| Autore |
 Discussione  |
|
|
clatrita
New Member
39 Messaggi |
Inserito il - 25/10/2004 : 19:45:12
|
ciao Notrace, una mia amica ha ricevuto questa e-mail:
Dear user yavannah virgilio.it, Mail server administrator of virgilio.it would like to let you know the following,
We have found that your e-mail account was used to send a large amount of spam during this week.
We suspect that your computer was compromised and now runs a hidden proxy server.
Please follow our instructions in order to keep your computer safe.
Best wishes,
The virgilio.it support team.
transcript.zip (29.5 KB)
il mittente è noreplyvirgilio.it
è attendibile, si conosce qualcosa in merito?
ciao e grazie
|
|
|
n/a
deleted
75 Messaggi |
Inserito il - 25/10/2004 : 20:31:05
|
Mah.. Così scritto in inglese la cosa un pò mi puzza.. Io non aprirei l'allegato..
|
 |
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 25/10/2004 : 21:40:09
|
Puzza, e anche parecchio. Virgilio.it, un dominio italiano che invia mail in inglese che si firmano con The virgilio.it support team, mail che peraltro non sono per nulla dettagliate. Io la cestinerei subito. Ciao e a presto.
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 26/10/2004 : 08:33:56
|
| Prima di cestinarla, sarebbe da guardare per bene tutti gli header del messaggio. Possono venir fuori un po' di informazioni utili sull'autenticita` del messaggio (di cui dubito) e soprattutto da dove viene. L'ideale sarebbe scompattare il file sotto linux, in modo da non aver problemi se contiene cose strane |
|
|
|
tequila_bum
Advanced Member
263 Messaggi |
Inserito il - 26/10/2004 : 08:56:25
|
il virus è W32.MyDoom.MMM
teoricamente un buon antivirus dovrebbe averlo rilevato nel momento in cui ti è arrivato visto che l'ultima volta che è stato segnalato aggressivo risale Luglio!!!
In ogni caso controlla l'esistenza di queste due chiavi di registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
HKEY_CURRENT_USER\Software\Microsoft\Daemon
e l'esistenza di questo file dentro la cartella di Windows:
java.exe
Questi sono i segni di un infezione.
Inoltre il virus si attiva automaticamente ad ogni avvio inserendo in qeusta stringa:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
le seguenti voci:
"Services" = "%Windir%\services.exe"
"JavaVM" = "%Windir%\java.exe"
che come puoi vedere possono ingannare parecchio.
My Doom installa una backdoor sul PC chepermette ilpassaggio di info sensibili e l'utilizzo del PC in modo Admin da un utente colegato in remoto.
Ti consiglio quindi di inserire sul PC un buon antivirus e un buon firewall...
Se pensi di essree stato colpito da questo virus ecco il tool di rimozione:
htt*://securityresponse.symantec[.com]/avcenter/FxMydoom.exe
In ogni caso vai a questo sito per ulteriori info sulla rimozione:
htt*://securityresponse.symantec[.com]/avcenter/venc/data/w32.mydoommm.removal.tool.html
^^^^^ti conviene copiarlo anziche cliccarci sopra!!!
Sxo di esserti stato utile!!!
Al mondo esistono 2 tipi di persone: quelle che traducono il codice BIN e quelle che non lo sanno fare!!! LOL!!!
Edited by - tequila_bum on 26/10/2004 08:58:48 |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 26/10/2004 : 09:06:30
|
| Infatti, e` proprio MyDoom. Comunque guardare gli header puo` essere utile per vedere se per caso si trova chi e` infettato e ti ha mandato la mail, in modo da avvisarlo del fatto. |
|
|
|
tequila_bum
Advanced Member
263 Messaggi |
Inserito il - 26/10/2004 : 09:24:44
|
bha...io starei attento a guardare sti header in finale non sono mai molto veritieri...prende liste a caso e caccia dentro gli indirizzi!!!
Al mondo esistono 2 tipi di persone: quelle che traducono il codice BIN e quelle che non lo sanno fare!!! LOL!!! |
|
|
|
clatrita
New Member
39 Messaggi |
Inserito il - 26/10/2004 : 20:16:00
|
grazie per le esaurienti risposte, io cmq per stare tranquillo e non avere rogne ho preferito non aprire il file...
ciao
|
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 26/10/2004 : 22:16:57
|
quote:
bha...io starei attento a guardare sti header in finale non sono mai molto veritieri...prende liste a caso e caccia dentro gli indirizzi!!!
L'indirizzo e-mail del mittente è spoofato, gli altri header sono veritieri, anche se inutili nella maggior parte dei casi. Praticamente puoi risalire al vero mittente (più o meno) del virus solo se è partito da un IP fisso e/o apprtenente ad un dominio registrato-
Ciao
--
Prima di postare, leggere:
htt*://[www].notrace.it/Forum2/FAQ.ASP
htt*://[www].catb.org/~esr/faqs/smart-questions.html |
|
|
|
tequila_bum
Advanced Member
263 Messaggi |
Inserito il - 27/10/2004 : 08:39:52
|
quote:
L'indirizzo e-mail del mittente è spoofato, gli altri header sono veritieri, anche se inutili nella maggior parte dei casi. Praticamente puoi risalire al vero mittente (più o meno) del virus solo se è partito da un IP fisso e/o apprtenente ad un dominio registrato-
Ciao
e sopratutto se chi lo ha mandato non ha usato una bombmail!!!
Cmq ci terrei a dire...che se è un virus Mass Mail allora quasi tutti gli indirizzi prima saranno spoofati...volgio dire se lo è l'ultimo lo sarà anche quello sopra di lui perchè alla fine di tutto anche al pensultimo è arrivato un virus in cui l'header era sbagliato...e così via!!!
cmq...aggiungo...non importa chi lo ha mandato o no...l'importante è non aprirlo... :)
Al mondo esistono 2 tipi di persone: quelle che traducono il codice BIN e quelle che non lo sanno fare!!! LOL!!!
Edited by - tequila_bum on 27/10/2004 08:40:28 |
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 28/10/2004 : 22:47:40
|
L'indirizzo e-mail è falso, gli headers 'Received:' che ti servono per tracciare il percorso del messaggio non possono esserlo, perché vengono aggiunti dai vari server. Al massimo ce ne sono in più, non in meno.
Ciao
--
Prima di postare, leggere:
htt*://[www].notrace.it/Forum2/FAQ.ASP
htt*://[www].catb.org/~esr/faqs/smart-questions.html |
|
|
| |
Discussione |
|
strana mail
Forum Bloccato
