Wirus Doom i Lamerzy

[ratHUNTER]

ot, wszyscy wiedza, ze taki wirusik buszuje w sieci i wszyscy z tego powodu cierpia... niejednokrotnie slyszymy, ze ktos dostal takiego maila, ale zaraz po tym go wykasowal... niestety, jakims magocznym sposobem juz tego samego dnia zaczely sie dziac dziwne rzeczy z kompem goscia... nie bede tutaj roztrzasac kto jest Lama i to otwiera, a kto nie... pisze to w innym celu.

otoz, chcialem napisac o innej grupie lamerow, ktorzy wykorzystuja owa sytuacje... a wykorzystuja ja w perfidny sposob...

oto fragment pierwszego maila, ktory dostalem:

 

------------------------------------------

Kaspersky Anti-Virus 4.0.0 reports a problem: you sent a message with a virus !

In the following message:

----------------------

From:jakis_adres...

To:a.cwiakowska@polatom.pl

----------------------

Please check your computer with Kaspersky Antivirus Scanner!

------------------------------------------

 

tutaj widzimy jedna wazna rzecz, drugiej nie widac. w kazdym razie pierwsza tyczy sie "kaspersky antivi...". no wiadomo, reklama, nie ? komentarz zbedny...

druga sprawa, to "jakis adres" - nie podam go z wiadomych przyczyn, w kazdym razie domena sie zgadzala, to byla moja domena, tak. natomiast adres samego uzytkownika byl wyssany z palca... pewnie gdzies na grupach dyskusyjnych madry skrypt znalazl moj adres i wiadomo co z nim zrobil...

pojawia sie tez adres: "a.cwiakowska@polatom.pl" - adres, na ktory IMHO nic nie wysylalem i ktorego nie mam w ksiazce. czyli kolejna sciema, bo wirus uzywa lokalnej ksiazki adresowej do rozsylania swoich kopii...

 

drugi mail jest tu:

---------------------------------------

V I R U S A L E R T

 

Our viruschecker found the

 

W32/Mydoom@MM

 

virus(es) in your email to the following recipient(s):

 

-> ted@msi.pl

 

Please check your system for viruses, or ask your system administrator to do so.

 

For your reference, here are the headers from your email:

 

------------------------- BEGIN HEADERS -----------------------------

Return-Path: <jakis_adres...>

Received: from moja_domena (lrpub.pub.pl [195.205.178.196])

by saturn.msi.pl (8.12.10/8.12.9av) with ESMTP id i0SAJJRW078426

for <ted@msi.pl>; Wed, 28 Jan 2004 11:19:20 +0100 (CET)

(envelope-from jakis_adres...)

From: jakis_adres...

Message-Id: <200401281019.i0SAJJRW078426@saturn.msi.pl>

To: ted@msi.pl

Subject: hi

Date: Wed, 28 Jan 2004 11:19:49 +0100

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0014_4866B026.FA77CFD9"

X-Priority: 3

X-MSMail-Priority: Normal

-------------------------- END HEADERS ------------------------------

 

---------------------------------------

 

 

no ta, teraz wyszlo, ze z mojego wyssanego z palca konta polecialy maile do niejakiego ted`a z msi...

 

no oczywiscie zaraz po tym jak dostalem te maile skoczylem na stronki symanteka i przeskanowalem oba moje kompy celem znalezienia intruza... jak sie latwo domyslic, zadego intruza nie bylo...

 

niestety, na serwie uzywam takiego softu do maili, ktory nie produkuje logow z adresami IP, a jedynie hostname`ami. wszystkie hostname`y w naglowkach byly zespoofowane, zadnego w sieci nie udalo mi sie znalezc...

 

dobra, wypisalem sie, mam nadzieje, ze jak dostaniecie podobne maile to juz nie spanikujecie tak jak ja... no i w ogole... heh...

[michalak]

Dostałem dzisiaj już 2 takie maile, i sie wybieram do sklepu po NAV 2004 PL :) Ja już przestudiowałem co to jest za wirus ten W32. MyDoom. i ściągałem szczepionki i inne duperele.

"VIRUS ALERT

 

Our content checker found

viruses: W32/MyDoom-A, W32/MyDoom-A

in email presumably from you (<mmichalak@post.pl>), to the following recipient:

-> wanda@elka.pw.edu.pl

 

Please check your system for viruses,

or ask your system administrator to do so.

 

Delivery of the email was stopped!

 

 

For your reference, here are headers from your email:

------------------------- BEGIN HEADERS -----------------------------

Return-Path: <mój@mail>

Received: from elektron.elka.pw.edu.pl ([194.29.160.2]:41398 "EHLO

elektron.elka.pw.edu.pl") by higgs.elka.pw.edu.pl with ESMTP

id S87223AbUA2Hbr (ORCPT <rfc822;wanda@elka.pw.edu.pl>);

Thu, 29 Jan 2004 08:31:47 +0100

Received: from [217.153.61.234] ([217.153.61.234]:2925 "EHLO post.pl" ident:

"IDENT-NONSENSE" smtp-auth: <none> TLS-CIPHER: <none> TLS-PEER-CN1:

<none>) by elektron.elka.pw.edu.pl with ESMTP id S441777AbUA2Hag

(ORCPT <rfc822;wanda@elka.pw.edu.pl>);

Thu, 29 Jan 2004 08:30:36 +0100

From: mój@mail

To: wanda@elka.pw.edu.pl

Subject: Mail Transaction Failed

Date: Wed, 29 Jan 2003 08:32:15 +0100

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0010_43C8FA14.C899AD98"

X-Priority: 3

X-MSMail-Priority: Normal

Message-Id: <S441777AbUA2Hag/20040129073045Z+94@elektron.elka.pw.edu.pl>

-------------------------- END HEADERS ------------------------------

"

[Crazy_Ivan]

Szerzy się to paskudztwo bardzo szybko, też dostałem dziś już podobne cztery maile. Skłoniło mnie to do posprzątania syfu na dysku i dokładnego sprawdzenie kompa - efekt to trzy zneutralizowane trojany :twisted: :o .

[ratHUNTER]

dłubałem, myślałem i wkońcu skumałem!

 

faktycznie, jeśli dostaliście maile, że wysyłacie do kogoś maile z wirusami, to nie jest to do końca ściema! owe maile poszły, ale zespoofowane zostały adresy zwrotne... piszac najprosciej:

 

kolesie wylawiaja z netu adresy grup dyskusyjnych, forów i innych miejsc, w ktorych podaje sie adresy mailowe... te adresy biora oni i z ich udzialem wysylaja maile do roznych ludzi, poslugujac sie waszymi adresami, jako adresami zwrotnymi...

 

tamten adres (moj) - melomanka@hackers.ath.cx, z którego niby polecialy jakies wirusy po dlugich poszukiwaniach ostatecznie odnalazlem... gdzie? w dziale "Opinie" na www.benchmark.pl - moja stara jak swiat wypowiedz na temat SoundStorm i ALC650...

 

i jak zwykle tworca wirusa dobrze zadbal, zeby wiesci szybko sie rozniosly... jesli gdzies w internecie wasze adresy mailowe sa widoczne (a sa na pewno) to juz wiecie dlaczego dotarly do was te wirusy... niekoniecznie ktos musial miec was w ksiazce adresowej...

 

po nitce do kłębka, można chyba zaryzykowac stwierdzeniem, ze agresora mozna wysledzic w logach serwerow, ktore odeslaly wam wiadomosci, ze wysylacie wirusy... to on bowiem musial na poczatku dwa razy uzyc znalezionych w internecie adresow mailowych, raz, by znalezc adresata swojej kopii, drugi raz, by uzyc innego adresu, jako tego zrodlowego...

[Walker3d]

Właśnie przed chwilą mówiono o MyDoom w informacjach na polsacie. W ciągu pierwszego dnia wirus zainfekował około 10 milionów kompów na całym świecie , straty są liczone w miliardach $ oraz wyznaczono nagroge za głowe twórcy MyDoom w wysokości 250.000 $.

 

Według mnie to troche skąpa jest ta nagroda w porównaniu do strat jakie niesie za sobą MyDoom ....a to dopiero początek :wink:

[fipa]

skąpa to malo powiedziane

[noose]

w sumie to sie ciekawie robi.... mail wp <-> wp idzie 30-60min :?

[ratHUNTER]

coraz lepsiejsze te wiruski, mniam ;D

[rcube]

bywa

[KIULIK]

Dzisiaj też dostałem to *****.

Ale naszczęście NAV 2004 sobie poradził :D

[M3Sj4sH]

Hmm ja o dziwo nie dostalem JESZCZE zadnego takiego e-maila 8O

 

Konto mam na o2.pl

 

 

OT :arrow: KIULIK jak sie sprawuje NAV 2004 PL ? Bo mam go na plytce, a na kompie caly czas zainstalowany 2002 i radzi sobie ok ;]

Ma ten nowy jakies ciekawe opcje ?

[KIULIK]

M3Sj4sH:

No sprawuje się dobrze, ale troche kompa muli.

W porównaniu do 2003: Prawie to samo.

Kilka małych poprawek, troche bardziej stabilny.

[fipa]

Ja polecam NAV 2003 i Adaware 6.0 - czasem skanuję jednym, a co on mi nie wykrył, poprawiam drugim i jest naprawdę super. Cały czas siedzę na eMulu i ogólnie częst w necie i nie mam żadnych problemów z wirusami. Jak coś złapię to zaraz wypada szybciej niż wpadło do kompa. Nie dostałem żadnego z tych ostatnich wielkich sensacji typu Blaster, jakichś e-maili też nie dostaję z wirusami, a jestem zapisany do wieku subskrybcji. Internet mam radiowy jakby coś to miało do rzeczy to mówcie.

[Gość]

ja terz nie dostaelm o2 roxx 8)

[fipa]

Słyszałem, że właśnie dzięki aliasom na o2.pl dostaje się dużo wirusów. Nie będę opisywał tu przykładu mojej koleżanki, która miała naprawdę dużo wirusów, ale to chyba prawda. Nie wiem, może to nie jest prawda.

[uff...AR]

primo mydoom aka novarg to nie wirus. to robak (z angielska 'worm'). to znaczna roznica. poza tym coz takiego zlego w ddos przeciwko sco? nalezy im sie ;)

 

a to ze zostawia otware porty?

i tak chyba kazdy ma firewalla

 

poza tym rozwala mnie to co podaja w mediach. starty w miliardach dolarow? jakie starty? kogo?

[MrVonFetysz]

jestem ciekaw jak tam microsoft i jego servery ma byc dos atak wtorek-sroda 8)

[fipa]

poza tym rozwala mnie to co podaja w mediach. starty w miliardach dolarow? jakie starty? kogo?

Też jestem ciekawy...

[Crazy_Ivan]

poza tym rozwala mnie to co podaja w mediach. starty w miliardach dolarow? jakie starty? kogo?

Też jestem ciekawy...

Mozna to wytłumaczyć, chyba tylko tym, że musi przyjść informatyk i sprawdzić kompy (np. antywirem) pousuwać co trzeba, ustawić, może czasem przeinstalować a wiadomo w tym czasie dane stanowisko komp nie pracuje a tym samym generuje straty. Czy jednak na miliady $ :? może w skali globalnej. Niemniej jednak też uważam, że to jest z deka "naciągane".

Mnie zastanawia inna sprawa, że ludzie cały czas dają się złapać na tym samym przecież wystarczy nie otwierać nie znanych, niesprawdzonych załączników :roll:

[uff...AR]

inna sprawa to system filtrow na duzych serwerach pocztowych. przeciez nie bylo by problemu, zeby wywalac wiekszosc tych mailow (tresc czy zalaczniki sa dokladnie wyspecyfikowane).

wniosek: moze wlasciciele czy tez administrujacy tymi systemami nie sa zainteresowani ograniczeniem tego zjawiska :)

 

w kazym razie w mediach jest taka panika jak by mydomm naprawde nam zagrazal w jakis sposob.

 

slyszalem gdzies twierdzenie jakoby najwiekszy interes zrobi na tym SCO, ktore sporo moze zyskac w toczacych sie sprawch sadowych.

taka teoria spiskowa nie jest pozabawiona sensu biorac pod uwage gigantyczne ilosci $ jakie SCO chce uzykac...

[phranzee]

windows maszyną napędzającą kase firmom typu symantec i inne :?

[EDDY]

Tutaj chetni znajda program, ktory wyszukuje wirusy W32.Novarg.A@mm i W32.Mydoom.B@mm i usuwa je.

[EDDY]

Tutaj chetni znajda program, ktory wyszukuje wirusy W32.Novarg.A@mm i W32.Mydoom.B@mm i usuwa je.

[WaWrzOL]

o2.pl czyscioszek :P

[phranzee]

heh heh heh ehehehe hehe he he :]

ladna reklama stronki :P

[pshem]

a ja od zeszlego czwartku nazbieralem 703 sztuki majdumów. srednio wychodzi ponad 100 na dzien. fajnie, no nie... :lol:

[LoCoTe]

Lmao - ja oprocz kilku spamow nie dostalem zadnego wirusa - skrzynka na o2. Kiedys tylko pamietam jak dostalem maila po angielsku gdzie gosciu pisal ze przedstawia mi swoje prace ze niby jest jakims artysta bla bla bla ;]

[paulo]

To czy ktoś dostaje tonę spamu dziennie nie zależy od tego, czy ma skrzynkę na o2 czy na interii itp. , tylko głównie od tego czy i jak "chroni" swój adres.

Jeżeli ktoś ciągle podaje swój adres np. na forum, to niech się nie dziwi.

Wystarczy odrobina wysiłku, by utrudnić pracę harvester'om.

Mam konta na interii, o2 i onecie, a dostaję tylko reklamy z danego portalu (które i tak kasowane są przez filtr niechcianej poczty Thunderbird'a).

BTW Sco ciągle leży. Ale mi ich żal... :twisted: :twisted: :twisted:

[ratHUNTER]

1. wedlug studenckich zrodel informacyjnych atak na serwery microsoftu przeprowadzilo okolo 180 mydoom'kow !!! to strasznie malo w porownaniu z atakiem na sco, ktory nadal trwa a konca nie widac :P

 

2. ja mam skrzynke na o2 i codziennie dostaje po 50 sztuk mydoom`kow. na szczescie nav2003 czuwa :D

 

3. nalezy sie SCO. linus torvalds twierdzi, ze pliki, ktore wedlug SCO zostaly (najprosciej piszac) skopiowane z Unixa do Linuxa napisal sam !!! podstawy do roszczenia jakichkolwiek prowizji od uzytkownikow wykorzystujacych linuxy w celach komercyjnych sa bezprawne...

 

 

voilea

[MeHow]

ale przeciez jesli sie nie otworzy zalacznika, to nic sie nie stanie :/ nie rozumiem sraki :]