Niemieccy naukowcy wymyślili jak zarabiać na giełdzie

[Aktulizacja 2016-07-26 08:13] Dodanie kolejnych warunków do pierwszej reguły, druga działa cały czas
[Aktualizacja 2016-07-25 12:19] Dodanie kilku warunków do pierwszej reguły

Ostatnio się pojawił nowy-stary spam. Mowa o niemieckich naukowcach co wymyślili jak zarabiać na giełdzie. Kiedys było o tym ale zmienił sie format linku i stara reguła przestała działać. Dziś nowe dwie reguły na to badziewie.

  • pierwsza reguła sprawdza czy występują frazy o naukowcach o bogactwie itd oraz czy czy  link jest w nawiasach [ ] i pewnego jego właściwości. Link jest ogólny więc aby nie było false positive trzeba sprawdzić głupoty z treści maila
  • druga reguła sprawdza sam link i wymaga od niego aby był w [ ] potem aby mial odpowiedni początek i powtórzoną odpowiednio 3 razy fraze Ten pomysł sprawdzania podsunął czytelnik bloga „kilobtes”. I co ciekawe wychwytuje on również inny spam zrobiony tym samym generatorem (tematyka, że sexy dziewczyny itd).Tu nic więcej nie jest sprawdzane ponieważ budowa linka jest tak specyficzna, że nie ma potrzeby robić tego.

I ostatnia uwaga: Sporo maili z giełdą łapie sie na regułe z EVAl_DOVE opisaną w poście Wysyp maili z eval code

A oto reguły

body __ZABOJCASPAMU_GIELDA_20160722_1  /\[ http:\/\/[0-9a-z.-]+\/[0-9a-z\/]+\.php\?[a-z]=\d+\&[^\s]+\s\]/
body __ZABOJCASPAMU_GIELDA_20160722_2  /ztuczn.{1,6} inteligencj|czlowiek .{1,6}pi|rogram zrobi wszystko|nwestuj.{1,6}c|owiedz si.{1,6} i zacznij|iemieccy matematycy |iemieccy uczeni|kt.{1,6}ry handluje|na gie.{1,6}dzie|rynek gie.{1,6}dowy|wszystko sam|pa niemieckich|zarabia pieniadze|bedzie zabroniony|niemieckich uczon|BankBot|odmienic twoje|wicie bogaty/
meta  ZABOJCASPAMU_GIELDA_20160722  __ZABOJCASPAMU_GIELDA_20160722_1 && __ZABOJCASPAMU_GIELDA_20160722_2
describe ZABOJCASPAMU_GIELDA_20160722 Zarabiane na gieldzie, niemieccy uczeni http://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/
score    ZABOJCASPAMU_GIELDA_20160722 10

body     ZABOJCASPAMU_GIELDA_20160724  /\[ http:\/\/[0-9a-z.-]+\/[0-9a-z\/]+\.php\?[a-z]=\d\d\d(\&[a-zA-Z0-9]+\=[a-zA-Z0-9]+){3} \]/
describe ZABOJCASPAMU_GIELDA_20160724 Gielda ,zarabianie,niemieccy uczeni http://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/
score    ZABOJCASPAMU_GIELDA_20160724   7

29 thoughts on “Niemieccy naukowcy wymyślili jak zarabiać na giełdzie

  1. Dzięki, niestety jeszcze niektóre przechodzą.

    From: Piotr Kowalczyk
    Subject: Chcesz byc naprawde bogaty?
    Message-ID:
    X-Priority: 3
    X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    boundary=”b1_4a1d40787fc0d9f1546e38ee11a71368″
    Content-Transfer-Encoding: 8bit

    –b1_4a1d40787fc0d9f1546e38ee11a71368
    Content-Type: text/plain; charset=us-ascii

    Niesamowite!

    Zdumiewajace odkrycie matematykow daje ludziom mozliwosc zarabiania milionow, nie robiac praktycznie NIC!
    Sztuczna inteligencja zawiera na gieldzie same korzystne transakcje, wykluczajac jakiekolwiek ryzyko strat.

    Pozbawiony emocji, sklonnosci do hazardu i agresji program zawsze „trafia w dziesiatke” w 100 przypadkach na 100!

    Mam jednak powazne obawy, ze wkrotce ten program „szczescia” zostanie zabroniony.
    W przeciwnym razie swiatowy system finansowy znajdzie sie w zagrozeniu.

    [ http://www.bvbr.ca/proxy.php?b=113&2Zeiaf61=QTTEMr8CfhjSNbRZdHaT&AKC=2NA&3ogHS=Q ] Jednak masz jeszcze szanse wzbogacenia sie – kliknij w odnosnik!

    –b1_4a1d40787fc0d9f1546e38ee11a71368
    Content-Type: text/html; charset=us-ascii

    Niesamowite!

    Zdumiewajace odkrycie matematykow daje ludziom mozliwosc zarabiania milionow, nie robiac praktycznie NIC!
    Sztuczna inteligencja zawiera na gieldzie same korzystne transakcje, wykluczajac jakiekolwiek ryzyko strat.

    Pozbawiony emocji, sklonnosci do hazardu i agresji program zawsze „trafia w dziesiatke” w 100 przypadkach na 100!

    Mam jednak powazne obawy, ze wkrotce ten program „szczescia” zostanie zabroniony.
    W przeciwnym razie swiatowy system finansowy znajdzie sie w zagrozeniu.

    Jednak masz jeszcze szanse wzbogacenia sie – kliknij w odnosnik!

    –b1_4a1d40787fc0d9f1546e38ee11a71368–

    1. Sprawdzilem i ten mail powinien zostac ubity przez pierwszą regułe. I przez kilka innych reguł na tej stronie

  2. X-Spam-Flag: NO
    X-Spam-Score: -0.452
    X-Spam-Level:
    X-Spam-Status: No, score=-0.452 tagged_above=-10 required=3
    tests=[BAYES_00=-1.9, HTML_MESSAGE=0.001, RCVD_IN_BRBL_LASTEXT=1.449,
    SPF_HELO_PASS=-0.001, SPF_PASS=-0.001] autolearn=no autolearn_force=no

    Co jakiś czas przechodzą. Nie rozumiem dlaczego. Czyżby co jakiś czas nie używał Twoich reguł?

    1. Jak wziąłem i sprawdziłem załączony mail w test-mode i wychwycil wszystko. Może domene nadawcy masz w wwhitelist?

          1. Od wczoraj przyszło 14, jest duże lepiej. Jednak niektóre przechodzą, pomimo ‚X-PHP-Originating-Script=~/eval\(\)’d code/’ (jest to w Twoich regułach, więc miałem tą regułę już wcześniej). Po prostu nie zostaje to zauważone. Jakby co jakiś czas nie zwracał uwagi na Twoje reguły. Muszę się temu dokładnie przyjrzeć.

          2. Ta pierwsza reguła czasem nie działa bo nie ma wyszukiwanych fraz(dodaje je co jakiś czas). Ale druga reguła zawsze działa.
            Sprawdz pojedycze maile
            spamassassin –tes-mode < mail i zobacz punktacje. I wizualnei czy reguła powinna zadziałać

  3. [code]
    Content analysis details: (19.8 points, 5.0 required)

    pts rule name description
    —- ———————- ————————————————–
    10 ZABOJCASPAMU_EVAL_CODE X-PHP-Originating-Script zawiera eval\(\)’d
    code
    4.0 LOCAL_X_PHP_Originating Has X-PHP-Originating-Script header
    0.1 ZABOJCASPAMU_X_PHP_Originating Has X-PHP-Originating-Script header
    -1.3 RP_MATCHES_RCVD Envelope sender domain matches handover relay domain
    0.0 HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level mail
    domains are different
    7.0 ZABOJCASPAMU_GIELDA_20160724 BODY: Gielda ,zarabianie,niemieccy
    uczeni
    http://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/
    0.0 HTML_MESSAGE BODY: HTML included in message
    [/code]

  4. Wszystko ok, tylko dlaczego ten mail przeszedł podczas systemowego skanowania? Dopiero został złapany „ręcznie”.

  5. Witam super strona dzięki, że coś takiego stworzyłeś !!
    Ale do rzeczy myślę ale nie jetem pewien czy czasem w tej regule nie ma błędu?

    body __LOCAL_GIELDA_20160722_2 /ztuczn.{1,6} inteligencj|czlowiek .{1,6}pi|rogram zrobi wszystko|nwestuj.{1,6}c|owiedz si.{1,6} i zacznij|iemieccy matematycy |iemieccy uczeni|kt.{1,6}ry handluje|na gie.{1,6}dzie|rynek gie.{1,6}dowy|wszystko sam|pa niemieckich|zarabia pieniadze|bedzie zabroniony|niemieckich uczon|BankBot|odmienic twoje|wicie bogaty/
    meta ZABOJCASPAMU_GIELDA_20160722 __ZABOJCASPAMU_GIELDA_20160722_1 && __ZABOJCASPAMU_GIELDA_20160722_2

    bo w BODY definiujemy __LOCAL_GIELDA_20160722_2 a w META jest już odniesienie do __ZABOJCASPAMU_GIELDA_20160722_2 może się mylę ale zamiast tego __LOCAL powinno być __ZABOJCASPAMU_GIELDA_20160722_2 ??

    1. Wstyd mi straszny ale faktycznie masz racje. Dzieki za info.Poprawione w pliku rowniez.
      na szczescie druga reguła była dobrze ona uwalala

      1. Hehe nic się nie stało – jeszcze raz gratki za super stronę. Jeszcze przechodzi trochę tego spamu, ale dam Twoją regułę na 3 frazy z tym że wyżej bo 5 punktów i zobaczymy 🙂

        1. A spoko, fajnie ze ktos czyta ta strone:)
          A co do liku 3 frazy to taka punktacja ryzykowna bo moga miec normalne linki takie uklad

    1. Tez uzywam Roundcuba ale nie bedzie to dzialać. To tylko na serwery. Program ten ni eobsluguje wyrazem regularnych

      1. To co w takim razie zrobić korzystając z Roundcuba? Przenieść się na inną skrzynkę? A Ci naukowcy z czasem sobie pójdą czy będą mnie męczyć do usranej śmierci? Na koncie prywatnym z gmaila cała armia tych naukowców siedzi w spamie, nic się nie przedostaje…

      2. Tzn. naukowców już też nie mam. Wszystko przychodzi pod innymi nazwami. Dużo Lewandowskich teraz mam
        np.

        ///
        Joanna Lewandowski
        Ten sposob NAPRAWDE zwiekszyl moje dochody o 79%

        Rok temu nie bylam w stanie kupic dziecku nawet zabawki, poniewaz sa drogie a ja jako manager zarabialam niewiele. Placz dziecka – to dla matki silny bodziec.

        Przekopalam caly Internet zanim znalazlam SPRAWDZONY sposob na to, aby zapewnic utrzymanie sobie i swojemu dziecku. Nakrecilam nawet filmik, w ktorym szczegolowo opowiadam w jaki sposob KAZDY moze zarobic w Internecie swoje $. Klikajcie tutaj i patrzcie.

        Pierwsze moje porady i wsparcie BEZPLATNIE.
        ///

        No i link gdzieś w środku ..

        1. Zaznacz w Roundcube „treść” „pasuje do regex” i wklej wyrażenie, ja dziś wykminiłem takie:
          http:\/\/\w+(\-\w*)?(\.\w*)?\.\w{2,3}\/\w+\.php\?\w{1}=116&2xAuW
          i działa na wszystkich naukowców i ich następców jakie do tej pory dostałem

          Druga opcja: w Roundcube masz zainstalowane bądź powinieneś móc zainstalować skrypty sieve i to również obsługuje regex, tylko trzeba się douczyć składni tego języka

          1. U mnie nie działała. Zacząłem tworzyć po kolei od początku i wyszło, że chyba nie obsługuje nawiasów kwadratowych [ ]

  6. Witam
    U mnie niemieccy naukowcy wyewoluowali do postaci maila z co chwila zupełnie inną treścia i tematem, pojawia sie ok 5 dziennie . link jest również za każdym razem inny. Co z tym robić?

  7. Koledzy podpowiedzcie w jaki sposób wykorzystać proponowane reguły do wyłapywania spamu po stronie PC?
    Mój serwer pocztowy nie obsługuje wyrażeń regularnych, klient (Thunderbird) z tego co wiem też nie, a reguła sprawdzająca link wycinałaby 90% spamu, który aktualnie zalewa moje konto firmowe. Może jakiś inny przystępny klient poczty?

      1. no niby tak, ale nie na „niemieckich naukowców” i tym podobne…
        uczyłem go z miesiąc i dopisywałem sam filtry – było już ok, ale kilka dni temu znów zmieniły się tematy i treść maili i cała fatyga na marne, tylko ten link cały czas się łapie na Twoją regułę

  8. Tego rodzaju spam przychodzi najczęściej z adresów, można dostrzec podobieństwo , nazwiska zawsze w rodzaju męskim, kreska między imieniem a nazwiskiem, domeny przeróżne:

    jerzy_wisniewski@*
    ewa_kowalczyk@*
    marcin_wisniewski@*
    marek_nowak@*
    tomasz_kaminski@*
    pawel_kaminski@*
    joanna_zielinski@*
    zbigniew_lewandowski@*
    jozef_kowalczyk@*

    Tematy wiadomości:

    Wiem w jaki sposob zarobic na samochod oraz dom w ciagu 6 miesiecy
    Bylem w stanie splacic wszystkie kredyty w ciagu 2 miesiecy
    Wyrwij sie z finansowej niewoli i badz niezalezny
    Program, ktory zarabia pieniadze
    Chcesz byc niezalezny pod wzgledem finansowym?
    Program pracuje przez 24 godziny na dobe i zarabia na moj samochod
    Pragniesz kupic dom i samochod? wiec czytaj
    Inwestycja, ktora odmieni twoje zycie
    Dam ci pieniadze jutro

    ostatnia mutacja tego spam to tematy w języku polskim np.:

    Dzisiaj będzie super gra – zapraszamy do rejestracji
    Jackpot jest dostępny w wysokości 5 000 000 dolarów
    Przestań marnować czas – wejdź do klubu milionerów
    Weź znajomych na przejażdżkę swoim jachtem – po wygranej u nas

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *