В течение нескольких последних дней (точнее - недель) в русскоязычной Сети расходятся вирусы, рассылаемые почтой, и подписанные обратным адресом "covalent@sukhoi.ru". Часть таких вирусов получили пользователи Mail.Ru, что послужило их неопытным администраторам причиной тут же внести этот сайт в "черные листы" (с) support@mail.ru (интересно, сколько их, этих листов?...)

Определение этому действию дайте сами - из-за действий этого человека пострадало немало других людей, в том числе и тех, кто еще только хочет зарегистрироваться. Ну, а для тех, кто попался на этом, и не хочет попадаться в дальнейшем, мне придется обьяснить, как вычислить спаммера-вирусовода, рассказав, как сразу и наказать его.

Для начала надо открыть письмо "целиком", со всеми его внутренностями, включая служебные заголовки. В Outlook Express это делается установкой курсора на письме, вызовом пункта меню "File - Properties" (или вызовом того же пункта из контекстного меню правым щелчком мыши по заголовку письма). Внутри выбираем закладку "Details - Message Source". Смотрим внутрь и видим примерно такую картину:

***** ***** ***** ***** *****
Received: from mx6.mail.ru ([194.67.57.16]) by sp.cmc.msu.ru
(Netscape Messaging Server 3.62) with ESMTP id 4229
for <webmaster@sp.cmc.msu.ru>; Fri, 8 Feb 2002 15:55:53 +0300
Received: from n1-159.dialup.co.ru ([195.16.37.159] helo=Bdxaw)
by mx6.mail.ru with smtp (Exim 3.14 #1)
id 16ZAYz-0008hg-00
for webmaster@sp.cmc.msu.ru; Fri, 08 Feb 2002 15:55:37 +0300
From: covalent <covalent@sukhoi.ru>
To: webmaster@sp.cmc.msu.ru
Subject: Dskapi32.dll
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=HiN5t973N7z
Message-Id: <E16ZAYz-0008hg-00@mx6.mail.ru>
Date: Fri, 08 Feb 2002 15:55:37 +0300
***** ***** ***** ***** *****

Мимоходом заметим, что в данном случае, в отличие от каких-нибудь Internet-червей, человек сознательно пошел на то, чтобы разослать вирусы по разным адресам, прикрываясь именно мною - об этом говорит поле "From: ". Забавно, что человек это не близкий ко мне - он ни разу не получал от меня письма, и поэтому не знает, как я оформляю это поле. Отметим лишь тип подписи - ник, тот же, что в адресе перед собакой - и идем дальше.

Для нас наиболее важной оказывается самая нижняя строка, начинающаяся со слов "Received: " - эта строка рассказывает о том, кто и как послал это письмо. Подделать эту строку достаточно сложно, поэтому будем считать, что эта строка правдива.

Итак, видим, что некто, имея доменом "n1-159.dialup.co.ru", приписанным к IP-адресу "195.16.37.159", отправил через почтовую службу SMTP "mx6.mail.ru" письмо по адресу "webmaster@sp.cmc.msu.ru". Это было с его стороны бооольшой ошибкой (видно, что он использовал свой почтовый клиент - об этом говорит способ отправки "SMTP"). Что мы делаем, получив это письмо от веселящегося администратора ВМиК МГУ? Правильно, идем по адресу "Комбеллга" (http://www.co.ru/), которому прнадлежит данный способ связи "***.dialup.co.ru", щелкаем по ссылке "SITEMAP", выбираем пункт "забота о клиентах", видим пункт "ТЕХНИЧЕСКАЯ ПОДДЕРЖКА", звоним по их телефону и спрашиваем - что делать?...

В ответ слышим заверения, что это очень-очень-очень плохо, рассылать вирусы, и что все возможное они сделают максимально быстро - ну, плюс, еще надо будет переслать им письмо, как обычно. После чего они решат, сдавать мне телефон этого их уже бывшего пользователя, или ограничиться внесением его телефона в общий провайдерский "черный список" (или "списки" (с) support@mail.ru :) ).

Что делать с телефоном? Ну, для этого существуют как общедоступные базы данных московских телефонов, типа http://www.infobroker.ru/ и http://www.xland.ru/, или помощь друзей - если его телефона там не окажется.

Вы, конечно, можете спросить:

- А что делать, если в хедере письма нет указания на сайт провайдера?...

И я Вам отвечу:

- Для этого существуют национальные службы WHOIS. В России такую службу используют в РосНИИРОС. Посмотрим второй пример от спаммеров-вирусоводов:

***** ***** ***** ***** *****
Received: from mx2.mail.ru ([194.67.57.12]:7439 "EHLO mx2.mail.ru" ident:
"NO-IDENT-SERVICE[2]" whoson: "xfgftd" TLS-CIPHER: <none> TLS-PEER:
<none>) by mail.yandex.ru with ESMTP id <S1383913AbSBXTzY>;
Sun, 24 Feb 2002 22:55:24 +0300
Received: from [195.34.27.70] (helo=Slwdgqdl)
by mx2.mail.ru with smtp (Exim 3.14 #1)
id 16f4j2-000AhG-00
for polar@yandex.ru; Sun, 24 Feb 2002 22:54:25 +0300
From: covalent <covalent@sukhoi.ru>
To: polar@yandex.ru
Subject: A excite game
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=Ja3hd10sz9A88unrcX8dN61
Message-Id: <E16f4j2-000AhG-00@mx2.mail.ru>
Date: Sun, 24 Feb 2002 22:54:25 +0300
***** ***** ***** ***** *****

Первым делом замечаем, что опять использованы тот же тип подписи в поле "From: ", протокол SMTP и "пересыльщик" Mail.Ru. Смотрим нижнюю строку "Received: ", видим IP-адрес "195.34.27.70". Идем в службу WHOIS (http://www.ripn.net:8080/nic/whois/), выбираем второе окошко сверху "ПОИСК В БАЗЕ ДАННЫХ RIPE", вводим туда IP-адрес, жмем кнопку "Search". Получаем как название провайдера, в данном случае - "PTT-Teleport Moscow", так и их адрес "ptt.ru". Еще одно замечание в копилку - этот человек опять пользовался дайлапом (дозвонкой). Далее делаем все то же самое, за исключением названий самих пунктов поиска, но в результате все равно видим телефон техподдержки, звоним, разговариваем, договариваемся о совместных действиях. Завтра с утра будет результат - если не номер его телефона, так хотя бы его отключение от Сети.

После чего идем публиковать этот текст в АвиаФоруме. :)

P.S. Небольшое приложение к этому тексту о сетевой безопасности: если Ваш Outlook Express не спрашивает Вас о том, надо ли открывать вложения в письмо, а открывает все пришедшие вирусы без запроса, то Вам стоит заглянуть сюда: http://www.microsoft.com/technet/security/bulletin/MS01-027.asp - это заплатка для Вашего почтового клиента. Как минимум Вы снизите вероятность заражения своего компьютера!

Правильно, Валь. Так их, бей гадюков! :)
Напишешь потом, кто это был? Ну, если выяснишь, конечно (почему-то думаю, что выяснишь).

Я был бы не против, Миш, но пока что, после переговоров с представителями "Комбеллги" и "ПТТ-Телепорта", выяснилось, что они, хотя и с удовольствием предоставят нужную информацию, но только... управлению "Р". Поскольку рассылка вирусов под чужим именем уже стала проблемой всего Рунета (не данный случай, а "вообще" :) ) - то провайдеры просят меня заявление туда написать.

Я жду до завтра. Либо этот человек обьявляется сам, пусть по телефону или аськой, и кается - либо я пишу заяву. Мне не нужны проблемы из-за шалостей - и только от этого человека зависит сейчас, останется это шалостью или станет уголовным делом.

Я получил несколько email назад от Русских сайтов где было написано что мои email содержал вирус. Я на те адреса никогда не посылал email. Наверное, это тот же человек?

Ром, тут скорее речь о том, что ЛЮБАЯ существующая на сегодня версия The Bat! производит стойкое ощущение недоделанности. Я им сам некоторое время пользовался по необходимости, поэтому говорю не на пустом месте. Очень странно видеть в программе, обладающей очевидными неоспоримыми преимуществами, настолько же гигантские ляпы, недоработки и несоответствия современным представлениям о подобном программном обеспечении, которые практически сводят на нет все ее преимущества (взять хотя бы систему многопользовательского доступа к почте, защита там практически отсутствует). Хотя возможно, что для человека, привыкшего к юниксовому мэйлу The Bat! является просто невероятно прогрессивной прогой. :)

Нет, ребята, этот парень - полный кретин. Он мне с ноября шлет ЭТО каждый день, когда до него, дойдет интерсено, что эффекта от этого - ноль?
Черт, вырождается народец-то...
:) :) :)

quote:

Originally posted by rgreat:
Позолю себе нагло влезть :)
Главное Меню -> View -> RFC822 Headers Shift+ctrl+k
:)

Точно, большое спасибо, rgreat!

quote:

Originally posted by KACATKA:
Пришел ответ =) User Unknown

Забавно... Интересно, каким образом из Клуба "ОРКИ" удалось отправить письмо по SMTP?...

В общем, вряд ли его удастся взять с поличным. Но если в ОРКАХ паспорт при выдаче места спрашивают (должны, вообще-то) - то управление "Р" с этим должно справиться.

quote:

Originally posted by CoValent:
А я не очень люблю вечно "неготовые" программы. Предпочитаю завершенность, и мирюсь с бетами лишь в силу жесткой необходимости.
Тем более, что я не знаю ни одного человека - лично - у кого были бы настолько старый Аутлук.

Разве в ЗеБате, на их сайте, или еще где написано что версия 1.53d (текущая), это бета или "неготовый" продукт ?
Или ты думаешь что то, что номера Отлуков заканчиваються куглыми цифрами это показатель завершенности или безглючности ? :) Не поверю что ты так наивен... :)
По ощущениям от пользования оутлуками кажеться это вообще сырые "альфы", ну или в лучшем случае "беты" :)

Лирика...
Когда мне приходят по почте всякие "Loveletter'ы" и т.п. мое лицо расплываеться в сочуствующей улыбке к нынешним "кулхацкерам", вирусы на визуалбейсике(50-500кб размером)...которые надо запускать самому....уууу....децл'ы вокруг...
У меня сосед...тоже такой...ганжа фермер :) ...последняя его задумка это переботка железа в золото путём сединения 2х кусков металла и железа одним проводом через комп (это я навел его на мысль что куски надо с компом всеже соедить) и хитрой программы на досовском Квик-бейсике... :)
(Я ее видел! мама...там нет правильных даже 3-х букв подряд! :) )
Но он утверждает что она прекрасно работает! чуть чуть дописать и все ! Он обеспечен до конца жизни! Леонародо да Винчи!...
Я не шучу....Я плачу.... :)
С моей помощью он освоил некороые операторы языка...нет...не буду...не могу...я...заплачу-у-у-у!.... :)

[ 28-02-2002, 05:40: Сообщение отредактировано: rgreat ]

quote:

Originally posted by Лютиер:
Я получил несколько email назад от Русских сайтов где было написано что мои email содержал вирус. Я на те адреса никогда не посылал email. Наверное, это тот же человек?

Думаю, что да.

Только что получил два письма:

1. Рамблеровская защита отрапортовала о наличии вируса в письме, отосланном "мною" по неизвестному мне адресу.

2. Пришло письмо от неизвестного мне человека с очередным безграмотным (еще более безграмотным, чем у меня - на английском языке) предложением попробовать "мощную прогу". Все признаки совпадают. Когда откликнется "автор" - попробую уговорить его подписаться под заявлением в управление "Р".

quote:

Originally posted by CoValent:
P.S. Небольшое приложение к этому тексту о сетевой безопасности: если Ваш Outlook Express не спрашивает Вас о том, надо ли открывать вложения в письмо, а открывает все пришедшие вирусы без запроса, то Вам стоит заглянуть сюда: http://www.microsoft.com/technet/security/bulletin/MS01-027.asp - это заплатка для Вашего почтового клиента. Как минимум Вы снизите вероятность заражения своего компьютера!

Неа...вам следует заглянуть сюда:
http://www.ritlabs.com/the_bat/ Рекомендуют лучшие сисадмны и вирусологи :)
OutLook - Дыряво-глюкавая фигня :)

2CoValent:

Ну, блин, "кулхацкеры" недоделанные.И ведь ни грамма мозгов в голове, не понимают, что занимаются уголовщиной.
Но у меня возник вопрос: я пользуюсь не АутглюкЭкспрессом, а Батом.(В основном из-за того, что в нем нет дружественного сервиса для вирусов и червей)А вот как в нем заглянуть в служебные поля письма - не знаю :) Может. вы в курсе?

quote:

Originally posted by LostCluster:
Но у меня возник вопрос: я пользуюсь не АутглюкЭкспрессом, а Батом.(В основном из-за того, что в нем нет дружественного сервиса для вирусов и червей)А вот как в нем заглянуть в служебные поля письма - не знаю :) Может. вы в курсе?

Позолю себе нагло влезть :)
Главное Меню -> View -> RFC822 Headers Shift+ctrl+k
:)

Я сегодня весь вечер получаю такие письма.
Благо я весь упакованный защитами всякими и мой Аутлук Экспресс сразу мне сообщает о всех подозрительностях.

Вот что было в Свойствах одного из писем.
От некоего Fulcrum1

Return-Path: <miledi-sakhalin1@mail.ru>
Received: from mx1.mail.ru (mx1.mail.ru [194.67.57.11])with ESMTP? id VAA11875 for <sergey.archakov@stoneandrolls.co.uk>; Wed, 27 Feb 2002 21:32:35 GMT
Received: from [195.7.187.234] (helo=Eynt)
by mx1.mail.ru with smtp (Exim 3.14 #1)
id 16gBYg-0000e1-00
for sergey.archakov@stoneandrolls.co.uk; Thu, 28 Feb 2002 00:24:18 +0300
From: Fulcrum1 <Fulcrum1@yandex.ru>
To: sergey.archakov@stoneandrolls.co.uk
Subject: Class
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=C39U7F6mc67G673AXU
Message-Id: <E16gBYg-0000e1-00@mx1.mail.ru>
Date: Thu, 28 Feb 2002 00:24:18 +0300
Status:

Как видите IP, с которого сообщение получено практически совпадает с айпи, указанным Валентином.

Я готов подписаться под твоим Заявлением Валентин, хоть коллективные заявления и не принимаются по уголовным делам.
Могу выступить свидетелем.

Совершенно серьезно.

quote:

Originally posted by rgreat:
Почтовая программа 'The Bat!'[/URL] Рекомендуют лучшие сисадмны и вирусологи :)
OutLook - Дыряво-глюкавая фигня :)

А я не очень люблю вечно "неготовые" программы. Предпочитаю завершенность, и мирюсь с бетами лишь в силу жесткой необходимости.

Тем более, что я не знаю ни одного человека - лично - у кого были бы настолько старый Аутлук.

quote:

Originally posted by KACATKA:
Я готов подписаться под твоим Заявлением Валентин, хоть коллективные заявления и не принимаются по уголовным делам.
Могу выступить свидетелем.

Совершенно серьезно.

Принято, Сергей!

Пока что напиши Fulcrum - пусть тоже открестится от этого заявления...

Пришел ответ =) User Unknown

The original message was received at Wed, 27 Feb 2002 21:59:25 GMT
from adsl-62-128-216-79.iomart.com [62.128.216.79]

----- The following addresses had permanent fatal errors -----
<fulcrum1@yandex.ru>

----- Transcript of session follows -----
... while talking to mx1.yandex.ru.:
>>> RCPT To:<fulcrum1@yandex.ru>
<<< 550 5.7.1 Policy analysis reported: Blackholed by ORDB -- see <http://ordb.org/lookup/?host=217.14.129.2> rcpt=<fulcrum1@yandex.ru>
550 <fulcrum1@yandex.ru>... User unknown

2 Freddie: Саш, я с тобой не соглашусь!
Сам Батом пользуюсь уже не первый год - никаких претензий. Сейчас читаю свою почту по IMAP, так сразу тебе скажу - Бат с папками IMAP работает гораздо корректнее Аутглюка Экспресса.
А что ты имел в виду под "защитой" при многопользовательском доступе? Я не понял...
OE я держу только для чтения новостей...

ЗЫ Решил вот дописать...
То, что админы шлют вам гневные письма (а тем более вносят ваши адреса во всякие там "черные списки"), опираясь только на инфу из поля From - только говорит об их некомпетенции... Ну, обычным юзерам это простительно, но админы... Да еще таких служб, как mail.ru и подобные... Фи! Любой человек, более-менее знакомый с телнетом и протоколом SMTP может отослать письмо с ЛЮБЫМ адресом в поле From. Так что - не верьте глазам своим... :)

[ 28-02-2002, 14:34: Сообщение отредактировано: Stardust ]

quote:

Originally posted by rgreat:
Разве в ЗеБате, на их сайте, или еще где написано что версия 1.53d (текущая), это бета или "неготовый" продукт ?
Или ты думаешь что то, что номера Отлуков заканчиваються куглыми цифрами это показатель завершенности или безглючности ? :) Не поверю что ты так наивен... :)
По ощущениям от пользования оутлуками кажеться это вообще сырые "альфы", ну или в лучшем случае "беты" :)

Понимаешь, Ром... я согласен с Сашей - у меня МЫШ вечно вызывала ощущение недоделанности. Последний раз я общался с ней в декабре, ставил человеку новую версию (ему - нравится) и снова убедился, что кривые ноги - только в гроб.

Но это мое личное ощущение. Я МЫШ даже не хаю - мне он параллелен. И для моих задач хватает либо Экспреса, либо Аутлука. :)

P.S. На отсутствие мягкого знака в слове МЫШ не обращай внимание... :)

quote:

Originally posted by Stardust:
А что ты имел в виду под "защитой" при многопользовательском доступе? Я не понял...


Я имел в виду, что когда одной копией программы пользуются несколько человек, и у каждого в Бате свой почтовый ящик и аккаунт, аттачи любого из них лежат в соответствующей папке в "голом" виде, хотя тексты самих сообщений можно зашифровать с помощью соответствующей опции настройки. Сам не раз этим пользовался, чтобы поглядеть что приходит по почте моим юзерам.

Насчет вирусов. Недавно был очень удивлен тем, что получил на a_chernyshov@mail.ru извещение от какого-то почтового демона о том, что в моем письме обнаружен вирус и оно удалено. Причем адреса получателя из домена sakha.ru в моем списке адресов ни на работе ни дома, откуда их мог бы взять автоматически рассылающий себя червь, не было. Значит кто-то специально послал это письмо от моего имени. К сожалению, сообщение демона я уже удалил, а то можно было бы проверить - в сообщении был заголовок зараженного письма, т.к. сначала я не придал этому особого значения, последние месяца 2 в мой ящик на mail.ru постоянно сыплются завирусованные письма, а по аське раз по 5 в день вламываются спамеры с предложениями посмотреть порнуху - игнор-лист уже разросся до невероятных размеров.

ЗЫ. Еще раз просмотрел приведенные Валентином зоголовки. Письмо про "Excite Game" мне тоже приходило. Кажется я его сразу же убил... Хотя надо проверить, может быть я его отложил в "вирусоотсадник", там у меня несколько последних подобных сообщений отложено для разбирательства.

[ 28-02-2002, 16:26: Сообщение отредактировано: Freddie ]

quote:

Originally posted by Freddie:
..... а по аське раз по 5 в день вламываются спамеры с предложениями посмотреть порнуху - игнор-лист уже разросся до невероятных размеров.



Зачем в игнор то? =))
Поставь в настройках Security во вкладке Ignor
галочку напротив
- Accept Messages only from users on My Contact List.
- Do not accept WWW-pager messages
- Do not accept EmailExpress messages

И всех делов..=))
Забудешь про это безобразие навсегда =)

Да чего вы набросились, может он просто подцепил червя, а тот себя рассылает.. Мне тут Klez приходит регулярно, честно признается, что письмо с вирусом, но потом врет в тексте, что оно было вылечено. Типа, открывай вложение, не боись..

В свете последних событий наверное так и придется сделать :) Кстати там еще есть опция Do not accept multi-recipient messages from users not on my contact list. И поставить авторизацию внесения меня в список контактов. К сожалению, многих знакомых людей у меня в списке просто нет, например тебя. Поэтому они никогда не смогут ничего мне прислать :)

quote:

Originally posted by Freddie:
В свете последних событий наверное так и придется сделать :) Кстати там еще есть опция Do not accept multi-recipient messages from users not on my contact list. И поставить авторизацию внесения меня в список контактов. К сожалению, многих знакомых людей у меня в списке просто нет, например тебя. Поэтому они никогда не смогут ничего мне прислать :)

Саш, когда ему понадобится тебе что-то по аське отправить - он к тебе авторизуется сначала... :)

Ставь, не беспокойся - я так уже да года живу. Кому надо - тот быстро меня достает.

quote:

Originally posted by Freddie:
[QB]взять хотя бы систему многопользовательского доступа к почте, защита там практически отсутствует

Ты собираешься защититься от соседей слева и справа? :)
Сам The Bat это позиционируеться всетаки как клиент а не как почтовый сервер.
То что там есть фишка "сервера" это всего лишь бонус. Например для пользователей домашней сетки.

Если же тебе нужен "секюрный" сервак - бери 'SecureBat!' для которого "защита от соседей" не побочная фишка :)


quote:

Ritlabs SecureBat! is the first and only security product to combine hardware authentication with mail servers, on-the-fly encryption of all locally-stored data and OpenPGP or S/MIME techniques to protect messages in transit.

Unencrypted files never appear on disk
On-the-fly encryption with no noticeable delays
Easy upgrade from The Bat! or Ritlabs AuthenticBat!
Support for all PGP versions from 2.6x through 6.5
Support for S/MIME with X.509 certificates
Hardware implementation of CRAM-HMAC-MD5 authentication
Guarantee that only authorized users can access their e-mail accounts
Passwords to an e-mail account cannot be exposed at the client side
Use e-mail in those areas where it could not be used previously
Import message bases from all major email clients
All of the major features of The Bat! for managing email quickly and easily...

:)
:)

[ 28-02-2002, 19:47: Сообщение отредактировано: rgreat ]

Похоже кто то ведет массированную атаку по адресам записанным на нашем форуме. Сегодня массированой атаке подвегся почтовый ящик ЦБПВА
который записан в моей инфе Судя по IP адресам все они отсылались через майл.ру но с питерских провайдеров

Ну а как специалист могу посоветовать для почтового сервера программу MDaemon 5.0 и дополнения к ней от касперского Который вылавливает аттачменты на входе в сервер и не дает их принимать

[ 28-02-2002, 19:51: Сообщение отредактировано: HRON ]

quote:

Originally posted by Freddie:
Я имел в виду, что когда одной копией программы пользуются несколько человек, и у каждого в Бате свой почтовый ящик и аккаунт, аттачи любого из них лежат в соответствующей папке в "голом" виде, хотя тексты самих сообщений можно зашифровать с помощью соответствующей опции настройки. Сам не раз этим пользовался, чтобы поглядеть что приходит по почте моим юзерам.

Ой, Саш, если ты думаешь, что OE в этом отношении отличается от МЫШИ :) - ты сильно ошибаешься...
Он тоже хранит все сообщения в определенных местах, где знающий человек всегда все может посмотреть - сам ежедневно практически это делаю с юзверями... :) Ну да ладно...
Насчет вирусов - действительно, может показаться, что этот бедолага сам стал жертвой червя и теперь по незнанию рассылает вирусы, если бы не маленькое "НО!" :) - присутствие в поле From адреса Валентина, да еще в такой форме, которой никогда не было... Тут уж речь может идти только ободном - целенаправленная рассылка писем с заведомо ложными полями (с понятными целями). Увы! Кто-то просто покакал.

Братцы, все же кажется это непреднамеренная рассылка с машины, зараженной вирусом. Я нашел сообщение о недоставке такого зараженного письма. Вот вам полный текст сообщения, пришедшего ко мне:

code:

<pre style="font-size:x-small; font-family: fixed;">From MAILER-DAEMON Thu Feb 21 22:30:43 2002
Envelope-to: a_chernyshov@mail.ru
Delivery-date: Thu, 21 Feb 2002 22:30:43 +0300
Received: from mail by mx1.mail.ru with local (Exim 3.14 #1)
id 16dyvT-0000Jp-00
for a_chernyshov@mail.ru; Thu, 21 Feb 2002 22:30:43 +0300
X-Failed-Recipients: dimitry@ximxim.com
From: Mail Delivery System &lt;Mailer-Daemon@mx1.mail.ru&gt;
To: a_chernyshov@mail.ru
Subject: Mail delivery failed: returning message to sender
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status; boundary=&quot;1014319843.1051/mx1.mail.ru&quot;
Auto-Submitted: auto-generated (failure)
Message-Id: &lt;E16dyvT-0000Jp-00@mx1.mail.ru&gt;
Date: Thu, 21 Feb 2002 22:30:43 +0300

This is a MIME-encapsulated message

--1014319843.1051/mx1.mail.ru

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to all of its recipients. The
following address(es) failed:

dimitry@ximxim.com:
SMTP error from remote mailer after end of data:
host mail.ximxim.com [168.103.244.1]:
552 Error:
content rejected


--1014319843.1051/mx1.mail.ru
Content-Type: message/delivery-status

Reporting-MTA: dns; mx1.mail.ru

Final-Recipient: RFC822; dimitry@ximxim.com
Action: failed
Status: 5.4.0
Remote-MTA: DNS; mx4.int


--1014319843.1051/mx1.mail.ru
Content-Type: message/rfc822

Received: from [168.103.244.1] (helo=Dcecilur)
by mx1.mail.ru with smtp (Exim 3.14 #1)
id 16dyvF-0000G1-00
for dimitry@ximxim.com; Thu, 21 Feb 2002 22:30:29 +0300
From: a_chernyshov &lt;a_chernyshov@mail.ru&gt;
To: dimitry@ximxim.com
Subject: A excite game
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=EE78B1F111s1Z
Message-Id: &lt;E16dyvF-0000G1-00@mx1.mail.ru&gt;
Date: Thu, 21 Feb 2002 22:30:29 +0300


--1014319843.1051/mx1.mail.ru--</pre>

Самое интересное находится в самом низу. Это заголовок исходного сообщения, которое не смог доставить сервер. Как видим, способ генерации имени отправителя в поле From: точно такой же, как у КоВалента. Т.е. вместо реального имени отправителя стоит название почтового ящика. Я думаю, что скорее всего этот вирус, отправляя себя с зараженной машины, для маскировки подставляет в поле From: случайный адрес, взятый из адресной книги на этой машине.

Здесь ты неправ ! Вирус прописывает адрес отправителя а не случайный адрес из книги По адресам книги идет рассылка А вот адрес отправителя вирус берет из аккоунта машины с которой он отправляет аттачмент
В данном случае тут специальная подставка адреса с целью компромата

quote:

Originally posted by Freddie:
Как видим, способ генерации имени отправителя в поле From: точно такой же, как у КоВалента. Т.е. вместо реального имени отправителя стоит название почтового ящика. Я думаю, что скорее всего этот вирус, отправляя себя с зараженной машины, для маскировки подставляет в поле From: случайный адрес, взятый из адресной книги на этой машине.

Хммм... Да, это возможно... Если такие адреса действительно есть (Валентинов и твой), тогда возможно, что это вирус работает у кого-то...
А сам вирус называется Klez.e
Обратите внимание на Subject этого письма и почитайте вот тут:
http://www.viruslist.com/viruslist.asp?id=4415&key=00001000140000100104

Все полностью соответствует. Он хранит в себе все адреса, найденные в адресной книге и случайным образом их подставляет в поле From.
Так что беднягу надо скорее вычислять, пока не наступило 13 число...

ЗЫ Добавлю маненько. Обшибся я, времени еще меньше, модификация Klez.e вредоносит 6 числа.
HRON, это уже неочевидно. Теперь инфы больше. Если это подстава, то весьма искусная (работа под Klez.e), что не вяжется с отправкой из одной сетки. ИМХО.

[ 28-02-2002, 23:00: Сообщение отредактировано: Stardust ]

Я посмотрел 3 последних подозрительных сообщения, пришедших мне, все они были заражены Klez.e, причем пришли с одного и того же IP - 168.103.244.1 Все построение заголовков в точности, как в приведенном примере. К сожалению, этот IP зарубежный, в базе RIPN его нет. Правда я примерно догадываюсь от кого это пришло, ламерок еще тот... Буду спасать бедолагу. :)

Вниманию всех офицеров!!!
Прошу при получении писем с вирусами снимать в копию свойства сообщений и отправлять мне для расследования
Сегодня я получил уже третье письмо с вирусом которое было отправлено из Компьютерного клуба ОРКИ в Москве Сообщение было отправлено со взломанного ящика Анпетровича
Следующая серия сообщений приходила от клиента Совам-Телепорт Санкт-Петербург с постоянным динамическим адресом (Это о многом говорит :) )
Все собранные мной материалы могут быть переданы в управление "Р" для дальнейшего расследования

rgreat

Если ты внимательно посмотришь свое сообщение которое ты выложил на форум то судя по IP адресу ты тоже получил письмо из

inetnum: 195.7.187.224 - 195.7.187.239
netname: ORKI-NET
descr: ORKI Computer Club, Moscow
country: RU
admin-c: GM4324-RIPE
tech-c: GM4324-RIPE
rev-srv: ns.transts.ru
status: ASSIGNED PA
mnt-by: RIPE-NCC-NONE-MNT
changed: roman@itar-tass.com 19991025
source: RIPE

Ы !

Я кстати вирусы не шлю, ели у кого появилось подозрение :) Я сам жаловался что после проблем с бухим.ру стал получать вирье.

btw: На моей машине настроен свой SMTP и если я чего и стану слать то через него и через проксю в Африке. Ищите потом... А кто вирусы расылает просто тупорылый тратит свое время понапрасну еще во время FTN были идиоты которые CrashPool устраивали - это когда подключались и ставили на закачку файл размером 100 метров :) Мне например это не мешало

Могу посоветовать 100 способов завалить ваши ящики таааакой фигней.. запаритесь чистить? Или не надо а то вдруг нехорошие люди прочитают :) В Питере не только я живу и времени на глупости у меня нет

хмм я смотрю тут про меня серьезно задумываються.. SMTP которыми пользуюсь я smtp.lek.ru и mail.spbtlg.ru отсюда писем небыло?
А то меня знакомые уже спрашивают я это или нет...

BTW: mail.spbtlg.ru это междугородка которой пользуется половина Питера.

[ 01-03-2002, 03:49: Сообщение отредактировано: =Weeper= ]

А меня за неделю все таки прибили :)
В понедельник железо к "доктору", все переустанавливать таперича :)

у меня на работе комп грохнулся недавно после klezz-e :) Халтурный день был я 10 часов винды ставил

Спокойно вееп последняя из этой оперы бяка пришедшая мне, через тот же самый майл.ру:
----------------------------
Received: from [194.67.57.18] by public1
(ArGoSoft Mail Server Pro for WinNT/2000/XP, Version 1.80 (1.8.0.3)); Thu, 28 Feb 2002 18:57:08 -0600
Received: from [195.7.187.234] (helo=Dxncj)
by mx8.mail.ru with smtp (Exim 3.14 #1)
id 16gbEO-0000mV-00
for rgreat@yogik.org; Fri, 01 Mar 2002 03:49:04 +0300
From: genrich11 &lt;genrich11@airforce.net&gt;
To: rgreat@yogik.org
Subject: Upgrade2
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=PU8M53cH231739Af
Message-Id: &lt;E16gbEO-0000mV-00@mx8.mail.ru&gt;
Date: Fri, 01 Mar 2002 03:49:04 +0300
----------------------------
внутрях байда под наванием 6.2.0.ехе и 2 html'ки :)

194.67.57.18="ORKI Computer Club, Moscow"

Я думаю випер ты со своей собакой :) не кочуешь из воркуты в питер а потом в москву для рассылки бяки :)

[ 01-03-2002, 05:28: Сообщение отредактировано: rgreat ]

quote:

Originally posted by Freddie:
В свете последних событий наверное так и придется сделать :) Кстати там еще есть опция Do not accept multi-recipient messages from users not on my contact list. И поставить авторизацию внесения меня в список контактов. К сожалению, многих знакомых людей у меня в списке просто нет, например тебя. Поэтому они никогда не смогут ничего мне прислать :)

Это немного не так..
если я захочу прислать тебе записку на аську я ее пришлю без проблем для этого мне нужно добавить тебя в свой контакт лист и тебе автоматом отправится Сервис сообщение от меня. Тогда я смогу отправить записку.

quote:

Originally posted by =Weeper=:
Могу посоветовать 100 способов завалить ваши ящики таааакой фигней.. запаритесь чистить? Или не надо а то вдруг нехорошие люди прочитают :) В Питере не только я живу и времени на глупости у меня нет

Илья, а не напишешь ли мне приватом хотя бы несколько способов из этих 100? :)
В ответ на мои советы про firewall и антивирус? :)
Это у меня профессиональный интерес, не праздное любопытство.

Так, всем говорю:
НИКОМУ НИКАКИХ ПИСЕМ В ПОСЛЕДНИЙ МЕСЯЦ Я НЕ ПОСЫЛАЛ - ЕСЛИ ВЫ ЧТО-ТО ПОЛУЧИЛИ!

А то получил предупреждение о недоставке письма из-за отсутствия пользователя Serge_Pod@usa.net - правда есть подозрение, что это форум Бразда взят за исходный материал.

Я ПОЛЬЗУЮСЬ АСЬКОЙ! И ПИСЕМ С ФАЙЛАМИ НЕ ПОСЫЛАЮ (БЕЗ ПРЕДВАРИТЕЛЬНОЙ ДОГОВОРЕННОСТИ ОБ ЭТОМ)!

И сегодня шлет...туповатый парнишка...

Мне, кстати, не мешает. Мыло у меня, естественно, "не рабочее", а приятно, слушая шелчок затвора (срабатывание антивируса) при запуске АутГлюка, размышлять о несовершенстве человеческой натуры...
:) :) :) :)

Народ не устали? Worm он называеться в частности по тому что может сам себя рассылать по email с зараженной машины.

HRON я заметил :)

1. Что-то не кажется мне, что это - автоматическая рассылка.

Я тут проверил как работает Клез ( http://www.viruslist.com/index.html?tnews=1001&id=1068 , http://www.viruslist.com/index.html?tnews=1003&id=77297 и http://www.viruslist.com/viruslist.asp?id=4415&key=00001000140000100104 ). Так вот - я верю, что он берет адреса из WAB, верю, что отсылается сам, верю, что где-то в WABе у ОРКов есть мой адрес - но я не верю, что все это идет автоматически идет исключительно через Mail.Ru. А пока что это так.

Ведь из более чем 20 писем, присланных мне или "отосланных от меня" - фигурирует один и тот же способ распространения: от чужого имени - через SMTP на редиректор Mail.Ru. Чужое имя - можно сделать, но способ отправки - редкость (большинство пользуется Mail.Ru исключиетльно через Web-интерфейс, не включая SMTP).

2. Тем, кто кто не уверен, что у него все в порядке и хотел бы подстраховаться: http://www.kaspersky.ru/ через свою http://www.viruslist.com/index.html?tnews=1007&id=79978 раздает бесплатную программу для очистки компьютера от вирусов Klez (Klez.e), Goner, SirCam, Navidad и BleBla.

Сама программа лежит ftp://ftp.kaspersky.ru/utils/clrav.com.

Неделю-полторы назад получил с flogger11@sukhoi.ru письмо без содержания но с атачем, котрый, как выяснилось после проверки антивирусом (прямо на mail.ru), оказалось зараженным. Имечко вируса забыл, но не klezz
К сожалению я его сгоряча потер...
013

Логическое развитие ситуации привело к появлению у меня в ящике письма с вирусом, "подписанным мною"... :)

А до Касперского я еще не добрался...

to Kristofer:

&gt;Неделю-полторы назад получил с flogger11@sukhoi.ru письмо

Хех..Самое интересное,что у меня сроду такого почтового адреса небыло.А под ником "flogger11" я зарегестрирован в двух местах:на flightsim.com и на форуме WB :)

У меня был klezz..Плюс еще парочка "червей" и с пяток "троянов" как выяснилось при лечении :)
Теперь вот Касперский орет голосом кота,которому отдавили хвост..За неделю получил 3 мыла с вирусами(от Петровича,Ежика и Дима)-правда не смотрел,что там..

Сегодня - получил второй раз вирус "от самого себя"... :)

Кто там интересовался служебной информацией таких писем?

From gudinsky@mail.ru Mon Mar 11 02:26:09 2002
Envelope-to: Gering@mail.ru
Delivery-date: Mon, 11 Mar 2002 02:26:09 +0300
Received: from ts14-a134.dial.sovam.com ([195.239.2.134] helo=Cxymhf)
by mx1.mail.ru with smtp (Exim 3.14 #1)
id 16kChA-0003dN-00
for Gering@mail.ru; Mon, 11 Mar 2002 02:25:41 +0300
From: loser &lt;loser@hotmail.com&gt;
To: Gering@mail.ru
Subject: Sos!
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=Z5G95YI7Ky6
Message-Id: &lt;E16kChA-0003dN-00@mx1.mail.ru&gt;
Date: Mon, 11 Mar 2002 02:25:41 +0300

и чем закончилась эта детективная история?

и чем закончилась эта детективная история?
Да ничем, собственно.

Евгений Касперский подтвердил: все эти беспорядки устраивают сами &quot;умные&quot; вирусы. Сами пишут фальшивый обратный адрес, сами отсылают себя вне почтовых программ через транзитные почтовые сервера типа Mail.Ru, сами размножают почтовую базу данных...

А на Mail.Ru наезжай, не наезжай - все без толку. Их это не волнует.

P.S. Кстати, последнее время появились и русифицированные их варианты - то есть с переводом и с соответствующими вложениями. Больше всего меня &quot;порадовал&quot; вариант, присланный мне от &quot;меня&quot; же, но при этом еще с сабжем &quot;WWW.SUKHOI.RU&quot;, текстом внутри о новостях на сайте, и аттачем &quot;Sukhoi_Ru.htm&quot;. :)

Ребята, спокойнее надо быть, нет никакого всемирного заговора :)

Некоторые современные вирусы, в частности, всем известный Klez, содержат в себе, если так можно выразиться, SMTP-сервер и сами могут послать кому угодно какое угодно письмо, хоть от Билла Гейтса :) Адреса для поля &quot;От кого:&quot; они обычно берут из локальной адресной книги. Но некоторые версии того же Klez'а, например, шлют почту не сами, а через SMTP-сервер прописанный в том же Outlook'е. Отсюда и возникает, например, куча писем, отосланных через mail.ru :)

А вообще, эти вирусы - это детство всё... Вот у меня на домашний Линукс-сервер недавно Slapper вломился через дырку в OpenSSL, так за ночь, я его только утром обнаружил, он нагенерил 10+Гб исходящего траффика. Пришлось платить $534...