Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
virus nella posta eletronica
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
gigia2
Dio minore
Dio minore


Registrato: 04/06/03 18:14
Messaggi: 674

MessaggioInviato: 22 Lug 2003 17:29    Oggetto: virus nella posta eletronica Rispondi citando

é da un po' di tempo che mi arrivano di continuo mail infettate da un certo virus W32.klez.H@mm.

Questa è l'intestazione di una delle tante....

X-NortonAV-TimeoutProtection: 1

X-NortonAV-TimeoutProtection: 2

X-NortonAV-TimeoutProtection: 3

X-NortonAV-TimeoutProtection: 4

X-NortonAV-TimeoutProtection: 5

X-NortonAV-TimeoutProtection: 6

X-NortonAV-TimeoutProtection: 7

X-NortonAV-TimeoutProtection: 8

X-NortonAV-TimeoutProtection: 9

X-NortonAV-TimeoutProtection: 10

X-NortonAV-TimeoutProtection: 11

Return-Path: <natalucci19@tiscali.it>

Received: from smtp5.libero.it (193.70.192.55) by ims5b.libero.it (7.0.012)

id 3F1469BD0019FC1A for miamail@....; Tue, 22 Jul 2003 18:03:47 +0200

Received: from mail.fastwebnet.it (213.140.2.39) by smtp5.libero.it (7.0.012)

id 3EEC0B2103A3ED76 for miamail@....; Tue, 22 Jul 2003 18:03:47 +0200

Received: from Zph (23.254.46.208) by mail.fastwebnet.it (6.5.032)

id 3E3A5F1700C0CD4C for miamail@....; Tue, 22 Jul 2003 18:03:47 +0200

Date: Tue, 22 Jul 2003 18:03:47 +0200 (added by postmaster@fastwebnet.it)

Message-ID: <3E3A5F1700C0CD4C@reiser.fastwebnet.it> (added by postmaster@fastwebnet.it)

From: bigiemme <bigiemme@bigiemme.net>

To: miamail@....;

Subject: **SPAM** **SPAM SPBAG 193.70.192.55** Hello,sos!

MIME-Version: 1.0

Content-Type: multipart/alternative;

        boundary=S45yDPuH2B31508gt4G0um725k809jj

X-SpamPal: SPAM

SPBAG 193.70.192.55



Ma io questa bigiemme non so neanche chi sia, e guardando il sito su internet ho visto che è un negozio di arredi e accessori per la casa. Nulla a che vedere con me (oltretutto visto che sono zitella e vivo con i miei, l'articolo non mi può interessare di certo :lol )

E poi questo natalucci19@.... chi è?? e compare in tutte le mail infettate.

Aiutatemi a capire cosa succede.

ciao a tutti

Top
Profilo Invia messaggio privato
gieffeo
Dio minore
Dio minore


Registrato: 17/07/03 14:37
Messaggi: 784

MessaggioInviato: 22 Lug 2003 17:45    Oggetto: natalucci Rispondi citando

non credo di poterti aiutare granche', ma se natalucci e' qualcuno che ti manda le mail, e' probabile che vi troviate vicini nella rubrica di qualche conoscente comune ... ho vaghi ricordi di un virus che infettava proprio in questo modo: colpiva l'utente A il quale aveva in rubrica gli utenti B e C e si autospediva a C dicendo di essere B ... lo so, non ti puo' assolutamente servire, ma te lo dico "tanto per la cronaca" ;)



hai provato a bloccare almeno l'utente natalucci? probabilmente non e' una soluzione definitiva, ma, nel caso le mail infette siano tanto frequenti, almeno ti puo' aiutare ad arginare il problema



cmq immagino che tu abbia NAV che ti protegge la posta, giusto? quindi non dovresti temere l'infezione, da quel lato ... so che e' un sistema forse poco ortodosso, ma hai pensato ad una lettera circolare a tutti i tuoi contatti, avvisandoli di scansionare il pc, perche' probabilmente sono stati infettati

Top
Profilo Invia messaggio privato
gigia2
Dio minore
Dio minore


Registrato: 04/06/03 18:14
Messaggi: 674

MessaggioInviato: 22 Lug 2003 18:12    Oggetto: natalucci Rispondi citando

grazie innanzitutto e piacere di fare la tua conoscenza.



Quote:
ma te lo dico "tanto per la cronaca"


no no grazie....mi interessa tutto ;)



Si, il norton sino ad ora mi ha ogni volta protetto dal virus, e spampal mi ha bloccato le mail"insanguinate".

Ma ora sta diventando una "questione d'onore ah"...oltretutto visto che la questione sta andando avanti da parecchio.



E se scrivessi a questo Natalucci?:rolleyes

Top
Profilo Invia messaggio privato
gieffeo
Dio minore
Dio minore


Registrato: 17/07/03 14:37
Messaggi: 784

MessaggioInviato: 22 Lug 2003 18:30    Oggetto: natalucci Rispondi citando

piacere mio :)



fallo, ma se, come immagino, lui non e' che un prestanome, potresti non risolvere il problema



prova anche con la mail circolare: se i tuoi contatti saranno ligi nei controlli, probabilmente otterrai risultati migliori e facilmente natalucci scomparira' finalmente dai tuoi incubi informatici :)



p.s. capisco le questioni d'onore relative ai pc: mi costano ore ed ore di sonno, ma come si fa a lasciar perdere? ;)

Top
Profilo Invia messaggio privato
pincopallino
Dio maturo
Dio maturo


Registrato: 05/05/02 08:05
Messaggi: 3396
Residenza: Paperopoli

MessaggioInviato: 23 Lug 2003 08:52    Oggetto: Re: natalucci Rispondi citando

Cara Gigia2,

non so quale client (programma per ricevere la posta elettronica) tu usi, ma quasi tutti hanno dei filtri che puoi impostare. Nel tuo caso io farei così: se <mittente=natalucci19@tiscali.it> allora <cancella dal server>. In questo modo, qualunque mail che arrivi con il campo "from" da questa persona (che non è il vero mittente, quasi sicuramente) viene eliminata senza nemmeno essere scaricata.

Ho notato che usi SpamPal. Bene, brava. Peccato che i providers gratuiti italiani siano praticamente tutti sulle liste nere delle organizzazioni antispam, per cui se dovessi impostare un filtro di eliminazione automatica dei messaggii marcati come "SPAM" non riceveresti più messaggii dall'Italia...

_________________________________

God saves, but Buddha makes incremental backups

Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11558
Residenza: Tokelau

MessaggioInviato: 23 Lug 2003 09:19    Oggetto: Re: natalucci Rispondi citando

guardando l'header direi che l'utente con il virus sia un utente fastweb più che un utente tiscali... comunque non credo che sia così grave scrivere una mail gentile al Sig. Natalucci e chiedergli se per caso lui ha un antivirus installato...

... in compenso confermo che Klez usa tecniche di "spoofing" ovvero il mittente, come era prevedibile, è falso... anche se il fatto che tu viva con i tuoi genitori non implica che tu non possa mai essere andata in un negozio di arredamenti, comunque ;)

Top
Profilo Invia messaggio privato HomePage
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 23 Lug 2003 09:56    Oggetto: Re: Importante!!! Rispondi citando

Infatti il più delle volte il mittente è falso. Come dice Sverx questa mail è passata per un server Fastweb. Questi "rubagalline" però non riescono ( non dovrei suggerirlo se ce nè qualcuno in ascolto:) ) a nascondere TUTTI i passaggi per i vari server di posta elettronica ( ma non dirò come fare :D ). In pratica ottengono solo una sorta di passaparola. Quello da cui è partito è Libero:



Received: from smtp5.libero.it (193.70.192.55) by ims5b.libero.it (7.0.012) id 3F1469BD0019FC1A for miamail@....; Tue, 22 Jul 2003 18:03:47 +0200 Received: from mail.fastwebnet.it (213.140.2.39) by smtp5.libero.it (7.0.012).



Può trarre in inganno il doppio "Received from" ma la conferma viene da:



Received: from mail.fastwebnet.it (213.140.2.39) by smtp5.libero.it (7.0.012).



Cioè ricevuto da mail.fastwebnet.it ATTRAVERSO smtp5.libero.it . Infatti l'indirizzo IP 193.70.192.55 appartiene ad Infostrada. A questo punto puoi scrivere una bella mail ad abuse@libero.it e per conoscenza ad abuse@infostrada.it, trascrivendo l'header della mail, copiando ed incollando il corpo del messaggio della mail, indicando il particolare del loro indirizzo IP ed allegando la mail originale. Se non ti rispondono subito insisti: sono un pò duri di orecchie!!:)

Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11558
Residenza: Tokelau

MessaggioInviato: 23 Lug 2003 10:44    Oggetto: Re: Importante!!! Rispondi citando

scusami ma mi risulta che gli header "received:" vadano letti al contrario, dal basso verso l'alto. Quindi la mail ha attraversato prima il server fastweb e poi quello di libero. La conferma ce la può dare la signorina dicendo se il suo indirizzo è "@libero.it" ...

... quindi può fare segnalazione all'abuse di FastWeb, se vuole, anche se non credo abbia molto senso poichè la mail non è SPAM... mah...

Top
Profilo Invia messaggio privato HomePage
gigia2
Dio minore
Dio minore


Registrato: 04/06/03 18:14
Messaggi: 674

MessaggioInviato: 23 Lug 2003 10:46    Oggetto: Re:importante Rispondi citando

bene, mi attivo immediatamente.

vi faro sapere..... :hat



grazie

Top
Profilo Invia messaggio privato
gigia2
Dio minore
Dio minore


Registrato: 04/06/03 18:14
Messaggi: 674

MessaggioInviato: 23 Lug 2003 10:49    Oggetto: Re:re: importante Rispondi citando

Si, esattamente la mia mail è del tipo



sonosimpaticissima@libero.it.



Quindi che devo fare???:x





;)

Top
Profilo Invia messaggio privato
pincopallino
Dio maturo
Dio maturo


Registrato: 05/05/02 08:05
Messaggi: 3396
Residenza: Paperopoli

MessaggioInviato: 23 Lug 2003 10:55    Oggetto: Re: Re:re: importante Rispondi citando

Quote:
Si, esattamente la mia mail è del tipo

sonosimpaticissima@libero.it.

Quindi che devo fare???


Fondare un fan club! :rollin

Scherzi a parte, come disse SverX, qui non si tratta di SPAM, ma di qualche poveraccio (ed ingenuo...) che si è fatto infettare da un PC-virus. Il responsabile del disturbo che ne deriva è il virus. Quindi, una segnalazione ad "abuse" è inutile, visto che non di abuso si tratta.

Io metterei un filtro sull'indirizzo che compare nel "from", e magari pure su quello che compare in "reply-to", a meno che siano tuoi conoscenti (così non pare). Puoi pure tentare di contattare quel "from", il quale però probabilmente ha nulla a che vedere con la faccenda: si tratta probabilmente di uno dei contatti nell'agenda del PC infettato.

_________________________________

God saves, but Buddha makes incremental backups

Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11558
Residenza: Tokelau

MessaggioInviato: 23 Lug 2003 11:03    Oggetto: Re: Re:re: importante Rispondi citando

sonosimpaticissima... lol... sto ancora ridendo ;)



fan club a parte... potresti pensare un attimino a chi potrebbe avere il tuo indirizzo e-mail in rubrica (un amica?) che possa anche avere l'indirizzo di quel negozio (una amica che si sposa?) ... ti puoi aiutare anche guardando in che città si trova il negozio (è nella tua? allora probabilmente anche il mittente -VERO- della mail) ... e magari indovini chi è il furbone/la furbona che ha beccato klez...

... io proverei tra qualcuno che conosci abbonato a Fastweb...

Top
Profilo Invia messaggio privato HomePage
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 23 Lug 2003 11:52    Oggetto: Re: Re:re: importante Rispondi citando

Per Sverx:



Quote:
Received: from mail.fastwebnet.it (213.140.2.39) by smtp5.libero.it id 3EEC0B2103A3ED76 for miamail@




Appunto, se lo leggi al contrario...:) Comunque gigia2 potrebbe segnalare anche a FastWeb (abuse@fastweb.it) nella stessa maniera. Ma quando ricevetti una visitina di klez lessi l'header in questo modo e TIN mi diede ragione. Mi ero dimenticato: si dovrebbe indicare l'orario di invio.



Per Pincopallino:



Quote:
Il responsabile del disturbo che ne deriva è il virus. Quindi, una segnalazione ad "abuse" è inutile, visto che non di abuso si tratta.




Infatti non avevo parlato di spamming, comunque anche l'invio di un virus con una mail spoofata attraverso un computer "bucato" da una backdoor è un abuso. In questo modo fai sapere alla persona che ha fatto da "ripetitore" che ha un problema. Mi era capitata situazione analoga sulla casella di posta della quale avevamo parlato assieme sul post "una riflessione..." In questi casi particolarissimi i providers non agiscono con provvedimenti parzialmente o totalmente restrittivi ma con una serie di accertamenti. Un conto è un tentativo di intrusione in cui tu fornisci dei dati decisivi con il report del firewall, ed un'altro è l'invio di un virus perchè il report dell'antivirus sulla scansione della posta in entrata potrebbe essere appositamente "smaneggiato".

Top
Profilo Invia messaggio privato
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 23 Lug 2003 12:21    Oggetto: Re: Re:re: importante Rispondi citando

Sempre sull'argomento della lettura di un header potete trovare qualche approfondimento quì

Ciao a tutti.

Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11558
Residenza: Tokelau

MessaggioInviato: 23 Lug 2003 13:44    Oggetto: Re: Re:re: importante Rispondi citando

Quote:
Appunto, se lo leggi al contrario...




al contrario intendevo che gli header vengono aggiunti "sopra" e quindi il primo è quello più in basso e l'ultimo è quello in cima, il primo in alto...



e:



Received: from mail.fastwebnet.it by smtp5.libero.it



vuol dire che la mail è passata DA FastWeb A Libero... difatti il destinatario (come confermato dallo stesso... dalla stessa, pardon) è un utente di Libero.



:)

Top
Profilo Invia messaggio privato HomePage
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 23 Lug 2003 14:04    Oggetto: Re: Re:re: importante Rispondi citando

Mi sembra strano...Oddio non ho il dono del Verbo, potrei aver confuso però ci ho già azzeccato nel passato...Per curiosità andrò a rivedere le sacre scritture sull'argomento.:D

Top
Profilo Invia messaggio privato
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 23 Lug 2003 20:39    Oggetto: Re: Re:re: importante Rispondi citando

La moneta tirata in aria quando ricade rimane in piedi di taglio: se fate un giro su google cercando "header" si trovano diversi approfondimenti. Allora: non è corretto leggere gli header al contrario o meglio è più complesso di ciò che si pensa, e per quanto riguarda il mio caso di posta virulenta diciamo che ho avuto fortuna. Comunque in effetti il mittente potrebbe

( potrebbe!!) appartenere sul serio a Fastweb. Vale la pena comunque di inviare una segnalazione ad abuse@fastweb.it perchè anche se non si tratta di SPAM non è corretto inviare virus.

Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11558
Residenza: Tokelau

MessaggioInviato: 24 Lug 2003 09:13    Oggetto: Re: Re:re: importante Rispondi citando

Quote:
Allora: non è corretto leggere gli header al contrario o meglio è più complesso di ciò che si pensa




non è così complesso, davvero. Se consideri valide tutte le righe "received:" (perchè non mi risulta che Klez inserisca delle false righe al momento di inoltrare l'e-mail, cosa invece a volte utilizzata dagli spammer) allora basta pensare che ogni volta che la mail arriva ad un server questo gli appone una etichetta del tipo: il proprio nome, la data (non sempre), il proprio IP (non sempre), il nome del server che me l'ha "passata", la sua data, il suo IP (dovrebbe sempre esserci questo dato).



Poi il server successivo nella catena fa lo stesso lavoro e mette la sua etichetta su quella precedente, cioè in cima all'header così come lo ha ricevuto lui.



davvero, non è difficile leggere un header e neanche valutare se alcune tighe sono false o vere... e possono essere false solo "più sotto" ma sicuramente mai l'ultima, ovvero la prima in alto.



ciao :)



Top
Profilo Invia messaggio privato HomePage
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 24 Lug 2003 20:26    Oggetto: Re: Re:re: importante Rispondi citando

Mmmmh, dai un'occhiata al link che vi ho indicato e poi raccontami se non è complesso:)

Top
Profilo Invia messaggio privato
SpaceCitizen
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 19/07/03 08:54
Messaggi: 172

MessaggioInviato: 24 Lug 2003 20:29    Oggetto: Re: Re:re: importante Rispondi

Aoh, un commento che non c'entra nulla, ma stà gigia2 è una gran bella ragazza!! Sempre che la foto sia autentica:rollin

Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi