Nowy typ spamu

Serwis Cert.pl informuje że od około miesiąca nasilają się przypadki rozsyłania reklam za pomocą usługi “Messenger” (“Posłaniec”). Usługa ta występuje w systemach Windows NT/2000/XP i jest domyślnie uruchamiana.

Usługa “Posłaniec” służy do odbierania krótkich komunikatów tekstowych, które mogą być rozsyłane do poszczególnych użytkowników lub grup użytkowników w sieci lokalnej. Co najmniej od początku 2003 roku usługa ta stała się też podstawowym narzędziem spamerów, którzy za jej pomocą rozsyłają reklamy do losowych odbiorców.

Usługa “Posłaniec” jest usługą RPC, normalnie osiągalną za pośrednictwem usługi MS RPC Endpoint Mapper, rezydującej na porcie 135. Jest także osiągalna bezpośrednio na portach efemerycznych, najczęściej od 1026/UDP do 1029/UDP. Od kiedy port 135 jest często blokowany przez wielu ISP (na skutek robaka Blaster), spamerzy przerzucili się na wyższe porty. Ponieważ komunikat można rozesłać jednym pakietem UDP, źródłowe IP jest zazwyczaj sfałszowane.

Rozsyłanie spamu, poprzez ruch jaki generuje, może mieć też efekt uboczny w postaci DoS.

Aby uchronić się od popup spamu, należy wyłączyć usługę “Posłaniec”. Jeżeli jest niezbędna do pracy, zalecane jest zastosowanie firewalli i ograniczenie IP, z których mogą być odbierane komunikaty.

Czytaj Więcej: Wzrost przypadków rozysłania spamu przez usługę “Posłaniec”
© Cert.pl


Aby tymczasowo zatrzymać działanie usługi “Posłaniec” należy w Menu Start/Uruchom wpisać polecenie net stop Posłaniec lub net stop Messenger – zależnie od wersji językowej systemu. Innym sposobem zatrzymania usługi jest jej całkowite wyłączenie. Aby tego dokonać należy się zalogować na konto z uprawnieniami Administratora i przejść do Karty Usługi [Menu Start/Panel Sterowania/Narzędzia Administracyjne/Usługi] i tam we właściwościach usługi Posłaniec wybrać opcję Typ Uruchomienia: Wyłączony.