Uwaga Na Wirusa!!!

[roland]

Data: Piątek, 3 Grudnia 2004 13:18
Temat: Hi!
Od: <[email protected]>
Do: <cenzura>
Data: Piątek, 3 Grudnia 2004 13:18
Return-Path: <[email protected]>
Delivered-To: cenzura
Received: from vip-99rchidp7ai.kompania.net (vip-99rchidp7ai.kompania.net [192.168.117.116]) by kompania.net (8.12.8p1/8.12.8) with ESMTP id i06Q9Oje063153for <cenzura>; Fri, 3 Dec 2004 13:18:15 +0100(envelope-from [email protected])
Received-SPF: none (smtp.wp.pl: domain at tibia.pl does not designate permitted sender hosts)
Message-Id: <000601c4d93a$8c00f4e0$7475a8c0@vip99rchidp7ai>
X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Date: Fri, 3 Dec 2004 13:18:15 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary="----=_NextPart_000_0003_01C4D93A.8C00F4E0"
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
X-WP-AV: skaner antywirusowy poczty Wirtualnej Polski S. A.
X-WP-SPAM: NO (user level 2) AS1=YES(bulk Body=1 Fuz1=97 Fuz2=many) AS2=NO(0.871898) AS3=NO AS4=NO
Temat: Hi!

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title></title>

</head>
<body text="#000000" bgcolor="#ffffcc" link="#000099"
vlink="#990099"
alink="#000099">

<i>Hi! I am looking for new friends.</i>
<p><i>My name is Jane, I am from Miami, FL. </i></p>
<p><i>See my <a href="http://192.168.117.116:1640/index.htm">homepage</a> with my weblog and last webcam
photos!</i></p>
<i>See you!</i>
<p><i><br>
<br>
</i></p>
<br>
</body>
</html>

Oto treść emaila, którego dostałem od pana Matkusa. Jest to email zawierający wirusa. Wirusa ten to keyloger i wirus kasujący partycję "C" twardego dysku w jednym. Radzę panu Matkusowi przeskanowac czymś komputer albo sformatować dyks twardy, ponieważ roznosi pan Wirusa.

[Magus]

To na pewno nie od MatKus'a, to wspanialy admin a nie jakis roznosiciek zarazkow. Chcial Cie nabrac jakis ciul podszywajacy sie pod MatKus'a. Sfabrykowac e-mail by wygladal jak od kogos innego to nie problem. Sam mialem wiele skarg ze roznosze keyloggery, a i mnie nie raz probowano w ten sposob nabrac.

[roland]

Nie, wystarczyło, że otowrzył takiego emaila... Też myślałem, że to nie prawda, aż kolega dostałem emaila... odemnie(!), nie wysyłałem go, ale miałęm go zapisanego w dziale wysłane... Był tam wirus... Potem dostałem sam od siebie emaila z wirusem, i ot kilka razy... Fakt jest wspaniały... Ale to nie jego wina... Nikt nie może być winny, tym że otowrzył jakiegoś emaila.

[Gangrel]

Cytuj:

Oryginalnie napisane przez Magus

To na pewno nie od MatKus'a, to wspanialy admin a nie jakis roznosiciek zarazkow. Chcial Cie nabrac jakis ciul podszywajacy sie pod MatKus'a. Sfabrykowac e-mail by wygladal jak od kogos innego to nie problem. Sam mialem wiele skarg ze roznosze keyloggery, a i mnie nie raz probowano w ten sposob nabrac.

To znaczy jak? Nigdy wczesniej sie z tym nie spotakalem. Nie pytam dlatego ze chce korzystac, tylko dlatego z ciekawosci. Zeby sie nie wydalo mozesz mi wyslac pw.

@topic
Dzieki za wiadomosc, co prawda nie wiedzialem ale moglbym dostac w najblizszych dniach i bylby zonk.

[roland]

Ja mogę powiedzieć sposób, sam umiem zmieniać adres emaili... Jest do tego specjalny program(hakerski), albo mozna tez wiadomość odpowiednio zakodowac... Jest to jednak niebywale trudne, a po przeskanowaniu emaila moim programem odkryłem, że email nie został zaszyfrowany ani napisany w C++. Po prostu wirus przejał władzę nad emailem Matkusa, po czym wysyła z niego emaila... Po formacie dysku radzi się zmienić haso emaila...

[Magus]

Najprosciej specjalnym programikiem pocztowym, nie bede podawal linkow bo ktos to moze wykorzystac.
@roland
Nadal twierdze ze to nie on, MatKus to czlowiek dla ktorego komputer jest zasadniczo narzedziem pracy. Potrafi zadbac o jego zabezpieczenie. Zreszta moze poczekajmy az sam sie wytlumaczy.

[djkuter]

ja też często dostaje e-maile z wirusami, ale z tibii.pl nie dostałem

[roland]

Cytuj:

Oryginalnie napisane przez djkuter

ja też często dostaje e-maile z wirusami, ale z tibii.pl nie dostałem

LOL Matkus, a email od matkusa to nie to samo... Pisałem, że od Matkusa nie od tibi.pl

[Gonzo von Krenzel]

@roland:
Możesz podać swój adres e-mail?

@MatKus:
Nie wiedziałem, że szukasz przyjaciół .

[Dowizul z Inferny]

moze to cos typu "my doom" czy "melisa albo i love you"(niepamiętem jakie jeszcze hakowaly skszynki) a sfałsować adres to mozna zrobić każdym kurierem poczty

[MatKus]

zwróć uwagę na jedną z linijek headera:
Received-SPF: none (smtp.wp.pl: domain at tibia.pl does not designate permitted sender hosts)
Jak widać, wysłane przez serwer wp.pl. Gdyby to poszło od nas, nagłówek wyglądał by tak:

Cytuj:

Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: (qmail 24658 invoked from network); 5 Dec 2004 12:42:37 -0000
Received: from landmine.fpp.pl (HELO snoopy.fpp.pl) (195.205.50.5)
by brain.fpp.pl with SMTP; 5 Dec 2004 12:42:37 -0000
Received: (qmail 9239 invoked by alias); 5 Dec 2004 12:42:14 -0000
Received: from unknown (HELO bxw161.neoplus.adsl.tpnet.pl) ([email protected])
by 0 with SMTP; 5 Dec 2004 12:42:14 -0000
Date: Sun, 5 Dec 2004 13:42:31 +0100
From: MatKus <[email protected]>
Reply-To: MatKus <[email protected]>
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
To: [email protected]
Subject: test
MIME-Version: 1.0

e-mail wysłany ode mnie do mnie.
Po pierwsze - nie używam outlook expressa, którym był wysłany twój e-mail, tylko The Bata.
Po drugie, nie wysyłam z wp.pl, bo mam tibia.pl (idzie z fpp.pl, bo oni nas hostują).
Autorzy wirusów są na tyle sprytni, że potrafią zczytać książkę adresową outlooka, wybrać losowo 2 adresy, i napisać maila na jeden z nich podając jako adres zwrotny ten drugi. Wystarczyło więc, że ktoś miał mnie w swojej książce adresowej outlooka (a zapewne ma mie tam wiele osób) i już e-maile idą "ode mnie". Takie coś jest bardzo proste, a wykorzystując dzióry w outlooku można bardzo łatwo rozprzestrzeniać virusy.
Sam dostaje dziennie około 20-50 maili z virusami i nic na to nie poradzę.

[roland]

Jeśli tak to przepraszam, ale i tak radził bym przeskanować qmpa i FTP

[MatKus]

Cytuj:

Oryginalnie napisane przez roland

Jeśli tak to przepraszam, ale i tak radził bym przeskanować qmpa i FTP

Mój antywir aktualizuje się raz dziennie, wiec raczej na bieżąco jest. Po za tym po paru latach korzystania z kompa człowiek nabiera pewnych nawyków i pewnej wiedzy i coraz mniej wirów łapie.

[aktus]

ja uzywam do sprawdzaia maili tylko i wylacznie ssh, pine i maila. poststawowe narzedzia pod linuxa. poza tym mam dobre programy antywirusowe i dobrego firewalla. uzywam ich od dawna i od jakiegos roku nie mialem ani jednego wirusa.


ps:
za pomoca zwyklego telneta jestem wyslac list od kogokolwiek do kogokolwiek. wystarczy sie polaczyc z smtp na serwie i voila... ( nie dziala na wszystkich serwerach pocztowych...)

[roland]

Cytuj:

Oryginalnie napisane przez MatKus

Mój antywir aktualizuje się raz dziennie, wiec raczej na bieżąco jest. Po za tym po paru latach korzystania z kompa człowiek nabiera pewnych nawyków i pewnej wiedzy i coraz mniej wirów łapie.

Ta ja też mam takie nawyki... Jak sprawdzam pocztę to tylko na serwerze(stoi se taki komp 333 megaherze w piwnicy i se buczy)... A wtedy tego emaila właśnie na serwie odebrałem, i skasowało twardziela...

[limenu]

dla tego ja outlooka se zablokowałem .. maile otwieram gdy temat jest "inteligentny" od znanych mi osób... a z nieznanymi komunikuje się przez forum (raczej od nieznanych osób nie dostaje e maila, gdyz go nieznanym osobą niepodaje bez powodu...) ...

[MayGyver]

1. nigdzie nie nalezy podawac poprawnego maila
sa boty, ktore przeszukuja strony internetowe, fora pod wzgledem adresow emailowych
zapisuja do bazy i wysylaja smieci, spam, wirusy itd.
dlatego adres nalezy podawac w formie:
[email protected]

oczywiscie osoby rozgarniete usuna ciag znakow "usunto" podczas wysylania emaila
bot tego nie zrobi i wysle maila pod nieprawdziwy adres - macie spokoj


> Wirusa ten to keyloger i wirus kasujący partycję "C" twardego dysku w jednym

oraz

> Ta ja też mam takie nawyki... Jak sprawdzam pocztę to tylko na serwerze(stoi se taki komp 333
> megaherze w piwnicy i se buczy)... A wtedy tego emaila właśnie na serwie odebrałem, i skasowało
> twardziela...

masz serwer pocztowy na windowsie?
gratuluje nawyku

[Hedroxx]

===Offtopic===

Cytuj:

Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my homepage with my weblog and last

Hej, MatKus, Janino, gdzie ty pracujesz, że na Maiami adminujesz tibia.pl =]
===Back_on_topic===

Do mnie nikt nie pisze, tylko boty ze stron z np. linkiem aktywacyjnym do czegoś. A póżniej i tak kopiuję na dysk i wywalam z poczty. Swoją drogą, gość się niezłą inteligencją wykazał: MatKus a imię Janina z florydy i do tego po angielsku =]. [no chyba że chodzi tylko o otwarcie maila, ale link też chyba był]