31-07-2007 - Retour aux sources:

Noyés dans l'ennui estival, les spammeurs ont décidé d'effectuer un retour aux sources: l'utilisation de fichier TXT pour rédiger leurs spams. Mais en rajoutant une dose de compression et de bidouillage désespéré.

Parti de Taiwan vers 7h du matin (GMT+2), le spam contient encore une fois une pièce jointe zippée. Mais à défaut d'y trouver à l'intérieur le - presque - classique fichier XLS, cette fois-ci ce n'est qu'un simple fichier TXT:

Malheureusement, le contenu, lui, n'a même plus d'effet de surprise:

La suite du texte comporte environ 100 lignes vides puis 1800 lignes de textes aléatoire, ce qui explique sa taille de 167Ko, et utilise les caractères de fin de ligne CR/LF (Windows).
Mais le plus intéressant est tout de même le fichier ZIP:

Il s'agit en fait d'un fichier RAR (7 premiers octets = 0x526172211a0700) dont l'extension a été changée en ZIP. Le but semble de tenter de tromper les filtres antispams qui voudraient décompresser l'archive en ne se basant que sur son extension .zip pour lancer l'utilitaire en ligne de commande correspondant qui, ne reconnaissant pas ce format, ne pourra donc pas extraire le fichier inclus pour l'analyser.

spamClea@ner détecte ce genre de bidouillage car quel que soit le fichier qu'il doit analyser, il se base toujours sur son en-tête mais jamais sur son extension pour déterminer son type.