Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Qualcuno su tiscali ha un worm

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Qualcuno su tiscali ha un worm

Postdi zello » 17/01/03 19:20

Qualcuno che mi ha in rubrica di Outlook e ha tiscali (oggi alle 13 aveva ppp-62-11-52-169.dialup.tiscali.it [62.11.52.169], il nome del computer pare essere INTER) mi ha inavvertitamente mandato un qualche worm (l'ho ricevuto sotto linux, neanche ho guardato cos'era, non ho visto refs a IFRAME e quindi non credo sia klez, è allegato un Untitled1.pif e il from: è big@boss.com).
E' la seconda volta che mi arriva, sull'account di pc-facile che uso solo qui. Chi usa tiscali faccia uno scanning, pliz.
Ciauz
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Sponsor
 

Postdi dado » 17/01/03 19:38

A me negli ultimi giorni sarà arrivato una decina di volte. Però, le prime volte che facevo l'analisi degli headers, risultava arrivare da fastweb... ovviamente sull'indirizzo di pc-facile. Boh. L'infezione si sta allargando?

X la precisione, leggendo su Tiscali, si tratta di:
Diverse società antivirus hanno segnalato la presenza su Internet di un
nuovo virus per computer. Il worm, denominato Sobig, è stato rilevato per la prima volta la scorsa settimana e si sta diffondendo velocemente tra gli utenti della Rete.

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Nicola » 17/01/03 20:03

stesso worm ricevuto da zello (Sender: big@boss.com) ovviamente anche io sul forwarder di !pc-facile.

L'ip era di Fastweb e il nome PC (o quello dato all'helo) era WAR.

Untitled1.pif da 65,5 KB circa.

Ciao, Nicola.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Nicola » 17/01/03 20:43

Aggiungo che una copia di big@boss.com identica mi è arrivata ieri ed il sender era:

[code]Received: from IO-NCCMWYW4RDO3 (host67-223.pool80117.interbusiness.it [80.117.223.67])/code]

ed il by era direttamente buddy.siteprotect.com

a) è un mailserver
b) Fa l'invio direct to mx.

:?:

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi kadosh » 17/01/03 22:01

A me arrivano a iosa sull'address qui nelle info...ma tanto...si sa che fine fanno senza neanche essere aperti o controllati via server ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi zello » 18/01/03 15:44

Però mi rompe un po' le balle scaricarmi sessanta kilobytes su dialup per il virus. Ne ho ricevuti altri due oggi (sempre tiscali, e fastweb [ip statico, 213-140-8-167.fastres.net, ancora in linea ma non prende il net send per avvertirlo]).
Se continua faccio redirigere il redirect direttamente su /dev/null, ma comunque prima vi avverto.
Ciao
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 18/01/03 17:10

zello ha scritto:[ip statico, 213-140-8-167.fastres.net, ancora in linea ma non prende il net send per avvertirlo]).

Forse perchè è l'IP di N AT di FW?

Devi sapere infatti che FW fa uscire tutti i suoi utenti (tranne contratti speciali o richiesta Ip pubblico a tempo) con un solo IP pubblico per zone, circa un quartiere e si ha un proprio IP di tipo privato..

Se la macchina NAT (o il router non rediretta le specifiche porte su un PC) non ha il net send non potrai mai avvisarli.. ma solo contattare abuse<at>fastweb.it :D

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 19/01/03 01:01

Già fatto, ma già fatica a segare gli spammers, figuriamoci ad avvisare chi ha un virus...
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi piercing » 19/01/03 02:09

è arrivato anche a me, una sola volta,... sempre da big@boss.com su una mail che non uso praticamente da nessuna parte (è aziendale), quindi penso venga, nel mio caso, dalla rubrica di qualcuno...

non mi ricordo con che nome l'ha chiamato l'antivirus...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

big@boss.com

Postdi SoftIc3 » 28/01/03 13:58

arrivano pure a me

Return-Path: <big@boss.com>
Delivered-To: erbalibbera@M
Received: (qmail 4028 invoked from network); 14 Jan 2003 04:06:33 -0000
Received: from unknown (HELO JUSTIN-XP) (211.51.39.2)
by mx2.aruba.it with SMTP; 14 Jan 2003 04:06:33 -0000
From: <big@boss.com>
To: <erbalibbera@aruba.it>
Subject: Re: Here is that sample
Date: Tue, 14 Jan 2003 13:06:41 +0900
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_00CE98FA"
X-Spam-Rating: mx2.aruba.it 1.6.2 0/1000/N

boh

mette un file .exe in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

abbastana normale mi pare....a me e' arrivata subito dopo l'attivazione utente di pcfacile
e continuano ad arrivarmi mannaggia........
SoftIc3
Utente Junior
 
Post: 78
Iscritto il: 14/01/03 22:04
Località: Lucca

Postdi Frengo78 » 28/01/03 14:09

questo genere di worm cerca gli indirizzi a cui spedirsi nei vari sbx wab e compagnia bella e nelle pagine html. Ora, softice potresti esserci d'aiuto per risalire all'infestatore (sempre che si tratti di un unica persona)
SoftIce tu hai mai scritto il tuo indirizzo in chiaro fra le pagine del forum?
Hai contatti email o icq con qualcuno iscritto al forum?
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Nicola » 28/01/03 14:12

l'email di softice è visibile dal profilo ;)

ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Frengo78 » 28/01/03 14:16

è vero, bravo nicola! Softice ti conviene disabilitare l'email nel profilo utente. Anzi, si consiglia a tutti.
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

warm

Postdi SoftIc3 » 28/01/03 14:19

la mia email e' sul profilo, cmq te la posto qua

erbalibbera@aruba.it
opennap@aruba.it

se posso essere d'aiuto sono a disposizione

bye
SoftIc3
Utente Junior
 
Post: 78
Iscritto il: 14/01/03 22:04
Località: Lucca

no problem

Postdi SoftIc3 » 28/01/03 14:23

nn importa, spam a palla su queste 2
SoftIc3
Utente Junior
 
Post: 78
Iscritto il: 14/01/03 22:04
Località: Lucca

Postdi Frengo78 » 28/01/03 14:25

eheh una cosa è lo spam un altra i virus softice.
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

sisi

Postdi SoftIc3 » 28/01/03 14:42

lo so, preferisco i virus :)
SoftIc3
Utente Junior
 
Post: 78
Iscritto il: 14/01/03 22:04
Località: Lucca

warm

Postdi SoftIc3 » 28/01/03 16:09

arrivata ora ora una mail a erbalibebra@aruba.it
sempre da big@boss

stavolta l'ip e' 62.211.255.43, netbios name direzione

(tra l'altro e' netbiossato e nn ha password all'account administrator)

mmm il warm si espande

bon gli lascio un messaggio a sto tipo sul desktop e lo avverto con un messaggio, speriamo abbia il mesenger avviato

brb
SoftIc3
Utente Junior
 
Post: 78
Iscritto il: 14/01/03 22:04
Località: Lucca

Postdi salvatron » 28/01/03 17:21

un famo scherzi perche' non ho l'antivirus o norton scaduto mi protegge sempre?
salvatron
Utente Senior
 
Post: 367
Iscritto il: 29/08/02 15:20
Località: Falconara M.ma(fognacieloaperto)

Postdi ezechiel2517 » 28/01/03 17:23

ti protegge contro i virus che si "ricorda" dall'ultimo update! ma non da quello che ha creato ieri il 14enne brufoloso del maine :P !!!
ezechiel2517
Utente Senior
 
Post: 1598
Iscritto il: 05/04/02 20:21

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Qualcuno su tiscali ha un worm":


Chi c’è in linea

Visitano il forum: Nessuno e 12 ospiti