PDA

Visualizza versione completa : Mail con attach (virus) da indirizzo sconosciuto


wallace
16-06-2001, 18.28.05
Per l'ennesima volta ricevo una mail da un indirizzo anonimo (non compare in Outlook Express), completamente bianca con solo un eseguibile allegato, che presumo essere un virus. Ho controllato dalle proprietà del messaggio mi da il seguente:

Return-Path: <>
Received: (qmail 8012 invoked from network); 17 Jun 2001 00:49:34 -0000
Received: from ppp-141-64.30-151.libero.it (HELO Roberto) (151.30.64.141)
by dnshostserver.com.170.105.12.in-addr.arpa with SMTP; 17 Jun 2001 00:49:34 -0000
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VE3GLIN4PENKX63GP2RKHIVCH"

Qualcuno riesce a capire come si può risaleire al mittente? Le cose sono 2: uno che ci prova, ed allora lo vorrei conoscere, oppure è un amico che ha il mio indirizzo in rubrica e all'insaputa ha beccato un virus che si è inviato da solo. Come faccio a risalire al mittente visto che ci sono diversi IP e poi un server libero.it? Se qualcuno ci capisce più di me mi dia una mano. Grazie

BiOS
16-06-2001, 19.08.21
Purtroppo da quei dati non è possibile risalire a chi sia il mittente del messaggio, sia che fosse un malintezionato, sia che sia un tuo ignaro amico.

Comunque se intanto ci dici il nome dell'allegato e la dimensione del file (o magari fai una bella passata con l'antivirus) possiamo riuscire a capire se il virus ti è stato inviato apposta, o se è arrivato da te all'insaputa di chi te l'ha mandato ;)

wallace
17-06-2001, 10.39.11
Il nome file è FELNEIFE.EXE e la dimensione è 21.5 kb. Me ne sono arrivati svariati di eseguibili ultimamente, ma questo è la prima volta. Sinceramente non ho provato a fare una scansione con nessun antivirus su quel file.

wallace
17-06-2001, 10.44.04
Qualcuno saprebbe spiegarmi cosa sono tutti quegli IP che compaiono?

giallo
17-06-2001, 11.34.38
Google: 0; Metacrawler: 0; Dogpile: 0. Il nome e' giusto?

wallace
17-06-2001, 14.36.16
si è giusto.
Cmq ho controllato con norton: c'è il
W95.Hybris.worm
Mi sa che è lo stesso che h ricevuto altre volte, però con eseguibili diversi. Che virus è?

wallace
17-06-2001, 14.51.23
Ho dato un'occhiatina al SARC e pare che il virus sia abbastanza recente.
Devo riuscire a capire chi è che continua a mandarmelo.

Etabeta
17-06-2001, 15.30.11
allora....a parte il fatto questo virus si autoreplica......
da telnet è facile mandare una mail anonima con allegato...
basta connettersi a qualsiasi server con porta mail ( 25 se non erro ) aperta, e con i comandi appropiati mandare un messaggio con un allegato, magari ad un remailer, in modo da non mostrare il proprio indirizzo IP....
la spiegazione di come si fa si trova in qualsiasi guiducola "hackeristica" che trovi in giro, quindi qualsiasi lamer può farlo...

wallace
17-06-2001, 23.11.58
Si si questo lo so, so che anche un bambino potrebbe farlo, ma vorrei sapere se c'è modo, tramite gli IP presenti nell'indirizzo di risalire al rompiscatole. Uno dei vari IP che si vedono sarà pur quello con cui era loggata questa persona? Più o meno so anche l'ora a cui è stato inviato perché scarico la posta ogni 2 ore.
Se qualcuno mi sa interpretare tutto questo mi fa un grosso favore:
Received: (qmail 8012 invoked from network); 17 Jun 2001 00:49:34 -0000
Received: from ppp-141-64.30-151.libero.it (HELO Roberto) (151.30.64.141)
by dnshostserver.com.170.105.12.in-addr.arpa with SMTP; 17 Jun 2001 00:49:34 -0000
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VE3GLIN4PENKX63GP2RKHIVCH"

Ghandalf
18-06-2001, 02.13.46
Eccoti!! Ora ho capito cosa vuoi sapere...non avevo letto questo post :)

Se dovessi essere cosi' fortunato da beccare uno che manda un'e-mail anonima e lascia il suo idirizzo ip facilmente visibile puoi anche evitare di perseguitarlo...:)
Anche se dovessi arrivare al suo ip ed all'ora a cui si e' connesso, dovresti poi sapere a chi corrispondeva quell'ip in quel momento e non penso che, a meno che ci sia la CIA di mezzo, queste informazioni vengano date dai gestori o dai SysAd.
In terzo luogo la volta successiva l'ip sara' diverso, quindi sapere l'ip senza sapere chi c'e' dietro ad ogni connessione non e' moto utile...
Potresti cercare di arrivare tu a queste informazioni, ma e' illegale :( e, cosa non meno importante, devi saperlo fare ;).

Una cosa che potresti fare e' segnalare al SysAd (credo a lui) il fatto, di modo che lui stesso possa prendere provvedimenti...(niente giustizia fai da te..:))

Spero d'avere risposto, almeno in parte, alle tue domande...

ciau..

wallace
18-06-2001, 08.51.17
Ti ringrazio della risposta. So che l'IP cambia ad ogni connessione, ma il provider dovrebbe tenere un log con i dati di chi si è connesso, consultabili su richiesta da autorità e magistratura. Tu dici di segnalare all'amministratore, ma non ho capito a quale: intendi a quello presso cui ho la casella di posta presa di mira?
Grazie di nuovo.

Ghandalf
18-06-2001, 10.09.18
No, no....quello responsabile dell'ip da cui parte l'e-mail...
appunto il log delle connessione e' disponibile solo per questioni "serie"...magistratura (CIA :)) appunto...a meno che non voglia intentare un'azione legale :), non credo che da privato siano disposti a darti i dati della connessione :)

wallace
18-06-2001, 10.43.17
Ho controllao gli IP presenti nei dettagli della mail:
151.30.64.141 è di Libero
141-64.30-151 (scritto però con i punti e non i "-") è di una certa Technische Fachhochschule Berlin.
Intanto provo a contattare Libero.
Ti ringrazio di nuovo per l'aiuto.

BiOS
18-06-2001, 11.39.43
Per contattare Libero utilizza il solito indirizzo e-mail (con le dovute modifiche valido per quasi tutti i provider): abuse@libero.it ;)




[Edited by BiOS on 18-06-2001 at 13:56]

wallace
18-06-2001, 12.35.20
Si è quel che ho già fatto!
Ora aspetto di sentire quel che dicono.

Bartman
21-06-2001, 13.24.08
Succede anche a me ... me ne arrivano un casino .. di queste mail senza mittente.. con allegati EXE eseguibili di nomi sempre diversi... penso proprio che il mittente non sappia di mandare questa Mail.

In ogni caso è inutile contattare l'abuse non possono far niente .. non sono mail INTENZIONALI.

Ciao

wallace
21-06-2001, 16.56.49
Mi hanno risposto proprio oggi da abuse@libero.it dicendomi che stanno ricevendo molte segnalazioni di questo genere e che probabilmente provengono da computer di utenti ignari, infettati dal virus.