Вид для печати
Похоже кто то ведет массированную атаку по адресам записанным на нашем форуме. Сегодня массированой атаке подвегся почтовый ящик ЦБПВА
который записан в моей инфе Судя по IP адресам все они отсылались через майл.ру но с питерских провайдеров
Ну а как специалист могу посоветовать для почтового сервера программу MDaemon 5.0 и дополнения к ней от касперского Который вылавливает аттачменты на входе в сервер и не дает их принимать
[ 28-02-2002, 19:51: Сообщение отредактировано: HRON ]
Ой, Саш, если ты думаешь, что OE в этом отношении отличается от МЫШИ :) - ты сильно ошибаешься...Цитата:
quote:
Originally posted by Freddie:
Я имел в виду, что когда одной копией программы пользуются несколько человек, и у каждого в Бате свой почтовый ящик и аккаунт, аттачи любого из них лежат в соответствующей папке в "голом" виде, хотя тексты самих сообщений можно зашифровать с помощью соответствующей опции настройки. Сам не раз этим пользовался, чтобы поглядеть что приходит по почте моим юзерам.
Он тоже хранит все сообщения в определенных местах, где знающий человек всегда все может посмотреть - сам ежедневно практически это делаю с юзверями... :) Ну да ладно...
Насчет вирусов - действительно, может показаться, что этот бедолага сам стал жертвой червя и теперь по незнанию рассылает вирусы, если бы не маленькое "НО!" :) - присутствие в поле From адреса Валентина, да еще в такой форме, которой никогда не было... Тут уж речь может идти только ободном - целенаправленная рассылка писем с заведомо ложными полями (с понятными целями). Увы! Кто-то просто покакал.
Братцы, все же кажется это непреднамеренная рассылка с машины, зараженной вирусом. Я нашел сообщение о недоставке такого зараженного письма. Вот вам полный текст сообщения, пришедшего ко мне:
Самое интересное находится в самом низу. Это заголовок исходного сообщения, которое не смог доставить сервер. Как видим, способ генерации имени отправителя в поле From: точно такой же, как у КоВалента. Т.е. вместо реального имени отправителя стоит название почтового ящика. Я думаю, что скорее всего этот вирус, отправляя себя с зараженной машины, для маскировки подставляет в поле From: случайный адрес, взятый из адресной книги на этой машине.Цитата:
code:
<pre style="font-size:x-small; font-family: fixed;">From MAILER-DAEMON Thu Feb 21 22:30:43 2002
Envelope-to: a_chernyshov@mail.ru
Delivery-date: Thu, 21 Feb 2002 22:30:43 +0300
Received: from mail by mx1.mail.ru with local (Exim 3.14 #1)
id 16dyvT-0000Jp-00
for a_chernyshov@mail.ru; Thu, 21 Feb 2002 22:30:43 +0300
X-Failed-Recipients: dimitry@ximxim.com
From: Mail Delivery System <Mailer-Daemon@mx1.mail.ru>
To: a_chernyshov@mail.ru
Subject: Mail delivery failed: returning message to sender
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status; boundary="1014319843.1051/mx1.mail.ru"
Auto-Submitted: auto-generated (failure)
Message-Id: <E16dyvT-0000Jp-00@mx1.mail.ru>
Date: Thu, 21 Feb 2002 22:30:43 +0300
This is a MIME-encapsulated message
--1014319843.1051/mx1.mail.ru
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to all of its recipients. The
following address(es) failed:
dimitry@ximxim.com:
SMTP error from remote mailer after end of data:
host mail.ximxim.com [168.103.244.1]:
552 Error:
content rejected
--1014319843.1051/mx1.mail.ru
Content-Type: message/delivery-status
Reporting-MTA: dns; mx1.mail.ru
Final-Recipient: RFC822; dimitry@ximxim.com
Action: failed
Status: 5.4.0
Remote-MTA: DNS; mx4.int
--1014319843.1051/mx1.mail.ru
Content-Type: message/rfc822
Received: from [168.103.244.1] (helo=Dcecilur)
by mx1.mail.ru with smtp (Exim 3.14 #1)
id 16dyvF-0000G1-00
for dimitry@ximxim.com; Thu, 21 Feb 2002 22:30:29 +0300
From: a_chernyshov <a_chernyshov@mail.ru>
To: dimitry@ximxim.com
Subject: A excite game
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=EE78B1F111s1Z
Message-Id: <E16dyvF-0000G1-00@mx1.mail.ru>
Date: Thu, 21 Feb 2002 22:30:29 +0300
--1014319843.1051/mx1.mail.ru--</pre>
Здесь ты неправ ! Вирус прописывает адрес отправителя а не случайный адрес из книги По адресам книги идет рассылка А вот адрес отправителя вирус берет из аккоунта машины с которой он отправляет аттачмент
В данном случае тут специальная подставка адреса с целью компромата
Хммм... Да, это возможно... Если такие адреса действительно есть (Валентинов и твой), тогда возможно, что это вирус работает у кого-то...Цитата:
quote:
Originally posted by Freddie:
Как видим, способ генерации имени отправителя в поле From: точно такой же, как у КоВалента. Т.е. вместо реального имени отправителя стоит название почтового ящика. Я думаю, что скорее всего этот вирус, отправляя себя с зараженной машины, для маскировки подставляет в поле From: случайный адрес, взятый из адресной книги на этой машине.
А сам вирус называется Klez.e
Обратите внимание на Subject этого письма и почитайте вот тут:
http://www.viruslist.com/viruslist.a...00140000100104
Все полностью соответствует. Он хранит в себе все адреса, найденные в адресной книге и случайным образом их подставляет в поле From.
Так что беднягу надо скорее вычислять, пока не наступило 13 число...
ЗЫ Добавлю маненько. Обшибся я, времени еще меньше, модификация Klez.e вредоносит 6 числа.
HRON, это уже неочевидно. Теперь инфы больше. Если это подстава, то весьма искусная (работа под Klez.e), что не вяжется с отправкой из одной сетки. ИМХО.
[ 28-02-2002, 23:00: Сообщение отредактировано: Stardust ]
Я посмотрел 3 последних подозрительных сообщения, пришедших мне, все они были заражены Klez.e, причем пришли с одного и того же IP - 168.103.244.1 Все построение заголовков в точности, как в приведенном примере. К сожалению, этот IP зарубежный, в базе RIPN его нет. Правда я примерно догадываюсь от кого это пришло, ламерок еще тот... Буду спасать бедолагу. :)
Вниманию всех офицеров!!!
Прошу при получении писем с вирусами снимать в копию свойства сообщений и отправлять мне для расследования
Сегодня я получил уже третье письмо с вирусом которое было отправлено из Компьютерного клуба ОРКИ в Москве Сообщение было отправлено со взломанного ящика Анпетровича
Следующая серия сообщений приходила от клиента Совам-Телепорт Санкт-Петербург с постоянным динамическим адресом (Это о многом говорит :) )
Все собранные мной материалы могут быть переданы в управление "Р" для дальнейшего расследования
rgreat
Если ты внимательно посмотришь свое сообщение которое ты выложил на форум то судя по IP адресу ты тоже получил письмо из
inetnum: 195.7.187.224 - 195.7.187.239
netname: ORKI-NET
descr: ORKI Computer Club, Moscow
country: RU
admin-c: GM4324-RIPE
tech-c: GM4324-RIPE
rev-srv: ns.transts.ru
status: ASSIGNED PA
mnt-by: RIPE-NCC-NONE-MNT
changed: roman@itar-tass.com 19991025
source: RIPE
Ы !
Я кстати вирусы не шлю, ели у кого появилось подозрение :) Я сам жаловался что после проблем с бухим.ру стал получать вирье.
btw: На моей машине настроен свой SMTP и если я чего и стану слать то через него и через проксю в Африке. Ищите потом... А кто вирусы расылает просто тупорылый тратит свое время понапрасну еще во время FTN были идиоты которые CrashPool устраивали - это когда подключались и ставили на закачку файл размером 100 метров :) Мне например это не мешало
Могу посоветовать 100 способов завалить ваши ящики таааакой фигней.. запаритесь чистить? Или не надо а то вдруг нехорошие люди прочитают :) В Питере не только я живу и времени на глупости у меня нет
хмм я смотрю тут про меня серьезно задумываються.. SMTP которыми пользуюсь я smtp.lek.ru и mail.spbtlg.ru отсюда писем небыло?
А то меня знакомые уже спрашивают я это или нет...
BTW: mail.spbtlg.ru это междугородка которой пользуется половина Питера.
[ 01-03-2002, 03:49: Сообщение отредактировано: =Weeper= ]
А меня за неделю все таки прибили :)
В понедельник железо к "доктору", все переустанавливать таперича :)
у меня на работе комп грохнулся недавно после klezz-e :) Халтурный день был я 10 часов винды ставил
Спокойно вееп последняя из этой оперы бяка пришедшая мне, через тот же самый майл.ру:
----------------------------
Received: from [194.67.57.18] by public1
(ArGoSoft Mail Server Pro for WinNT/2000/XP, Version 1.80 (1.8.0.3)); Thu, 28 Feb 2002 18:57:08 -0600
Received: from [195.7.187.234] (helo=Dxncj)
by mx8.mail.ru with smtp (Exim 3.14 #1)
id 16gbEO-0000mV-00
for rgreat@yogik.org; Fri, 01 Mar 2002 03:49:04 +0300
From: genrich11 <genrich11@airforce.net>
To: rgreat@yogik.org
Subject: Upgrade2
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=PU8M53cH231739Af
Message-Id: <E16gbEO-0000mV-00@mx8.mail.ru>
Date: Fri, 01 Mar 2002 03:49:04 +0300
----------------------------
внутрях байда под наванием 6.2.0.ехе и 2 html'ки :)
194.67.57.18="ORKI Computer Club, Moscow"
Я думаю випер ты со своей собакой :) не кочуешь из воркуты в питер а потом в москву для рассылки бяки :)
[ 01-03-2002, 05:28: Сообщение отредактировано: rgreat ]
Это немного не так..Цитата:
quote:
Originally posted by Freddie:
В свете последних событий наверное так и придется сделать :) Кстати там еще есть опция Do not accept multi-recipient messages from users not on my contact list. И поставить авторизацию внесения меня в список контактов. К сожалению, многих знакомых людей у меня в списке просто нет, например тебя. Поэтому они никогда не смогут ничего мне прислать :)
если я захочу прислать тебе записку на аську я ее пришлю без проблем для этого мне нужно добавить тебя в свой контакт лист и тебе автоматом отправится Сервис сообщение от меня. Тогда я смогу отправить записку.
Илья, а не напишешь ли мне приватом хотя бы несколько способов из этих 100? :)Цитата:
quote:
Originally posted by =Weeper=:
Могу посоветовать 100 способов завалить ваши ящики таааакой фигней.. запаритесь чистить? Или не надо а то вдруг нехорошие люди прочитают :) В Питере не только я живу и времени на глупости у меня нет
В ответ на мои советы про firewall и антивирус? :)
Это у меня профессиональный интерес, не праздное любопытство.
Так, всем говорю:
НИКОМУ НИКАКИХ ПИСЕМ В ПОСЛЕДНИЙ МЕСЯЦ Я НЕ ПОСЫЛАЛ - ЕСЛИ ВЫ ЧТО-ТО ПОЛУЧИЛИ!
А то получил предупреждение о недоставке письма из-за отсутствия пользователя Serge_Pod@usa.net - правда есть подозрение, что это форум Бразда взят за исходный материал.
Я ПОЛЬЗУЮСЬ АСЬКОЙ! И ПИСЕМ С ФАЙЛАМИ НЕ ПОСЫЛАЮ (БЕЗ ПРЕДВАРИТЕЛЬНОЙ ДОГОВОРЕННОСТИ ОБ ЭТОМ)!
И сегодня шлет...туповатый парнишка...
Мне, кстати, не мешает. Мыло у меня, естественно, "не рабочее", а приятно, слушая шелчок затвора (срабатывание антивируса) при запуске АутГлюка, размышлять о несовершенстве человеческой натуры...
:) :) :) :)
Народ не устали? Worm он называеться в частности по тому что может сам себя рассылать по email с зараженной машины.
HRON я заметил :)
1. Что-то не кажется мне, что это - автоматическая рассылка.
Я тут проверил как работает Клез ( http://www.viruslist.com/index.html?tnews=1001&id=1068 , http://www.viruslist.com/index.html?tnews=1003&id=77297 и http://www.viruslist.com/viruslist.a...00140000100104 ). Так вот - я верю, что он берет адреса из WAB, верю, что отсылается сам, верю, что где-то в WABе у ОРКов есть мой адрес - но я не верю, что все это идет автоматически идет исключительно через Mail.Ru. А пока что это так.
Ведь из более чем 20 писем, присланных мне или "отосланных от меня" - фигурирует один и тот же способ распространения: от чужого имени - через SMTP на редиректор Mail.Ru. Чужое имя - можно сделать, но способ отправки - редкость (большинство пользуется Mail.Ru исключиетльно через Web-интерфейс, не включая SMTP).
2. Тем, кто кто не уверен, что у него все в порядке и хотел бы подстраховаться: http://www.kaspersky.ru/ через свою http://www.viruslist.com/index.html?tnews=1007&id=79978 раздает бесплатную программу для очистки компьютера от вирусов Klez (Klez.e), Goner, SirCam, Navidad и BleBla.
Сама программа лежит ftp://ftp.kaspersky.ru/utils/clrav.com.
Неделю-полторы назад получил с flogger11@sukhoi.ru письмо без содержания но с атачем, котрый, как выяснилось после проверки антивирусом (прямо на mail.ru), оказалось зараженным. Имечко вируса забыл, но не klezz
К сожалению я его сгоряча потер...
013
Логическое развитие ситуации привело к появлению у меня в ящике письма с вирусом, "подписанным мною"... :)
А до Касперского я еще не добрался...
to Kristofer:
>Неделю-полторы назад получил с flogger11@sukhoi.ru письмо
Хех..Самое интересное,что у меня сроду такого почтового адреса небыло.А под ником "flogger11" я зарегестрирован в двух местах:на flightsim.com и на форуме WB :)
У меня был klezz..Плюс еще парочка "червей" и с пяток "троянов" как выяснилось при лечении :)
Теперь вот Касперский орет голосом кота,которому отдавили хвост..За неделю получил 3 мыла с вирусами(от Петровича,Ежика и Дима)-правда не смотрел,что там..