другого сайта, - очень опасны. Затаившаяся угроза, которая дремлет до поры. Скрывается, подлая, в не просмотренных письмах, в хитрых контейнерах мутного формата, - в которых недоступна для анализа "в лоб" инструментам Dr.Web.
Спасибо за выпуск. Почитал с интересом. Понравилось о раскопках древних писем, и их реальном удалении. Список опасных расширений файлов пригодится.
P.S. Проверил настройки Dr.Web Security Space (и SpIDer Guard, в частности). Проверку архивов оставил, - это и раннее предупреждение об опасности скачиваемого, и заблаговременное прекращение "нечистоплотной" загрузки.
DrKV
10:10:20 2020-09-17
Ну, а остальное сделает за вас DrWeb!
Baikal_40
09:42:12 2020-09-17
runikot
09:22:19 2020-09-17
Неуёмный Обыватель
09:02:29 2020-09-17
Пaвeл
08:48:00 2020-09-17
Неуёмный Обыватель
08:25:00 2020-09-17
Возможно, станут известны как раз благодаря заражению именно вашего ПК и вашему последующему обращению в антивирусную лабораторию после инцидента ;)
Vlad X
08:10:30 2020-09-17
Zserg
08:09:20 2020-09-17
GREEN
08:05:05 2020-09-17
Так что за почтой всегда нужен постоянный присмотр и стараться не делать из почты, особенно корпоративной, CRM-базу данных.
И антивирус нам в помощь!
Sergey
06:54:50 2020-09-17
Slava90
06:50:58 2020-09-17
Любитель пляжного футбола
06:47:06 2020-09-17
@admin, похоже на опечатку, предложение "Чтобы понять, можно ли сжать базу данных, нужно смотреть конкретного почтовый клиент и конкретную его версию..."
Morpheus
04:41:09 2020-09-17
tigra
04:19:51 2020-09-17