Не могу понять что вы сказали.

поясните.


ложные срабатывания 100% обеспечены.

а вы знаете сколько стоит анализировать погоду? я не знаю. потому что даже представить не могу.

И потом, извините, сам по себе Интернет это халява. Если кто-то уж так много денег теряет пользуясь сетью Интернет (что как правило лишь громкие слова) то пусть не пользуется этой сетью. Пусть создает свою сеть на базе того же TCP/IP и там уже точно спама не будет. А раз пользуется Интернет - значит ему выгоднее получать спам, чем строить свою сеть. И не надо говорить про миллионные ущербы. Про миллионные доходы я верю, а вот про ущербы - вранье все это.

Согласен, хеш-коды не нужны.
Но Вы предложили собирать имя файла, откуда, куда. Разве это менее интересно чем номер телефона?
Наверное им интересно будет знать с кем переписывается интересный им человек и что присылает: doc, jpg или wav файлы.

не могу представить себе сервер который бы выдержал такой трафик.
представляю какая бы битва была между разведками мира за право обладания таким сервером  

пока есть методы обычные, которые к сожалению не применяются администраторами:
- запрещать перенаправлять почту через себя на чужой домен. принимать только почту своего домена.
- включать аутентификацию на сервере. без нее не отправлять почту от клиента.
- проверять действительно ли сервер который передает почту клиенту имеет MX запись.

Утилита перехватывающая операции с файлами лежит тут:
http://www.sysinternals.com/ntw2k/source/filemon.shtml
Там же есть исходники.

Эта утилита использует функцию IFSMGR_InstallFileSystemApiHook() в W95-98-MЕ.
Или подключается в стек IRP, то есть работает как фильтр файловой системы в NT-W2K-XP-2003.

Тебе нужно взять исходник драйвера и немножко подправить. Смотришь если идет операция с твоим файлом, то обламываешь ее. Если не с твоим то пропускаешь. Достаточно просто. Всего один if добавить.

Я уже делал это. Добавлю, что если ты справишься с этой задачей, то следующей задачей будет передача информации из Ring0 в Ring3. (Обратно легко - через IOCTL) Правда в filemon это сделано, но тебе этот вариант не подойдет. Вот тут ты попотеешь....

А вообще тебе нужно общаться на эту тему в конференциях типа "драйвера под Windows". Идешь на www.osr.com и смотришь ntdev и ntfsd.

Недавно читал в книженции "Программирование в сетях Windows", что оканчивается ентот дияпазон на 235.0.0.0

Книжку тоже человек написал, и он ошибся. Интересно а что начинается после 235.0.0.0 в этой книжке?  
Если зайти на официальный сайт организации которая распределяет адреса: IANA.ORG   и которая является первоисточником, то там можно увидеть следующую информацию:

224/8   Sep 81   IANA - Multicast
225/8   Sep 81   IANA - Multicast
226/8   Sep 81   IANA - Multicast
227/8   Sep 81   IANA - Multicast
228/8   Sep 81   IANA - Multicast
229/8   Sep 81   IANA - Multicast
230/8   Sep 81   IANA - Multicast
231/8   Sep 81   IANA - Multicast
232/8   Sep 81   IANA - Multicast
233/8   Sep 81   IANA - Multicast
234/8   Sep 81   IANA - Multicast
235/8   Sep 81   IANA - Multicast
236/8   Sep 81   IANA - Multicast
237/8   Sep 81   IANA - Multicast
238/8   Sep 81   IANA - Multicast
239/8   Sep 81   IANA - Multicast
240/8   Sep 81   IANA - Reserved
241/8   Sep 81   IANA - Reserved
242/8   Sep 81   IANA - Reserved
243/8   Sep 81   IANA - Reserved
244/8   Sep 81   IANA - Reserved
245/8   Sep 81   IANA - Reserved
246/8   Sep 81   IANA - Reserved
247/8   Sep 81   IANA - Reserved
248/8   Sep 81   IANA - Reserved
249/8   Sep 81   IANA - Reserved
250/8   Sep 81   IANA - Reserved
251/8   Sep 81   IANA - Reserved
252/8   Sep 81   IANA - Reserved
253/8   Sep 81   IANA - Reserved
254/8   Sep 81   IANA - Reserved
255/8   Sep 81   IANA - Reserved

то есть никто не может использовать эти адреса с сентября 81 года до сих пор. Я, например, эти адреса как и все другие зарезервированные, у себя на входной Cisco заблокировал. Чтобы неповадно было.

Специально для внутренних сетей существуют зарезерезерированные адреса. Эти адреса не присвоены и никогда не будут присвоены какому-либо хосту, непосредственно соединенному с Интернет. То есть эти адреса ВНУТРЕННИЕ.

Зарезервированными являются следующие адреса:

От 10.0.0.0 до 10.255.255.255, маска 255.0.0.0
От 172.16.0.0 до 172.31.255.255, маска 255.240.0.0
От 192.168.0.0 до 192.168.255.255, маска 255.255.255.0

Все другие адреса являются ВНЕШНИМИ и могут быть присвоены любому хосту в Internet (кроме адресов от 224.0.0.0 до 255.255.255.255).
Подробно зарезервированные адреса смотрят здесь
IANA

Еще вот посмотрите Об IP адресах

Посмотреть свой IP адрес можно командой ipconfig /all в Windows или ifconfig -a в любом Unix.

я пользуюcь CoolProxy v1.4, он и баннеры лишние режет. Пробовал несколько, даже squid, но они не прижились.

Я вот что думаю. Надо бы нам всем начать контролировать попытки соединения в наши сети по портам 3127-3198 tcp.
Таким образом как только эти уроды-распространители начнут сканить сетки в поиске открытых для себя троянов, а они будут это делать перед началом DOS атаки на SCO, то можно будет засечь их IP адрес. Пусть это даже будет прокси. Но это уже результат. Тем более собрав статистику таких соединений мы точно их вычислим. Тем более есть возможность заработать 250000 долларов
Я, например, уже поставил у себя Honeypot. Пусть ломятся.
К сожалению, в подозрение у меня попадают хосты которые к 3128 порту коннектятся - HTTP прокси ищут. Вообще активность на ожидаемых портах отсутсвует... Может эти порты разработчикам и не нужны были?

Хотя может вирус плохо распотрошили и он сам рассылает куда-то инфу о себе? Но это вряд ли.

Кстати по-поводу российского происхождения вируса я сомневаюсь, поскольку рассылка идет генерацией email подстановкой только английских имен. Например у себя вижу: fred, jose, helen, james, peter, maria, brenda, bob, alice, joe, matt, mary, dan, mike.

похоже все админы напряглись и справились. я вчера сидел весь день смотрел на трафик через сниффер и сразу же звонил тем абонентам у кого SMTP трафик был больше обычного. напрягал на всякий случай.

проблема есть.
если держу два домена для почты
@domain1.ru
@domain2.ru
то есть создано два SMTP сервера, но они в одном Mailbox store

Я не могу для одного домена мониторить почту на одном аккаунте, а на другом домене мониторить почту на другом аккаунте.

видимо придется два mailbox store создавать.

mail.ru молодцы. Я когда проверял работу своего антивируса пытался послать этот вирус с mail.ru сам себе. Так mail.ru даже письмо не принимает для отправки по SMTP. Говорит: я это слать не буду.
А мой сервак так не умеет. Он сначала принимает, потом проверяет, потом сообщение генерит что вирус найден. Надо сделать как на mail.ru

на ящик начальника нужно.
Нет ли встроенной возможности?
Я посмотрел есть плугины
GFI MailEssentials for Exchange/SMTP 9
eXclaimer for Exchange
Но для них креков нет.

можно. а как отличить "хорошее" письмо от спама?

ага. зараженные компы рассылают. У меня CommView показывал на графике SMTP трафик аж 47%.
Я отловил все TCP пакеты с портом 25 из локалки и нашел виновников.

По умолчанию в Windows 2000, XP отключена учетная запись "Гость", поэтому пользователь, не зарегистрированный компьютере, не сможет получить доступ к общим ресурсам на этом компьютера. Можно включить её, запустив оснастку "Локальные пользователи и группы" (Для версии Professional: правый клик на значке Мой компьютер -> Управление -> Служебные программы или просто набрать lusrmgr.msc в меню Выполнить -> Запуск программы). Далее, открываем папку Пользователи, двойной клик на пользователе "Гость", в появившихся Свойствах убираем галочку напротив "Отключить учетную запись". Теперь запрос на доступ к ресурсу IPC$ при обращении к компьютеру по сети появляться не будет. Хотя правильнее будет завести на машине нужное число локальных пользователей. Причем можно запретить им локальный вход в систему, разрешив только сетевой доступ. Зайдите в Панель управления -> Администрирование -> Локальная политика безопасности -> Параметры безопасности -> Локальные политики -> Hазначение прав пользователя, параметр "Локальный вход в систему" - уберите пользователя из списка или в параметре "Отклонить локальный вход" - внесите.

Было с утра. Пара компов заразились и забили трафик - вылечили.
Для антивируса Касперского апдейт уже есть на сайте так что Касперский для Exchange тоже не пустил этот вирус.
Проблема только, что на почтовый сервак приходят письма зараженные в больших количествах. Жалко трафик. Но весь Интернет вылечить не могу

А что вы считаете что Trend Micro Scan Mail лучше чем Касперский или DrWeb для почты?


ЗЫ: Лечилка от Symantec http://securityresponse.symantec.com/avcenter/FxNovarg.exe

я не помню. может она хочет драйвер WinPCap? readme читал?


Кстати arp -s фиксирует статически MAC адрес начиная с Windows XP. На w2k она не работает как ожидалось.

Пример способа поиска сниффера (ping method):
The machine suspected of running the packet sniffer has an IP address 10.0.0.1, and an Ethernet address of 00-40-05-A4-79-32.
You are on the same Ethernet segment as the suspect (remember, the Ethernet is used only to communicate locally on a segment, not remotely across the Internet).
You change the MAC address slightly, such as 00-40-05-A4-79-33.
You transmit an "ICMP Echo Request" (ping) with the IP address and this new MAC address.
Remember that NOBODY should see this packet, because as the frame goes down the wire, each Ethernet adapter matches the MAC address with their own MAC address. If none matches, then they ignore the frame.
If you see the response, then the suspect wasn't running this "MAC address filter" on the card, and is hence sniffing on the wire.

Другие способы описаны тут
Глава 2.5 "How can I detect a packet sniffer?"

Может мне перевести это в виде статьи?

Пуск>Программы>Администрирование>Локальная политика безопасности
Или secpol.msc
Там
Локальные политики>Назначение прав пользователей
Там глянь
Отказ в доступе к компьютеру из сети
Доступ к компьютеру из сети

Надо удалить Гостя из "Отказ в доступе к компьютеру из сети"

и вообще проверь наличие Гостя

Есть хорошая утилита TCPView
Скачай ее здесь и посмотри какие порты открыты реально на твоем компьютере. Также ты этой утилитой увидишь какие процессы открыли эти порты.