Het gebeurt me niet vaak. . maare. . ik heb werkelijk geen
idee wat nu de clou van het wijzigen van de extensie is. En
dat verhaal over txt-files in de zipfile die kleiner zijn en
iets met 'posion' is mij ook compleet onduidelijk.

Inderdaad, volgens mij moet de vakantie hulp nog even zijn tekst na
lezen voor het te posten...

ik ben dus niet de enige die niet veel van het verhaal
begrijpt.....

Om spamfilters te misleiden hernoemen spamverspreiders de .rar
extensie naar .zip. Naast dat de extensie dus niet klopt pakken de meeste
spamfilters de bijlagen niet uit (kost teveel tijd, vooral als je honderden
berichten per minuut moet verwerken, zoals een grote provider). Dus
belanden ze in de inbox van de ontvanger = gunstig voor de spammer.

In het Rar-archief zit een tekstbestand met:
1. de spam-advertentie (over de aandelen die de spammers hebben
gekocht) en
2. een heleboel irrelevante geldige teksten.

De irrelevante teksten zijn per geadresseerde dynamisch gegenereerd,
willekeurig, dus telkens anders. Dit hebben spamverspreiders wederom
gedaan om spamfilters te foppen en uiteindelijk onbruikbaar te maken.
Want spamfilters met een leerknop als "dit is spam" raken na een aantal
weken corrupt: de geldige teksten gaan in de databank met foute teksten.
Geldige berichten zullen dankzij dit "gif" na verloop van tijd in de spam-map
verdwijnen (false positive).
Kijk hier voor meer info over Bayesian Poison:
http://www.surfright.nl/nl/caretaker/antispam/background#poisoning

Door in plaats van een inline afbeelding, pdf of xls-bijlage nu een
ingepakt .txt bijlage te gaan gebruiken kunnen spammers meer berichten
versturen in dezelfde tijd = meer spam = gunstig voor de spamverspreider.

Het gaat om aandelen die in principe weinig waard zijn maar waar een
interessant feitje over te melden valt. Door dit nieuws iets aan te dikken (en
bijzonder veel aandacht te geven in een spamrun) proberen de
spamverspreiders het aandeel populairder te maken dan ze eigenlijk zijn.
Dit is bijzonder lucratief gezien de hoeveelheid aandelenspam dat
tegenwoordig mailboxen bereikt. De bedrijven waarvan de aandelen
worden verhandeld hebben over het algemeen niets te maken met de
spamverspreiders en zijn uiteindelijk slachtoffer (over het algemeen zijn de
aandelen na een tijd niets meer waard).

Dus:
- Rar-bijlage hernoemd naar .zip om filters te misleiden
- Bijlage bevat tekstbestand met zowel spam-advertentie als gif om (leer-)
filters te vernielen en dus te omzeilen
- Spammers kunnen meer spamberichten versturen omdat de tekstbijlage
beter te comprimeren is
- Spammers misbruiken waardeloze aandelen om geld te verdienen

Deze spamvorm is nieuw en sinds 3 dagen bijzonder populair.

1. Spammer kiest RAR als archief formaat.
2. Spammer hernoemd ".rar" extensie in het bericht naar ".zip".
3. Spammer stuurt de spam.
4. Doorsnee gebruiker klikt op de bijlage en kan die niet openen want er is
geen ZIP viewer die RAR kent geïnstalleerd.
5. Zeldzame gebruikers hebben WinRAR (of een andere ZIP/RAR viewer)
geïnstalleerd als default ZIP viewer, deze gebruikers kunnen het bericht
wel lezen.

Bayesian Poison bestaat niet, wat je bedoelt is Bayesian filter poisoning,
letterlijk vertaald: vergiftiging van Bayesian filters.

Dit klopt niet helemaal want bijna alle uitpakkers kunnen prima met Rar
overweg. Ik vermoed dat Rar wordt gebruikt omdat Rar tekstbestanden
aanzienlijk beter comprimeert dan Zip.

De term bestaat wel: http://en.wikipedia.org/wiki/Bayesian_poisoning (zie ook de link in het artikel). Al moet ik toegeven dat Bayesian filter poisoning de lading beter afdekt.

De term bestaat wel: http://en.wikipedia.org/wiki/Bayesian_poisoning. Al moet ik toegeven dat Bayesian filter poisoning de lading beter
afdekt.[/quote]
Nee, het bestaat niet. Bayesian poison impliceert dat een gif wordt
gemaakt a la Bayes en dat is onzin.

Bayesian poisoning is al een stuk beter, maar niet duidelijk, bayesian filter
poisoning is wel duidelijk, maar daarover waren we het al eens.

Nee, dat is niet zo.

1. Voor het gemak ga je eraan voorbij dat de doorsnee gebruiker helemaal
geen archief programma op zijn computer heeft, laat staan een die RAR
ondersteund.
2. WinRAR zelf is standaard niet gelinkt aan ZIP, dus zelfs met WinRAR
kun je de bestanden niet openen vanuit een mail reader die met MIME
associaties werkt.
Je moet dus een link hebben tussen zip en capabele RAR viewer.
3. De laatste versies van programma's als WinZIP ondersteunen alleen
oude versies van RAR. Zo kan WinZIP 11 deze RAR bestanden niet
openen, ondanks dat het wel de RAR associatie vervangt.

Je maakt dezelfde fouten als de spammer.

De gerenaamde RAR is gisteren verschenen. Daarvoor, op maandag,
verscheen een echte zip met tekst file, die moet je niet verwarren.

Het is geen muggezifterij maar muggeNzifterij ;-)

Bayesian Poision, Bayes Poison, Bayesian filter poisoning, Bayesian
Poisoning, whatever! Hier vinden ze het Bayesian Poison (niet dat ik het daarop heb gebaseerd):
http://www.americanscientist.org/template/AssetDetail/assetid/55592?&print=yes

"Some of the wiles of spammers may be intended not just to evade detection but also to sabotage the filter. The idea is called Bayesian poison. Many spams include a long addendum of random words or irrelevant text, such as paragraphs lifted from Dickens or Defoe, or recent news items."

De spammer heeft er anders goed aan kunnen verdienen.
Zie http://finance.google.com/finance?q=SZSN en zoom uit over 1
maand.
Niet alles is toe te schrijven aan het Rar / Zip verhaal maar ook PDF-spam
en Excel-spam hebben bijgedragen aan de verdubbeling op 18 juli.

Helemaal niets is toe te schijven aan hernoemde rar spam. Ten eerste, de
rar spam verscheen gisteren pas. Niet 2 weken of 3 dagen geleden.

De spammer gebruikt nu meerdere technieken naast elkaar voor dezelfde
aandelen, dus je kunt uit aandeel grafieken niets afleiden over de
effectiveit van hernoemde rar files.

Oh my GOD wat een gezeur om niks hier. Het gaat er gewoon om dat er
een weer een nieuwe vorm van spam is. Ik vind het netjes dat de mensen
hiervoor gewaarschuwd worden.

Wat ik eigenlijk nog beter vind is dat een nederlands bedrijf hier zo snel op
inspringt om deze vorm te blokkeren. Ga zo door in ieder geval. Ik moet
Caretaker Antispam toch maar eens proberen.

Ehm... zo uniek als Erik het doet voorkomen is detectie van deze spam
niet. Het is zelfs makkelijker te detecteren dan gewoon platte tekst.

Ook het gratis SpamAssassin is in staat deze spam te detecteren.

Overigens, toevallig is deze spammer is sinds vandaag weer begonnen
met het verzenden van platte tekst spam.

De reden waarom de extensie .zip is en niet .rar is heel simpel:
De spammers hebben een fout gemaakt.
Er zitten vanuit de spammer zijn point of view alleen maar
nadelen aan het hernoemen van een RAR naar .zip.

Misschien kunnen de makers van hitmanpro beter de visies van
de securitybedrijven kopiëren ipv zelf wat te verzinnen,
piggybacking is immers waar ze goed in zijn.

Sinds wanneer stuurt Kaspersky spam dan? :)

De spammers hebben dus per ongeluk de archieven ingepakt met RAR
en het een .zip extensie gegeven. Heeft meer weg van een proefballon dan
een fout.
Overigens, wat heeft dit nieuwsbericht te maken met hitmanpro en
piggybacking?

Het is goed mogelijk dat de spammer een fout heeft gemaakt in de
extensie al is de methode niet onbekend in die kringen (denk aan
executables met pif extensie). De methode is in ieder geval nauwelijks
effectief.

Ik denk niet dat het om een proefballon gaat, want een testmogelijkheid
ontbreekt. Aandelen van hetzelde bedrijf zijn ook tegelijkertijd in andere
spam gehyped.

uhmmm het zal wel aan mij liggen, maar worden zip en rar door de
meeste virus scanners al niet geblokked?? dan is het hele probleem
van spam mailtjes toch al redelijk getackeld.

Alleen als er een virus in zit.

gewoon alle atachments de nek omdraaien als die niet van
bekende peronen afkomen.

mailwasher kan je lekker tunen met atachments.