Virus in Email

[gpc]

Salve a tutti.
Da un paio di giorni ricevo virus direttamente in email, che fortunatamente il mio buon fido Norton Antivirus mi blocca all'istate.
L'ultimo giusto adesso:

Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: [email protected]
File: C:\Programmi\Eudora\spool\temp.in
Location: Quarantine
Computer: CAMERA
User: Gian Paolo
Action taken: Clean failed : Quarantine succeeded : Access denied
Date found: Mon Feb 10 18:14:13 2003

Sarei curioso di sapere chi e' che me li manda, solamente che, come potete vedere dal file infettato, tutta l'email viene eliminata e non riesco a vedere proprio nulla: non e' che mi venga bloccato l'attachment, quello pare nemmeno che ci sia... insomma, a me non arriva nulla di nulla, manco una email vuota.
Come posso fare a sapere chi mi manda i regalini?
Non dovro' mica collegarmi tutte le volte in telnet al server per leggere gli header di posta finche' non mi arriva il virus, vero? Datemi qualche idea...

[supermario_bros]

si manda automaticamente a tutta la rubrica di chi è già infetto, quindi niente di strano se te li manda involontariamnete un amico/a
salut
mario

[gpc]

ehhmmm... :o post quadruplo

[gpc]

.... .....

[gpc]

... ....

[gpc]

Quote:

Originally posted by "supermario_bros"

si manda automaticamente a tutta la rubrica di chi è già infetto, quindi niente di strano se te li manda involontariamnete un amico/a
salut
mario

Uhm, beh, non e' che volessi saperlo per randellarlo, magari era anche solo per avvisarlo...

PS: scusate se avevo postato in offtopic, ma non sapevo nemmeno che esistesse questa sezione

[amvinfe]

Quote:

Originally posted by "gpc"



Uhm, beh, non e' che volessi saperlo per randellarlo, magari era anche solo per avvisarlo...

...scusa, come??? Non ho capito.

Marco(amvinfe)

[gpc]

Quote:

Originally posted by "amvinfe"



...scusa, come??? Non ho capito.

Marco(amvinfe)

LOL ho fatto la stessa battuta in un altro thread dov'era successa la stessa cosa. Oggi pomeriggio ci sono stati problemi col forum, o almeno io ne ho avuti, non si riusciva piu' a postare perche' comparivano vari errori, e poi invece il post era stato mandato... boh

[amvinfe]

Quote:

Originally posted by "gpc"



LOL ho fatto la stessa battuta in un altro thread dov'era successa la stessa cosa. Oggi pomeriggio ci sono stati problemi col forum, o almeno io ne ho avuti, non si riusciva piu' a postare perche' comparivano vari errori, e poi invece il post era stato mandato... boh

E' capitato diverse volte anche a me, a volte capita anche a Bilancino , e se capita a lui che è il Moderatore.......
Ciao
Marco(amvinfe)

P.S.
sto pensando e se Bilancino mi banna???

[Bilancino]

Quote:

Originally posted by "amvinfe"




P.S.
sto pensando e se Bilancino mi banna???

Non sono cattivo.....



Ciao

[gpc]

Sono riuscito a recuperare l'header di una nuova email infettata:

Return-Path: <[email protected]>
Received: from smtp5.cp.tin.it (192.168.70.231) by ims3a.cp.tin.it (6.5.033)
id 3E37531F005574DF for [email protected]; Mon, 10 Feb 2003 00:45:54 +0100
Received: from VALUED-E322A873 (64.80.237.198) by smtp5.cp.tin.it (6.5.033)
id 3E3E7766008D2A00 for [email protected]; Mon, 10 Feb 2003 00:45:56 +0100
Message-ID: <[email protected]> (added by [email protected])
From: <[email protected]>
To: <[email protected]>
Subject: Re: Movies
Date: Sun, 9 Feb 2003 18:45:42 --0500
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_0174CCA5"

This is a multipart message in MIME format

--CSmtpMsgPart123X456_000_0174CCA5
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Attached file:
--CSmtpMsgPart123X456_000_0174CCA5
Content-Type: application/octet-stream;
name="Untitled1.pif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Untitled1.pif

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAACOFpjwynf2o8p39qPKd/ajSWv4o9B39qMiaPyju3f2o5xo5aPHd/ajynf2
o8l39qPKd/ejR3f2o6ho5aPHd/ajImj9o9J39qNSaWNoynf2owAAAAAAAAAAUEUAAEwBBABZ/Rw+
AAAAAAAAAADgAA8BCwEGAAAAAAAAcAAAAAAAANbLAQAAEAAAAEABAAAAQAAAEAAAAAIAAAQAAAAA
AAAABAAAAAAAAAAA4AEAABAAAGZGAQACAAAAAAAQAAAQAAAAABAAABAAAAAAAAAQAAAAAAAAAAAA
AADiywEAnAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAH7MAQAIAAAAAAAAAAAAAAAAAAAAAAAA
[...]



Questo IP 64.80.237.198 dovrebbe essere quello del sender, vero?

[gpc]

Bello, l'IP sta nello stato di New York. Direi che non è un mio amico che me le manda...

[amvinfe]

Ciao,
si tratta di Sobig.
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

c'è anche un fix_tool
http://securityresponse.symantec.com/avcenter/FixSobig.exe

Ciao
Marco(amvinfe)

[gpc]

Quote:

Originally posted by "amvinfe"

Ciao,
si tratta di Sobig.
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

c'è anche un fix_tool
http://securityresponse.symantec.com/avcenter/FixSobig.exe

Ciao
Marco(amvinfe)

Grande!
Però solo l'ultima email conteneva Sobig, le altre due Yaha... comunque intanto guardo qui!!

[gpc]

Return-Path: <[email protected]>
Received: from smtp4.cp.tin.it (192.168.70.224) by ims3a.cp.tin.it (6.5.033)
id 3E37531F006DDFB5 for [email protected]; Wed, 12 Feb 2003 18:17:19 +0100
Received: from mailhost.tin.it (129.105.186.92) by smtp4.cp.tin.it (6.5.033)
id 3E4A68A90000F941 for [email protected]; Wed, 12 Feb 2003 18:17:19 +0100
Message-ID: <[email protected]> (added by [email protected])
From: Mail Delivery System<[email protected]>To: [email protected]
Subject: Undelivered Mail Returned to Sender -Readme
Date: Wed,12 Feb 2003 11:17:04 PM
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=idngsrk

--idngsrk
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<FONT></FONT>
This message was created automatically by mail delivery software (Exim).<BR><BR>A message that you sent could not be delivered to one or more of its recipients.<BR>This is a permanent error. The following address(es) failed:[email protected]<BR><BR>For further assistance, please contact < [email protected] ><BR>If you do so, please include this problem report. You can<BR>delete your own text from the message returned below.<BR><BR>Copy of your message, including all the headers is attached<BR></BODY></HTML>

--idngsrk
Content-Type: message/rfc822;
name=Readme.eml
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename="Readme.eml"

Return-Path: < [email protected] >
Received: from mx2.tin.it ([1.0.255.53])
From: <[email protected]>
To: [email protected]
Subject: Readme
Date: Wed,12 Feb 2003 11:17:04 PM
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=idngsrkidngsrk

--idngsrkidngsrk
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:owst height=3D0 width=3D0>
</iframe>
<FONT></FONT>
===========================================
EUDORA FOR WINDOWS, VERSION 5.1.1
INCLUDES ESP 1.1
===========================================

This README provides information on the following topics:

- Minimum Requirements
- Installation
- Eudora and Windows 2000
- Notes Concerning Eudor
</BODY></HTML>

--idngsrkidngsrk
Content-Type: audio/x-wav;
name=Readme.mdb.pif
Content-Transfer-Encoding: base64
Content-ID: <owst>

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAABXZioCEwdEURMHRFETB0RRkBtKUR4HRFH7GE5RCQdEURMHRFEQB0RRcRhX
[...]

-----------------

Ho guardato sul sito della symantec per questo virus e dice che nel sender mette l'indirizzo della persona infettata.
A quanto pare è infettato il server della tin, che culo!