Salve a tutti.
Da un paio di giorni ricevo virus direttamente in email, che fortunatamente il mio buon fido Norton Antivirus mi blocca all'istate.
L'ultimo giusto adesso:

Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: W32.Yaha.F@mm.enc
File: C:\Programmi\Eudora\spool\temp.in
Location: Quarantine
Computer: CAMERA
User: Gian Paolo
Action taken: Clean failed : Quarantine succeeded : Access denied
Date found: Mon Feb 10 18:14:13 2003

Sarei curioso di sapere chi e' che me li manda, solamente che, come potete vedere dal file infettato, tutta l'email viene eliminata e non riesco a vedere proprio nulla: non e' che mi venga bloccato l'attachment, quello pare nemmeno che ci sia... insomma, a me non arriva nulla di nulla, manco una email vuota.
Come posso fare a sapere chi mi manda i regalini?
Non dovro' mica collegarmi tutte le volte in telnet al server per leggere gli header di posta finche' non mi arriva il virus, vero? Datemi qualche idea...

si manda automaticamente a tutta la rubrica di chi è già infetto, quindi niente di strano se te li manda involontariamnete un amico/a
salut
mario

ehhmmm... :o post quadruplo :p

.... :rolleyes: .....

... :muro: ....

Originally posted by "supermario_bros"

si manda automaticamente a tutta la rubrica di chi è già infetto, quindi niente di strano se te li manda involontariamnete un amico/a
salut
mario

Uhm, beh, non e' che volessi saperlo per randellarlo, magari era anche solo per avvisarlo... ;)

PS: scusate se avevo postato in offtopic, ma non sapevo nemmeno che esistesse questa sezione :p

Originally posted by "gpc"



Uhm, beh, non e' che volessi saperlo per randellarlo, magari era anche solo per avvisarlo... ;)

...scusa, come??? Non ho capito. :D :D :D

Marco(amvinfe)

Originally posted by "amvinfe"



...scusa, come??? Non ho capito. :D :D :D

Marco(amvinfe)

LOL :D ho fatto la stessa battuta in un altro thread dov'era successa la stessa cosa. Oggi pomeriggio ci sono stati problemi col forum, o almeno io ne ho avuti, non si riusciva piu' a postare perche' comparivano vari errori, e poi invece il post era stato mandato... boh :confused:

Originally posted by "gpc"



LOL :D ho fatto la stessa battuta in un altro thread dov'era successa la stessa cosa. Oggi pomeriggio ci sono stati problemi col forum, o almeno io ne ho avuti, non si riusciva piu' a postare perche' comparivano vari errori, e poi invece il post era stato mandato... boh :confused:

E' capitato diverse volte anche a me, a volte capita anche a Bilancino :D :D :D , e se capita a lui che è il Moderatore....... :D
Ciao
Marco(amvinfe)

P.S.
sto pensando :rolleyes: e se Bilancino mi banna???

Originally posted by "amvinfe"




P.S.
sto pensando :rolleyes: e se Bilancino mi banna???

Non sono cattivo..... :cry:

:sofico:

Ciao

Sono riuscito a recuperare l'header di una nuova email infettata:

Return-Path: <big@boss.com>
Received: from smtp5.cp.tin.it (192.168.70.231) by ims3a.cp.tin.it (6.5.033)
id 3E37531F005574DF for gianpaolo.c@tin.it; Mon, 10 Feb 2003 00:45:54 +0100
Received: from VALUED-E322A873 (64.80.237.198) by smtp5.cp.tin.it (6.5.033)
id 3E3E7766008D2A00 for gianpaolo.c@tin.it; Mon, 10 Feb 2003 00:45:56 +0100
Message-ID: <3E3E7766008D2A00@smtp5.cp.tin.it> (added by postmaster@virgilio.it)
From: <big@boss.com>
To: <gianpaolo.c@tin.it>
Subject: Re: Movies
Date: Sun, 9 Feb 2003 18:45:42 --0500
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_0174CCA5"

This is a multipart message in MIME format

--CSmtpMsgPart123X456_000_0174CCA5
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Attached file:
--CSmtpMsgPart123X456_000_0174CCA5
Content-Type: application/octet-stream;
name="Untitled1.pif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Untitled1.pif

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAACOFpjwynf2o8p39qPKd/ajSWv4o9B39qMiaPyju3f2o5xo5aPHd/ajynf2
o8l39qPKd/ejR3f2o6ho5aPHd/ajImj9o9J39qNSaWNoynf2owAAAAAAAAAAUEUAAEwBBABZ/Rw+
AAAAAAAAAADgAA8BCwEGAAAAAAAAcAAAAAAAANbLAQAAEAAAAEABAAAAQAAAEAAAAAIAAAQAAAAA
AAAABAAAAAAAAAAA4AEAABAAAGZGAQACAAAAAAAQAAAQAAAAABAAABAAAAAAAAAQAAAAAAAAAAAA
AADiywEAnAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAH7MAQAIAAAAAAAAAAAAAAAAAAAAAAAA
[...]



Questo IP 64.80.237.198 dovrebbe essere quello del sender, vero?

Bello, l'IP sta nello stato di New York. Direi che non è un mio amico che me le manda... :rolleyes:

Ciao,
si tratta di Sobig.
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.a@mm.html

c'è anche un fix_tool
http://securityresponse.symantec.com/avcenter/FixSobig.exe

Ciao
Marco(amvinfe)

Originally posted by "amvinfe"

Ciao,
si tratta di Sobig.
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.a@mm.html

c'è anche un fix_tool
http://securityresponse.symantec.com/avcenter/FixSobig.exe

Ciao
Marco(amvinfe)

Grande! :D
Però solo l'ultima email conteneva Sobig, le altre due Yaha... comunque intanto guardo qui!! ;)

Return-Path: <MAILER-DAEMON@tin.it>
Received: from smtp4.cp.tin.it (192.168.70.224) by ims3a.cp.tin.it (6.5.033)
id 3E37531F006DDFB5 for gianpaolo.c@tin.it; Wed, 12 Feb 2003 18:17:19 +0100
Received: from mailhost.tin.it (129.105.186.92) by smtp4.cp.tin.it (6.5.033)
id 3E4A68A90000F941 for gianpaolo.c@tin.it; Wed, 12 Feb 2003 18:17:19 +0100
Message-ID: <3E4A68A90000F941@smtp4.cp.tin.it> (added by postmaster@virgilio.it)
From: Mail Delivery System<MAILER-DAEMON@tin.it>To: gianpaolo.c@tin.it
Subject: Undelivered Mail Returned to Sender -Readme
Date: Wed,12 Feb 2003 11:17:04 PM
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=idngsrk

--idngsrk
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<FONT></FONT>
This message was created automatically by mail delivery software (Exim).<BR><BR>A message that you sent could not be delivered to one or more of its recipients.<BR>This is a permanent error. The following address(es) failed:admin@kingsofchaos.com<BR><BR>For further assistance, please contact < postmaster@tin.it ><BR>If you do so, please include this problem report. You can<BR>delete your own text from the message returned below.<BR><BR>Copy of your message, including all the headers is attached<BR></BODY></HTML>

--idngsrk
Content-Type: message/rfc822;
name=Readme.eml
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename="Readme.eml"

Return-Path: < gianpaolo.c@tin.it >
Received: from mx2.tin.it ([1.0.255.53])
From: <gianpaolo.c@tin.it>
To: admin@kingsofchaos.com
Subject: Readme
Date: Wed,12 Feb 2003 11:17:04 PM
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=idngsrkidngsrk

--idngsrkidngsrk
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:owst height=3D0 width=3D0>
</iframe>
<FONT></FONT>
===========================================
EUDORA FOR WINDOWS, VERSION 5.1.1
INCLUDES ESP 1.1
===========================================

This README provides information on the following topics:

- Minimum Requirements
- Installation
- Eudora and Windows 2000
- Notes Concerning Eudor
</BODY></HTML>

--idngsrkidngsrk
Content-Type: audio/x-wav;
name=Readme.mdb.pif
Content-Transfer-Encoding: base64
Content-ID: <owst>

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAABXZioCEwdEURMHRFETB0RRkBtKUR4HRFH7GE5RCQdEURMHRFEQB0RRcRhX
[...]

-----------------

Ho guardato sul sito della symantec per questo virus e dice che nel sender mette l'indirizzo della persona infettata.
A quanto pare è infettato il server della tin, che culo! :rolleyes: