Virus da management@altervista.org

Attenzione!!!!

Ho appena ricevuto sull'email che corrisponde al mio alias questo messaggio di posta elettronica, con oggetto: Important notify about your e-mail account

Il mittente è management@altervista.org (suppongo che questo indirizzo non esista...)

Dear user, the management of Altervista.org mailing system wants to let you know that,

Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.

Further details can be obtained from attached file.

For security reasons attached file is password protected. The password is "78077".

Cheers,
The Altervista.org team http://www.altervista.org

Norton ha beccato subito l'allegato infetto: MoreInfo.zip con il virus W32.Beagle.J@mm

Penso che com'è arrivato a me possa arrivare anche a molti di voi, non fidatevi anche se è firmato con l'url di Altervista... anche perchè l'alias non è assolutamente una vera casella di posta elettronica, è solo una specie di redirect!

[express]

a me ne è arrivato lo stesso virus con un messaggio simile mandato da...
yahoo, però nn compare yahoo in minuscolo ma in maiuscolo, cosa che ovviamente mi ha fatto sgamare la cosa subito...

Per sapere come realmente e' stato spedito il virus (o almeno provarci) potete controllare gli header della mail.

Se volete potete postarli che ci diamo un'occhiata assieme; se il tizio e' in gamba non ne tiriamo fuori un granche', ma saper leggere gli headers e' sempre una buona cosa da imparare

Return-Path: <essper@liuc.it>
Received: from ns2.redirection.net (216.194.64.198) by mail-7.tiscali.it (6.7.021)
id 402B85DE0132AA17 for xxxxxxxx@tiscali.it; Thu, 4 Mar 2004 14:11:03 +0100
Received: from SARFBAR-USER110 (stud169.pcstud.uni-bocconi.it [193.205.25.169] (may be forged))
by ns2.redirection.net (8.12.11/8.12.11) with SMTP id i24DArit006687
for <endofinnocence@altervista.org>; Thu, 4 Mar 2004 06:10:59 -0700 (MST)
Date: Thu, 04 Mar 2004 14:10:52 +0100
To: endofinnocence@altervista.org
Subject: Important notify about your e-mail account.
From: management@altervista.org
Message-ID: <utdtblrxrxmodjenwxi@altervista.org>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--------sxnulhfbjyfcdueexpwu"

questo è l'header della mail
ho censurato la mia mail del mio redirect mettendo xxxxxxxx@tiscali.it

fatemi sapere se riuscite a scoprire qualcosa di interessante...

grazie

Uhm... non c'e' un granche' da leggere.

Il nucleo interessante sono le due righe che iniziano con "received".

La posta elettronica e' un po' come un passaparola: ogni server ne contatta un altro e gli passa la mail. Questo puo' avvenire anche per parecchie volte ed ogni volta verra' aggiunta una riga received.

Quindi leggendole dall'alto verso il basso "torniamo indietro" in teoria fino all'origine della mail.

Ma qui mi pare che non si possa fre un granche', comunque ecco cosa si puo leggere:


Received: from ns2.redirection.net (216.194.64.198) by mail-7.tiscali.it (6.7.021)
id 402B85DE0132AA17 for xxxxxxxx @ tiscali.it; Thu, 4 Mar 2004 14:11:03 +0100


mail-7.tiscali.it ha ricevuto questa mail da ns2.redirection.net (il cui indirizzo era 216.194.64.198) alle ore 14:11:03 (fuso di Roma) di Giovedi' 4 Marzo 2004.
La mail era per xxxxxxxx @ tiscali.it ed e' stata salvata nell'archivio di tiscali col numero 402B85DE0132AA17



Received: from SARFBAR-USER110 (stud169.pcstud.uni-bocconi.it [193.205.25.169] (may be forged))
by ns2.redirection.net (8.12.11/8.12.11) with SMTP id i24DArit006687
for <endofinnocence @ altervista.org>; Thu, 4 Mar 2004 06:10:59 -0700 (MST)


ns2.redirection.net ha ricevuto a sua volta la mail da un computer che si e' presentato con il nome di SARFBAR-USER110 e che era all'indirizzo stud169.pcstud.uni-bocconi.it (193.205.25.169)
Che significa? In teoria significa che uno studente della bocconi ha lanciato il virus (magari inconsapevolmente, poveraccio) dal computer stud169. Forse (mia interpretazione) l'utente in questione era USER110.
Quel "may be forged" pero' ci avvisa che questo indirizzo potrebbe essere contraffatto. Generalmente questo avviso viene aggiunto quando il nome con cui si presenta un computer non e' "coerente" con il suo indirizzo.
Se io da un collegamento tiscali mi presento come ns.tiscali.it lo frego senza problemi.
Continuiamo:

la mail era per endofinnocence @ altervista.org ed e' stata inviata Giovedi' 4 Marzo 2004 alle ore 06:10:59 (fuso -0700... mah)
La mail e' conservata nell'archivio di ns2.redirection.net con il numero i24DArit006687


Anche se con le dovute cautele (potrebbe essere tutto falso), direi che il virus e' stato spedito dall'unversita' Bocconi. Questo pero' non vuol dire che sia stato fatto intenzionalmente.

Qui la cosa si fa un po' strana...

Io stessa mi collego dalla LAN dell'università Bocconi con il mio portatile, anche in questo momento sto navigando dalla rete universitaria.
Qui abbiamo due modi di poter usare internet: o ci colleghiamo utiliizzando le aule computer oppure possiamo usare le postazioni dei portatili che sono sparse un po' ovunque.

Rileggendo bene quello che hai scritto teoricamente il virus dovrebbe provenire dalla postazione 110 dell'aula SARFBAR, che si trova in un altro edificio rispetto a quello dove mi collego io di solito. Con queste informazioni so esattamente da quale pc è partita la mail. La società che gestisce le aule informatiche dovrebbe avere i dati di tutti gli utenti di quel pc di ieri, dato che ad ogni accesso è necessario consegnare al responsabile il tesserino e lui registra il numero di matricola in modo da abbinarlo al pc a cui sei assegnato.

Quindi in teoria potrei andare a chiedere all'aula bar se sanno qualcosa o se possono fare qualcosa...

Però ci sono delle cose che mi lasciano dubbiosa:

1. Il return path essper@liuc.it che guarda caso è un indirizzo che corrisponde al dominio liuc.it , cioè il sito dell'università di castellanza (ma quante università in questo post!!!)
2. La dicitura may be forged, non l'ho ben capita ma dovrebbe indicare comunque che qualcosa non va...
3. Infine se qualcuno l'ha fatto con intenzione potrebbe benissimo aver mandato la mail non dal computer a cui era stato assegnato, ma magari da quello a fianco che al momento poteva essere libero... in effetti anche io se avessi voluto fare un dispetto di questo tipo avrei fatto così...
4. Effettivamente qualcuno potrebbe anche aver mandato il virus inavvertitamente...

Perciò... che fare? Ho pensato anche a eventuali amici che possano avere l'indirizzo del mio sito nella loro rubrica di posta elettronica e che inavvertitamente abbiano potutto aprire qualche allegato infetto che si è trasmesso a tutti i contatti, ma dubito che possa essere successo perchè qui praticamente nessuno sa del mio sito.

Quindi tirando le somme non so se andare dai responsabili dell'aula a chiedere eventuali spiegazioni o lasciar perdere... mi sa che aspetterò per vedere se ne arrivano altre...

Grazie CoD per le spiegazioni!

I virus sono estremamente scaltri (piu' di alcuni sistemi operativi )

Puo' darsi che tu stessa abbia inviato quel virus da un tuo client di posta (tipo outlook o eudora) e che il tuo indirizzo di altervista sia stato prelevato dal virus in un file txt o nell'elenco delle tue mail (ricevute e o mandate).
Dubito che tu possa risalire a chi lo ha spedito, anche perche' magari (come giustamente hai notato) lo ha fatto inconsapevolmente.

May be forged indica che tutta qeulla linea Received potrebbe essere un falso! I virus spesso falsificano gli header della mail per nascondere da dove sono partiti.

Non conosco Beagle.j, per cui non so dirti se falsifica gli header.

A proposito: non e' che qualche anima pia me lo spedirebbe a virus@crescentofdarkness.cjb.net ? Cosi' me lo studio :D

Mannaggia ho appena cancellato i file in quarantena di Norton... Ma chissà che prima o poi non mi ritorni, così te lo mando!

Per il resto penso di non essermelo inviato da sola perchè non ho ricevuto niente in questi giorni e inoltre non scarico mai la posta quando mi connetto in università, preferisco averla tutta su un unico computer che è quello di casa!