Visualizzazione risultati 1 fino 11 di 11

Discussione: Possibile mail infetta. Che faccio?

  1. #1
    Guest

    Predefinito

    Chiedo aiuto agli esperti di questa sezione perchè mi è arrivata una mail all'idirizzo del mio sito,

    il mittente è: support@microsoft.com
    il soggetto è: cool screensaver

    La mail ha un'allegato chiamato screen_temp.pif che pesa una 70 ina di kilo.
    Nel testo della mail dice solo "All information are in the attached file" (tutte le informazioni sono nell'allegato)

    Mi è sembrato molto strano che la microsoft mi mandi una mail, e poi non vedo xè mi dovrebbe mandare una mail che riguarda uno screen saver! Purtroppo non conosco il formato .pif e non so se l'allegato potrebbe essere dannoso. Non l'ho aperto e non l'ho nemmeno scaricato (stavo leggendo la mail direttamente dal sito). Può essere un virus? come mi devo comportare? Sapete qualche cosa dell'estensione .pif?

  2. #2
    L'avatar di Dodi
    Dodi non è connesso Utente storico
    Data registrazione
    16-09-2002
    Residenza
    Milano
    Messaggi
    8,183

    Predefinito

    Intanto ti confermo che si tratta di un Virus; qui per maggiori chiarimenti:

    http://www.tgcom.it/ArticoloTgCom/ar...lo124682.shtml


    in secondo luogo se hai un buona antivir lancia subito una scansione, se disponi del Norton 2003 te lo dovrebbe aver rilevato appena la mail è arrivata sul pc e quindi messa in quarantena, se non hai alcun antivir sul pc direi che sei un folle!


    Io l'ho ricevuto due volte, ma come ti ho detto sopra il mio Norton 2003 l'ha killata sul nascere! 8)

  3. #3
    Guest

    Predefinito

    Citazione Originalmente inviato da Dodi
    Intanto ti confermo che si tratta di un Virus; qui per maggiori chiarimenti:

    http://www.tgcom.it/ArticoloTgCom/ar...lo124682.shtml


    in secondo luogo se hai un buona antivir lancia subito una scansione, se disponi del Norton 2003 te lo dovrebbe aver rilevato appena la mail è arrivata sul pc e quindi messa in quarantena, se non hai alcun antivir sul pc direi che sei un folle!


    Io l'ho ricevuto due volte, ma come ti ho detto sopra il mio Norton 2003 l'ha killata sul nascere! 8)
    Grazie. X l'allegato io non l'ho neppure scaricato. Sono andata a leggere la posta direttamente sul sito dove ho l'account e non con programmi di ricezione tipo outlook in pratica credo che sul mio pc non sia nemmeno arrivata, infatti Norton non mi ha detto nulla , x sicurezza ho fatto la scansione del sistema.
    Adesso leggo il tuo articolo, grazie 1000
    ps. sono una lei!!!! ^^ Il mio vero nick sarebbe Darkjiggly ma qui non so come metterlo!

  4. #4
    L'avatar di Dodi
    Dodi non è connesso Utente storico
    Data registrazione
    16-09-2002
    Residenza
    Milano
    Messaggi
    8,183

    Predefinito

    ps. sono una lei!!!!


    Ops.....Sorry!

  5. #5
    Ospite Guest

    Predefinito

    e' arrivata anche a me la mail infetta... penso sia stata mandata a tutti igli indirizzi "@altervista.org"
    --------------
    Received: from MARIO02 (host12-209.pool212171.interbusiness.it [212.171.209.12])
    ---------------
    credo sia questo il punto interessante degli header... qualcuno si riconosce in questo pc?

  6. #6
    web3 non è connesso AlterVistiano
    Data registrazione
    10-09-2002
    Messaggi
    761

    Predefinito

    Citazione Originalmente inviato da giarca
    e' arrivata anche a me la mail infetta... penso sia stata mandata a tutti igli indirizzi "@altervista.org"
    --------------
    Received: from MARIO02 (host12-209.pool212171.interbusiness.it [212.171.209.12])
    ---------------
    credo sia questo il punto interessante degli header... qualcuno si riconosce in questo pc?
    Secondo me è l'ip di un proxy!

  7. #7
    Guest

    Predefinito

    Ecco alcune informazioni sull'IP 212.171.209.12:

    effettivamente pare appartenere a:

    host12-209.pool212171.interbusiness.it

    una query whois su ripe.net ci dice:

    [code:1:6d64db3c7f]
    inetnum: 212.171.208.0 - 212.171.215.255
    netname: TIN
    descr: Telecom Italia S.p.A.
    descr: E@sy.ip service in OSPF Area 04
    descr: Wholesale service for ISP
    country: IT
    ...
    remarks: Please send abuse notification to abuse@telecomitalia.it
    notify: net_ti@telecomitalia.it
    ...
    route: 212.171.0.0/16
    descr: INTERBUSINESS
    origin: AS3269
    mnt-by: INTERB-MNT
    changed: cgiadmin@cgi.interbusiness.it 19990524
    ...
    person: BBBEASYIP STAFF
    address: Via Val Cannuta, 250
    address: I-00100 Roma
    address: Italy
    phone: +39 06 36881
    e-mail: ripe-staff@telecomitalia.it
    nic-hdl: BS104-RIPE
    notify: ripe-staff@telecomitalia.it
    changed: net_ti@telecomitalia.it 20001019
    [/code:1:6d64db3c7f]

    Interbuissness e' effettivamente di proprieta' di TIM.

    Una query dello stesso tipo su interbuissness riporta, tra le altre cose:

    [code:1:6d64db3c7f] remarks: Please report Spam/Abuse only to abuse@interbusiness.it[/code:1:6d64db3c7f]

    quindi si puo' notificare a questo indirizzo l'utilizzo del loro server per l'invio di spam, allegando TUTTO l'header e sperando che facciano qualcosa.

    A proposito, giarca l'header completo com'era?


    Citazione Originalmente inviato da web3
    Secondo me è l'ip di un proxy!
    piu' che di un proxy direi che e' l'IP del sever che e' stato usato per spammare la povera pokemonadvance (o dovrei dire Darkjiggly? ) in ogni caso queste sono solo informazioni preliminari.

    Tenete presente che gli header si possono falsificare!

    E tenete presente che non ho mai spammato nessuno anche se in teoria dovrei sapere come si fa (piu' o meno) quindi potrei anche sbagliarmi!

    ---

    Master of Darkness

    Crescent of Darkness


  8. #8
    Ospite Guest

    Predefinito

    Return-Path: <support@microsoft.com>
    Received: from raptor.tera-byte.com (216.234.161.11) by mail-7.tiscali.it (6.7.0
    16)
    id 3EC4E8FB001E782C for "censored"@tiscali.it; Tue, 20 May 2003 16:21:15
    +0200
    Received: from MARIO02 (host12-209.pool212171.interbusiness.it [212.171.209.12])
    by raptor.tera-byte.com (8.11.6p2/8.11.6) with ESMTP id h4KEKI835056
    for <giarca@altervista.org>; Tue, 20 May 2003 08:20:18 -0600 (MDT)
    Message-Id: <200305201420.h4KEKI835056@raptor.tera-byte.com>
    From: <support@microsoft.com>
    To: <giarca@altervista.org>
    Subject: Your password
    Date: Tue, 20 May 2003 16:23:46 +0200
    Importance: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MSMail-Priority: Normal
    X-Priority: 3 (Normal)
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="CSmtpMsgPart123X456_000_018886FE"
    Status: R
    X-Status: N
    X-KMail-EncryptionState:
    X-KMail-SignatureState:

    -------
    header completo :D

  9. #9
    Guest

    Predefinito

    [code:1:c1f97ee18e]Received: from raptor.tera-byte.com (216.234.161.11) by mail-7.tiscali.it
    (6.7.0 16) id 3EC4E8FB001E782C for "censored"@tiscali.it;
    Tue, 20 May 2003 16:21:15 +0200
    [/code:1:c1f97ee18e]
    giarca suppongo sia stato tu a "censurare" questo indirizzo. In caso contrario tutto quello che segue questa linea puo' essere stato falsificato.

    [code:1:c1f97ee18e]Received: from MARIO02 (host12-209.pool212171.interbusiness.it [212.171.209.12])
    by raptor.tera-byte.com (8.11.6p2/8.11.6) with ESMTP id h4KEKI835056
    for <giarca@altervista.org>; Tue, 20 May 2003 08:20:18 -0600 (MDT)
    [/code:1:c1f97ee18e]
    Ok, va bene, questa l'abbiamo gia' vista. MARIO02 non e' un nome valido, ma puo' essere benissimo il nome del computer da cui e' stata spedita l'email.
    E' possibile che il virus non sia stato spedito A PARTIRE da qui e che questo sia solo l'indirizzo di un poveraccio che se l'e' beccato e lo ha passato a qualcuno su altervista.

    [code:1:c1f97ee18e] Message-Id: <200305201420.h4KEKI835056@raptor.tera-byte.com> [/code:1:c1f97ee18e]
    Questo e' l'id che identifica questa email. Una copia di tutto quello che viene spedito e' memorizzata e mantenuta per un certo periodo di tempo dal provider usato, mi pare siano 3 anni ma forse mi sbaglio (3 in Europa e 5 in Italia? So che c'erano state notevoli polemiche per questo).
    Quindi scrivendo a abuse@interbusiness.it e specificando l'id di questa mail loro dovrebbero poter fare qualcosa. POTER FARE non implica FARE, per un semplice virus di solito non si muove nessuno.

    [code:1:c1f97ee18e]X-Mailer: Microsoft Outlook Express 6.00.2600.0000 [/code:1:c1f97ee18e]
    Secondo lui e' stato usato Outlook Express versione 6.00.2600.0000 (Microsoft diventa sempre peggio con i numeri di versione!) il che rende ancor piu' probabile che il virus arrivi da un poveraccio che non ne ha colpa, visto che Outlook ha un sacco di buchi e lancia i virus che e' una bellezza. Darkjiggly e' molto saggia ad aprire le email dal web.

    [code:1:c1f97ee18e]
    X-KMail-EncryptionState:
    X-KMail-SignatureState:
    [/code:1:c1f97ee18e]
    Bellissimo. Due linee senza un valore. Tra l'altro no ho mai visto due campi simili.
    Ho fatto un po' di ricerca in giro e non ho capito un granche' su questo KMail.
    Apparentemente sembrano indicare se una email e' cifrata e/o marcata con una firma elettronica.
    Non saprei che dire. ???

    Complessivamente niente di nuovo. Molte o tutte queste linee potrebbero essere state falsificate ma e' piu' probabile che il virus sia "rimbalzato" dal computer di un normale utente.

    Volete qualche informazione di piu' sul virus? Eccole:

    il virus in questione e' Palyh, un worm (cioe' uno di quelli che si spedisce a tutti gli indirizzi della vostra rubrica)

    Una volta lanciato copia se stesso nella cartella Windows (o Winnt) sotto il nome di MSCCN32.EXE ed aggiunge due file di configurazione chiamati MSDBRR.INI e HNKS.INI.
    Tenete presente quest'ultimo file perche' contiene gli indirizzi che il virus e' risucito a prelevare e a cui si e' spedito. Potete riutilizzare questo file per avvertire i vostri amici.
    Il virus inserisce anche una chiave nel registro per partire automaticamente all'avvio del pc, tuttavia a volte sbaglia (HAHAHA anche i Virus hanno i bug! ) e quindi se riavviate non riparte piu'.
    Una volta installato cerca files con estensione txt, eml, html, htm, dbx, wab ed estrae tutto quello che gli puo' sembrare un indirizzo email. Poi si autospedisce usando SMTP.
    Inoltre scarica files da 4 siti e puo' quindi aggiornarsi (l'update di un virus! Siamo alla follia! )
    o fornire una backdoor al sistema.

    Un Tool per la rimozione e' disponibile su:
    ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip
    e le istruzioni su:
    ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.txt


    Per quanto riguarda il codice non sono riusctio a sapere molto perche' non ho trovato siti che espongano il codice sorgente di questo virus (non stupitevi: esistono siti del genere, di solito lo fanno anche in buona fede!)

    Quello che ho potuto capire e' che e' molto simile, se non una mutazione, al virus SOBIG e che e' stato scritto con Microsoft Visual C++ e compresso con UPX.

    Confermo che si disattiva alla fine di Maggio 2003

    Di piu' non saprei proprio dire!

    Spero di esservi stato utile!



    ---

    Master of Darkness

    Crescent of Darkness


  10. #10
    Ospite Guest

    Predefinito

    Citazione Originalmente inviato da CoD
    giarca suppongo sia stato tu a "censurare" questo indirizzo. In caso contrario tutto quello che segue questa linea puo' essere stato falsificato.
    e' il mio indirizzo di posta... quello su cui punta il redirect di altervista... confermo la modifica di mia mano :D
    Citazione Originalmente inviato da CoD
    [X-KMail-EncryptionState:
    X-KMail-SignatureState:
    Ho fatto un po' di ricerca in giro e non ho capito un granche' su questo KMail.
    KMail e' un programma di posta per Linux e uso appunto quello.
    Citazione Originalmente inviato da CoD
    Apparentemente sembrano indicare se una email e' cifrata e/o marcata con una firma elettronica.
    Non saprei che dire. ???
    confermo.
    :D

  11. #11
    Guest

    Predefinito

    Citazione Originalmente inviato da giarca
    KMail e' un programma di posta per Linux e uso appunto quello.
    Che bello: ho imparato una cosa nuova! :P :P :P

    Dovrei passare anch'io a Linux, ma ho qualche Giga da backuppare !

    Ciao .

    ---

    Master of Darkness

    Crescent of Darkness


Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •