» »

e-mail z virusom...od kod?

MadMax ::

Preko mail2web checkiram sluzben e-mail (pri SiOL).
Osebno imam par mailov (email, hotmail, yahoo...).

V SiOLovem nabiralniku (sluzbenem) se naenkrat znajde mail, ki sem ga (kao-v resnici ga nisem) poslal iz email.si.
V priponki je seveda virus (klez).
Uporabljam PCCillin2000 (redno apdejtan), ki ta virus pozna ze od pamtiveka.

V nobenem od svojih emailov nimam shranjenega sluzbenega naslova.
V sluzbenem PCju nimam nikjer shranjenih osebnih naslovov.
Nihce drug se ni dobil takega maila, ki naj bi ga poslal jaz.
Doma sploh ne uporabljam Outlooka, iz sluzbe pa si se nikoli nisem poslal maila domov.

Od kod torej mail z virusom? (v zadnjem tednu ze 4x)

Upam, da nisem prevec zakompliciral:8)


aja: priponka je MainExt.bat ali MainExt.pif
Stvari so preproste, le ljudje smo neverjetni mojstri, da jih zakompliciramo.
  • spremenil: MadMax ()

Ziga Dolhar ::

Tole ti govorim "na slepo": ni nujno, da si virus dejansko poslal "ti". Možno je, da je nekdo spoofal naslov -- nekega dne me v šoli ustavi profesor informatike ter me vpraša, zakaj sem mu poslal virus 8-O .

3LeR. ::

Hmn s tem da bi spoofal naslov mas kar mal prevec dela da bi se zafrkaval zarad enga mejla... Erm men ni jasn kaj bi lah to blo.

gonilnik ::

Mislim da je fora v tem da se določeni virusi sami razpošljeno na naslove ki so v adresarju.
Pri tem kot pošiljatelja uporabijo zopet en naslov,ki je v adresarju.
Možno je da je dobil virus nekdo od tvojih prijateljov,ki ima oba tvoja maila dodana v stikih
gonilnik---} driver---} šofer---} jaz

MadMax ::

Ziggga:
Maila ziher nisem poslal jaz. Ob tistih urah je bil namrec comp ugasnjen. Torej ga je lahko poslal kvecjemu sam email.si, v kar pa spet rahlo dvomim.
In kot pravi 3LeR., prevec dela za to. Pa zaenkrat mi ni se nihce od znancev sporocil, da bi prejeli kako tako cudo...

gonilnik:
Ja, tudi o tem sem ze razmisljal, in se nekako osredotocil na eno mozno osebo.
Moram kontaktirat, ce kaj ve o tem.
Pravkar sem namrec zasledil se dva taka "posiljatelja", za katera vem, da ju ima ravno ta oseba v adresarju.

Preventivno trenutno tudi skeniram moj comp z vcerajsnjim updateom. (sicer znajo za PCCillin naredit tudi 3 popravke na teden, kar se mi zelo dopade:), nastavljen pa imam vsakodnevni update-check, da imam res postimano ). Zaenkrat ni se nic nasel.

Me prav zanima razplet...


Stvari so preproste, le ljudje smo neverjetni mojstri, da jih zakompliciramo.

Borci ::

Tudi jaz sem dobil cuden mail iz hotmail.com in ta oseba nikakor ni mogla biti na računalniku.
Ker pa imam tudi sam account na hotmail.com in imajo avtomatsko skeniranje priponk, mi te priponke sploh ne ponudi za download.
Potem si pošljem mail na email.si, tam pa lahko s priponko delaš kar ti volja, samo baje ni zdravo za računalnik.

jype ::

Bah. Preberite si kako Klez deluje.

Poslje mail kao iz nakljucnega naslova v address booku na nakljucen naslov v address booku. Pa mogoce se s kje drugje pobira naslove, itak je malo morje variant.

Ce te res zanima od kod in kam je sel mail, potem poglej poln header (kako se to naredi je odvisno od softvera, v muttu pritisnes h, v kmail pritisnes v, v outlooku pa verjetno kam kliknes).

V headerjih pise tocno skozi katere masine je potoval mail, kje je zacel in ko imas ip in uro ko je mail zacel svojo pot, ze ves kdo je revez, ki nima pojma da je okuzen s klezom.

SubOrbit ::

tako je kot je rekel jype.

glede "spoofanja" naslova: v from polje e-maila lahko vpisete vbistvu kakrsenkoli e-mail naslov hocete. temu bi se sploh tezko reklo spoof.
problem pri posiljanju takega maila so potem SMTP strezniki, ki nocejo "relayati" mailov recimo drugih ponudnikov, oz. domen, ki jih ne gostujejo, kar je tudi edino pravilno (zaradi spama)

vendar se ne obnasajo vsi SMTPji tako (www.ordb.com), nekateri prenasajo posto iz kodrkoli kamrkoli. pri takih lahko v from polje vpises kar koli hoces...

potem je pa se ena moznost. z veliko streznikov se da posiljati mail na takle nacin: v from polje vpises: krneki@email.si recimo...
v resnici je tvoj naslov najvecjicar@email.si
ker bo sel mail preko e-mail.si-jevega SMTPja, bo ta server pogledal samo domenski del izvornega (from) e-mail naslova (@email.si) in bo mail poslal. (ceprav se serverje da skonfigurirati tako, da preverjajo tudi, ce username obstaja)

naslovniku, ki bo ta mail dobil, bo v from polju pisalo: from: krneki@email.si in ce bo dal reply bo sel mail na krneki@email.si

lahko pa pogledas header e-maila, v katerem naj bi pisal IP racunalnika, s katerega je bil mail zares poslan. se da pa tudi header dosti lahko spremenit, tako da tem podatkom v kaksnih bolj resnih zadevah ni za zaupat.


lp

Zgodovina sprememb…

  • spremenilo: SubOrbit ()

StratOS ::

Vse to ne bo čisto res !

Kaj pa če narediš lasten SMTP program ?
Tam se lahko izmišljaš karkoli, sam sem se prepričal da tudi to gre čes ...

mail pa ne moreš pošiljat dobivat preko odjemalca SMTP, lahko jih tudi preko HTTP, telneta ...

primer :
Received: from st ([212.93.228.73]) by mc1-f36.law16.hotmail.com with Microsoft SMTPSVC(5.0.2195.4905);
Wed, 4 Sep 2002 15:30:10 -0700
Received: by st (Postar, from userid 33)
id 16C944C030; Thu, 5 Sep 2002 00:30:09 +0200 (CEST)
To: xxxx@hotmail.com
Subject: =?ISO-8859-2?Q?Odgovor na temo - Hrva=b9ka?=
From: Slo-Techov Po=?iso-8859-2?Q?=b9?=tar
Reply-To: Slo-Techov Po=?iso-8859-2?Q?=b9?=tar
Content-Type: multipart/alternative; boundary="MIMEStream=abc123"
Message-Id: <20020904223009.16C944C030@st>
Date: Thu, 5 Sep 2002 00:30:09 +0200 (CEST)
Return-Path: postar@slo-tech.com
X-OriginalArrivalTime: 04 Sep 2002 22:30:11.0029 (UTC) FILETIME=[A1590850:01C25462]

pač poslano je od 212.93.228.73
(Domain name- SLO-TECH.COM

Nameservers-
NS1.KKS.NET
NS.IPROM.SI
MAKINA.SIMFIN.SI
HYDRA.AUFBIX.ORG) do Microsoft SMTPSVC, prijel je mc1-f36.law16.hotmail.com ( se pravi, da je dobil mail nekdo xxx@hotmail.com oz. podobno ).

Se pravi da je fora kako mail server/odjemalec dela z maili, pač zavrže tiste, ki niso maili ( zato lahko narediš sam svoj SMTP odjemalec), podatke ki pa bo poslal ( ala "pravi mail" pa lahko ima nezakonite podatke v headerjih, ki so pa enake "pravim" headerjem kot si videl iz primera.

Bi zafrkaval prijatelje na tak način, zlorabljal itd .. dejansko je to čisto možno.
Že sam sem skoraj bil tarča takšnih napadov :)
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

MadMax ::

Zaenkrat se mi zdi, da bo kar klez tisti.
Sicer se ni potrjeno, ker je "krivec" odsoten, comp pa medtem uporabljajo ostali druzinski clani. Seveda tudi (predvsem) za internet...

Z primeri, kot so opisani v zadnjih nekaj postih namrec dvomim, da bi se dalo komu utrujat, saj namrec nimam takih "sovraznikov" (vsaj da bi vedel ne), ki bi poznali oba e-maila in se spuscali v kaj takega.

Ce bi pa res nekomu stal na zulju, pa mislim, da bi se ta nekdo lahko bolj potrudil in poskusal narediti skodo meni in ne firmi. (da bi pa zaposlen na tak nacin hotel sesut sluzben comp, je pa tudi cisti idiotizem:D )

Sicer pa je zaenkrat mir. Zadnje 3 dni namrec ni bilo teh mailov.

SubOrbit ::

stratOS: pojasni mi, prosim, kako lahko posljes mail preko HTTP protokola, brez da bi bil vmes SMTP streznik?

s telnetom lahko posljes mail edino tako, da se konektas na SMTP server in mu sam vpisujes ukaze, ki bi jih sicer SMTP client na tvojem racunalniku.

in kater od mojih podatkov ni bil tocen?

StratOS ::

Tvoj odgovor je seveda pravilen a le za klasične SMTP klient-server protokole, ki jih poznaš ko dobiš/oddaš t.i. "mail".

HTTP protokola, brez da bi bil vmes SMTP oz kakšen drug streznik seveda ni mogoce usposobiti, da bi dobu "mail"

seveda ima SMTP svoj protokol

primer za hotmail : (HTTP servis)

za HTTP :
http://services.msn.com/svcs/hotmail/ht...


request :

PROPFIND /cgi-bin/hmdata/iskanimail@hotmail.com/folders/msnpromo/ HTTP/1.0
Depth: 1,noroot
Content-Type: text/xml
Brief: t
X-Timestamp: ACTIVE=1031213456
Accept-CharSet: windows-1250
User-Agent: Outlook-Express/6.0 (MSIE 6.0; Windows NT 5.1; TmstmpExt)
Host: law15.oe.hotmail.com
Content-Length: 286
Pragma: no-cache
Cookie: MSPAuth=krneki;
MSPProf=krneki;
HMSC0899=222iskanimail%40hotmail + krneki;
HMMS2954=krneki;
OE_UserUporabnik_hotmail.com+krneki
Connection: keep-alive
Browser reload detected...
Posting 286 bytes...














odgovor :

HTTP/1.1 207 Multi-Status
Server: Microsoft-IIS/5.0
Date: Thu, 05 Sep 2002 08:15:43 GMT
P3P: CP="BUS CUR CONo FIN IVDo ONL OUR PHY SAMo TELo"
Connection: close
Set-Cookie:
HMSC0899=222iskanimail%40hotmail + krneki;
domain=.hotmail.com;
path=/cgi-bin/hmdata/iskanimail@hotmail.com
Content-Length: 663
Expires: Mon, 01 Jan 1999 00:00:00 GMT
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/xml
X-Dav-Error: 200 No error
HMServer:
H: DAV33.law15.internal.hotmail.com
V: WIN2K 09.05.50.0028 i
D: Aug 12 2002 12:08:55


potrebno je le znanje posiljanja ustreznih headerjev, pregled in konfiguracija cookijev v tem primeru ...
kar sem pa glede SMTP-ja mislil si ga narediš lahko sam (svoj lastni SMTP protokol), skonfiguriraš svoje headerje, preglejuješ svoje headerje in potem lahko spreminjaš po lastni volji naslove, informacije, serverje , IP in pošleš "navadne" maile po standardnem SMTP protokolu.

seveda je to kaznivo !!

moznost pa seveda obstaja
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

Zgodovina sprememb…

  • spremenila: StratOS ()

SubOrbit ::

SMTP = simple mail transfer protocol...

tako da ce reces smtp protokol reces vbistvu simple mail transfer protocol protocol.

ne naredis si svojega smtp protokola temvec svoj odjemalec za smtp protokol, v katerega potem vpises bogus informacije (headerje)...

StratOS ::

OK, to je za tiste ki imajo slovnico radi.

tudi sam si podzavestno tako kot jaz "zapisal smtp protokol".
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

SubOrbit ::

yes yes... :D

eh, sam da se razumemo :D


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

[Ubuntu server] mail poslan iz serverja zazna kot vsiljeno pošto (strani: 1 2 )

Oddelek: Omrežja in internet
793663 (2633) shorvat
»

GMAIL je iz mojega naslova moji punci poslal virus!

Oddelek: Pomoč in nasveti
131225 (805) mzupin
»

Vsak dan virus (Beagle) iz istega naslova

Oddelek: Programska oprema
8741 (576) darkolord
»

e.mail spamer

Oddelek: Omrežja in internet
341365 (853) Tr0n
»

"Neviden email"

Oddelek: Omrežja in internet
22862 (474) |GrEgOr|

Več podobnih tem