有人能认出这个使用 ROT13 编码的电子邮件嗅探器或恶意软件吗?

有人能认出这个使用 ROT13 编码的电子邮件嗅探器或恶意软件吗?

我有一个私人网站,每周都会向大约 30 人发送带有两个不同 http 链接的电子邮件。点击链接后,答案就会记录在数据库中。从上周开始,收件人的其中一个链接会自动被网络嗅探器或收件人计算机上的某些恶意软件跟踪。

由于链接包含每个收件人的电子邮件地址,因此每封电子邮件都是单独发送的:

Yes, I will attend:
http://mywebsite.com/[email protected]&answer=yes

No, I can't attend:
http://mywebsite.com/[email protected]&answer=no

电子邮件发送约 20 分钟后,我的网站收到以下请求:

UserHostName: 209.133.77.166
UserHostAddress: 209.133.77.166
UserAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2; MS-RTC LM 8)
Browser: IE 7.0
Platform: WinXP
HttpMethod: GET
Path: /default.aspx
Url: http://mywebsite.com/default.aspx?answer=ab&[email protected]
UrlReferrer: 

这里有一些奇怪的事情值得观察:

  • 电子邮件地址和答案均采用 ROT13 编码(但参数名称不是)。
  • 参数的顺序被颠倒了。
  • 仅跟踪第二个链接,其中 answer=no。

还:

  • IP 地址、用户代理、浏览器和平台字段与收件人计算机的不匹配(但当然,它们可能是被欺骗的)。
  • 上周使用的 IP 地址是 209.133.77.167。这两个地址似乎都是在 above.net 域中动态分配的,执行 tracert 会得出主机名 209.133.77.166.T01713-01.above.net。
  • 检查电子邮件标题,该电子邮件是从我的网络酒店 binero.net 通过 messagelabs.com 发送到收件人的邮件服务器。
  • 仅有这一位收件人有这些问题。

有人能识别出跟踪电子邮件链接并使用 ROT13 对参数进行编码的模式吗?

答案1

哈哈,发帖 5 分钟后我自己就找到了答案。你遇到过这种情况吗?:-)

https://security.stackexchange.com/questions/48684/help-investigating-potential-website-attack-url-rewriting-and-rot-13-obfuscatio

本质上:

我们与 AboveNet(现为 Zayo 的一部分)通了几次电话,最终确定他们的一个客户是一家位于英国的反恶意软件公司,为我们的两个共同客户提供服务。他们扫描所有收到的电子邮件并探测任何超链接,以识别目的地中的潜在危险和/或漏洞。

相关内容