Qualcuno su tiscali ha un worm

di **zello** » 17/01/03 19:20

Qualcuno che mi ha in rubrica di Outlook e ha tiscali (oggi alle 13 aveva ppp-62-11-52-169.dialup.tiscali.it [62.11.52.169], il nome del computer pare essere INTER) mi ha inavvertitamente mandato un qualche worm (l'ho ricevuto sotto linux, neanche ho guardato cos'era, non ho visto refs a IFRAME e quindi non credo sia klez, è allegato un Untitled1.pif e il from: è big@boss.com).
E' la seconda volta che mi arriva, sull'account di pc-facile che uso solo qui. Chi usa tiscali faccia uno scanning, pliz.
Ciauz

di **dado** » 17/01/03 19:38

A me negli ultimi giorni sarà arrivato una decina di volte. Però, le prime volte che facevo l'analisi degli headers, risultava arrivare da fastweb... ovviamente sull'indirizzo di pc-facile. Boh. L'infezione si sta allargando?

X la precisione, leggendo su Tiscali, si tratta di:
Diverse società antivirus hanno segnalato la presenza su Internet di un
nuovo virus per computer. Il worm, denominato Sobig, è stato rilevato per la prima volta la scorsa settimana e si sta diffondendo velocemente tra gli utenti della Rete.

di **Nicola** » 17/01/03 20:03

stesso worm ricevuto da zello (Sender: big@boss.com) ovviamente anche io sul forwarder di !pc-facile.

L'ip era di Fastweb e il nome PC (o quello dato all'helo) era WAR.

Untitled1.pif da 65,5 KB circa.

Ciao, Nicola.

di **Nicola** » 17/01/03 20:43

Aggiungo che una copia di big@boss.com identica mi è arrivata ieri ed il sender era:

[code]Received: from IO-NCCMWYW4RDO3 (host67-223.pool80117.interbusiness.it [80.117.223.67])/code]

ed il by era direttamente buddy.siteprotect.com

a) è un mailserver
b) Fa l'invio direct to mx.

:?:

Ciao

di **kadosh** » 17/01/03 22:01

A me arrivano a iosa sull'address qui nelle info...ma tanto...si sa che fine fanno senza neanche essere aperti o controllati via server

di **zello** » 18/01/03 15:44

Però mi rompe un po' le balle scaricarmi sessanta kilobytes su dialup per il virus. Ne ho ricevuti altri due oggi (sempre tiscali, e fastweb [ip statico, 213-140-8-167.fastres.net, ancora in linea ma non prende il net send per avvertirlo]).
Se continua faccio redirigere il redirect direttamente su /dev/null, ma comunque prima vi avverto.
Ciao

di **Nicola** » 18/01/03 17:10

zello ha scritto:[ip statico, 213-140-8-167.fastres.net, ancora in linea ma non prende il net send per avvertirlo]).

Forse perchè è l'IP di N AT di FW?

Devi sapere infatti che FW fa uscire tutti i suoi utenti (tranne contratti speciali o richiesta Ip pubblico a tempo) con un solo IP pubblico per zone, circa un quartiere e si ha un proprio IP di tipo privato..

Se la macchina NAT (o il router non rediretta le specifiche porte su un PC) non ha il net send non potrai mai avvisarli.. ma solo contattare abuse<at>fastweb.it

Ciao

di **zello** » 19/01/03 01:01

Già fatto, ma già fatica a segare gli spammers, figuriamoci ad avvisare chi ha un virus...

di **piercing** » 19/01/03 02:09

è arrivato anche a me, una sola volta,... sempre da big@boss.com su una mail che non uso praticamente da nessuna parte (è aziendale), quindi penso venga, nel mio caso, dalla rubrica di qualcuno...

non mi ricordo con che nome l'ha chiamato l'antivirus...

di **SoftIc3** » 28/01/03 13:58

arrivano pure a me

Return-Path: <big@boss.com>
Delivered-To: erbalibbera@M
Received: (qmail 4028 invoked from network); 14 Jan 2003 04:06:33 -0000
Received: from unknown (HELO JUSTIN-XP) (211.51.39.2)
by mx2.aruba.it with SMTP; 14 Jan 2003 04:06:33 -0000
From: <big@boss.com>
To: <erbalibbera@aruba.it>
Subject: Re: Here is that sample
Date: Tue, 14 Jan 2003 13:06:41 +0900
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_00CE98FA"
X-Spam-Rating: mx2.aruba.it 1.6.2 0/1000/N

boh

mette un file .exe in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

abbastana normale mi pare....a me e' arrivata subito dopo l'attivazione utente di pcfacile
e continuano ad arrivarmi mannaggia........

di **Frengo78** » 28/01/03 14:09

questo genere di worm cerca gli indirizzi a cui spedirsi nei vari sbx wab e compagnia bella e nelle pagine html. Ora, softice potresti esserci d'aiuto per risalire all'infestatore (sempre che si tratti di un unica persona)
SoftIce tu hai mai scritto il tuo indirizzo in chiaro fra le pagine del forum?
Hai contatti email o icq con qualcuno iscritto al forum?

di **Nicola** » 28/01/03 14:12

l'email di softice è visibile dal profilo

ciao

di **Frengo78** » 28/01/03 14:16

è vero, bravo nicola! Softice ti conviene disabilitare l'email nel profilo utente. Anzi, si consiglia a tutti.

di **SoftIc3** » 28/01/03 14:19

la mia email e' sul profilo, cmq te la posto qua

erbalibbera@aruba.it
opennap@aruba.it

se posso essere d'aiuto sono a disposizione

bye

di **SoftIc3** » 28/01/03 14:23

nn importa, spam a palla su queste 2

di **Frengo78** » 28/01/03 14:25

eheh una cosa è lo spam un altra i virus softice.

di **SoftIc3** » 28/01/03 14:42

lo so, preferisco i virus

di **SoftIc3** » 28/01/03 16:09

arrivata ora ora una mail a erbalibebra@aruba.it
sempre da big@boss

stavolta l'ip e' 62.211.255.43, netbios name direzione

(tra l'altro e' netbiossato e nn ha password all'account administrator)

mmm il warm si espande

bon gli lascio un messaggio a sto tipo sul desktop e lo avverto con un messaggio, speriamo abbia il mesenger avviato

brb

di **salvatron** » 28/01/03 17:21

un famo scherzi perche' non ho l'antivirus o norton scaduto mi protegge sempre?

di **ezechiel2517** » 28/01/03 17:23

ti protegge contro i virus che si "ricorda" dall'ultimo update! ma non da quello che ha creato ieri il 14enne brufoloso del maine

!!!

Qualcuno su tiscali ha un worm

Qualcuno su tiscali ha un worm

big@boss.com

warm

no problem

sisi

warm

Topic correlati a "Qualcuno su tiscali ha un worm":

Chi c’è in linea