Ответить Создать тему

вирусная эпидемия на Местном ТВ , с декабря месяца ...

AXiZ
post Jan 19 2007, 17:15 
Отправлено #1


Активный

Сообщений: 1 197



с декабря месяца не могут прибить троянов внутри сети.
За сутки на нашем почтовом сервере оседает приличное количество зараженных писем с mail.mestnoe.ru [213.24.223.122].

Исходный код
axiz@mobile-x:~> host 213.24.223.122
122.223.24.213.in-addr.arpa domain name pointer mail.mestnoe.ru.
axiz@mobile-x:~> host mail.mestnoe.ru
mail.mestnoe.ru has address 213.24.223.122

если судить по заголовкам, внутри сети местного тв болеет хост с IP адресом: 192.168.0.14
Исходный код
A virus was found: Worm.Bagle.GV

Scanner detecting a virus: ClamAV-clamscan

The mail originated from: <?@mail.mestnoe.ru>
According to the 'Received:' trace, the message originated at:
 [213.24.223.122]
 [192.168.0.14] (mail.mestnoe.ru [213.24.223.122])

Notification to sender will not be mailed.

The message WAS NOT delivered to:
<***@***.ru>:
  250 2.7.1 Ok, discarded, id=16622-04 - VIRUS: Worm.Bagle.GV

Virus scanner output:
 p001: OK
 p004: Worm.Bagle.GV FOUND

The message has been quarantined as:
 virus-eFXVLmJ1DGH0

------------------------- BEGIN HEADERS -----------------------------
Received: from [192.168.0.14] (mail.mestnoe.ru [213.24.223.122])
       by ***.ru (Postfix) with ESMTP id E745912E
       for <***@***.ru>; Fri, 19 Jan 2007 12:34:57 +0300 (MSK)
X-AntiVirus: Checked by Dr.Web [version: 4.33, engine: 4.33.4.07270, virus records: 158298, updated: 12.12.2006]
Date: Fri, 19 Jan 2007 12:36:28 +0300
To: "***" <***@***.ru>
From: "Larisa" <larisa@settv.ru>
Subject: price 19-Jan-2007
MIME-Version: 1.0
Content-Type: multipart/mixed;
       boundary="--------ldptqtiihbmkxqsecuub"
-------------------------- END HEADERS ------------------------------



--------------------
Profile CardPM
  0/0  
nitro
post Jan 19 2007, 17:16 
Отправлено #2


Непризнаный модератор "Разного"

Сообщений: 949
Из: Чебоксарианец



К нам тоже много писем от них приходит.
Может просто нет денег на антивирус?

--------------------
Журнал "Вот тебе истинный крест!" вступил в партию жуликов и воров.
Голосуйте за нас!
Profile CardPM
  0/0  
Molot
post Jan 19 2007, 21:31 
Отправлено #3


Большой Змей

Сообщений: 26 134
Из: вестный умник



Скажу админам, пусть чистят.

--------------------
Услуги по организации свадеб\корпоративов\юбилеев и прочих праздников. Связь - в ПМ.
Квазиживой и псевдоразумный незаслуженный критик.
Profile CardPM
  0/0  
SSS
post Jan 19 2007, 21:51 
Отправлено #4


old NightRacer

Сообщений: 1 946
Из: Москва



Цитата(nitro @ Jan 19 2007, 17:16)
К нам тоже много писем от них приходит.
Может просто нет денег на антивирус?
*


Хех, а разве не читал?
Исходный код
X-AntiVirus: Checked by Dr.Web [version: 4.33, engine: 4.33.4.07270, virus records: 158298, updated: 12.12.2006]


Сообщение отредактировал SSS - Jan 19 2007, 21:51

--------------------
Эксперт - это человек который больше не думает, он знает.
Profile CardPM
  0/0  
SiMM
post Jan 19 2007, 23:40 
Отправлено #5


Banned

Сообщений: 37 461
Из: «либеральных»«ценностей»



Цитата(SSS)
Хех, а разве не читал?
А разве это не клиентская запись? Нет? Тогда на кой хрен отдавать клиенту этот вирус?

--------------------
Profile CardPM
  0/0  
админ
post Jan 20 2007, 08:34 
Отправлено #6


Unregistered





Цитата(AXiZ @ Jan 19 2007, 17:15)


Точное время сообщения скажи и размер письма.
  0/0  
AXiZ
post Jan 22 2007, 17:34 
Отправлено #7


Активный

Сообщений: 1 197



Цитата(админ @ Jan 20 2007, 08:34)
Цитата(AXiZ @ Jan 19 2007, 17:15)


Точное время сообщения скажи и размер письма.
*


Исходный код

grep mail.mestnoe.ru mail-200701* | grep "Jan 19" | grep INFECTED | wc -l
18

смысла не вижу выкладывать весь лог, т.к. только за 19.01.2007 - было 18 штук.

если хейдеры читать умеешь, в первом посте уже написано:
for <***@***.ru>; Fri, 19 Jan 2007 12:34:57 +0300 (MSK)

--------------------
Profile CardPM
  0/0  
AXiZ
post Jan 22 2007, 17:37 
Отправлено #8


Активный

Сообщений: 1 197



Цитата(SSS @ Jan 19 2007, 21:51)
Хех, а разве не читал?
Исходный код
X-AntiVirus: Checked by Dr.Web [version: 4.33, engine: 4.33.4.07270, virus records: 158298, updated: 12.12.2006]

*



скорее всего троян фейковый X-header вставляет smile.gif

--------------------
Profile CardPM
  0/0  
радист
post Jan 22 2007, 18:03 
Отправлено #9


CQ R4ZZ

Сообщений: 4 242
Из: Канаш



Всё, ты и нас теперь через монитор заразил - визуально.

--------------------
CQ R4ZZ
Profile CardPM
  0/0  
Guest
post Jan 24 2007, 10:41 
Отправлено #10


Unregistered





Цитата(AXiZ @ Jan 22 2007, 17:34)
grep mail.mestnoe.ru mail-200701* | grep "Jan 19" | grep INFECTED | wc -l
18[/code]
смысла не вижу выкладывать весь лог, т.к. только за 19.01.2007 - было 18 штук.

если хейдеры читать умеешь, в первом посте уже написано:
for <***@***.ru>; Fri, 19 Jan 2007 12:34:57 +0300 (MSK)
*

в это время не было писем.
  0/0  

ОтветитьTopic Options
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
Быстрый ответ
Кнопки кодов
 Расширенный режим
 Нормальный режим
    Закрыть все тэги


Открытых тэгов: 
Введите сообщение
Смайлики
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
         
Показать все

Опции сообщения