fforum.ru

[StayAtHome]

Не уверен, что правильно выбрал раздел, но все же.
В последнее время (с началом эпидемии I-Worm.Sobig) начал получать возвращенные письма от почтовых демонов, якобы отправленные мной на несуществующие адреса.
Понятное дело, шлет их вирус из чьего-то компа, и подставляет в качестве обратного адреса -- мой, найденый в адресной книге зараженной машины. Но я уже задолбался успокаивать свой антивирус! Можно ли вычислить адрес, откуда шлются инфицированные письма, чтобы предупредить настоящего владельца?
Вот заголовок одного из писем:
<!--QuoteBegin--></span><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>QUOTE </td></tr><tr><td id='QUOTE'><!--QuoteEBegin-->
The original message was received at Sun, 31 Aug 2003 11:21:43 +1100 (VLAST)
from 12-221-104-135.client.insightBB.com [12.221.104.135]

  ----- The following addresses had permanent fatal errors -----
<alloe@mail.primorye.ru>

  ----- Transcript of session follows -----
alloe: Mailbox does not exist

550 <alloe@mail.primorye.ru>... User unknown

  ----- Original message follows -----

Received: from SWK (12-221-104-135.client.insightBB.com [12.221.104.135])
        by mail.primorye.ru (8.9.3/8.9.3) with ESMTP id LAA83210
        for <alloe@mail.primorye.ru>; Sun, 31 Aug 2003 11:21:43 +1100 (VLAST)
From: stayathome@nm.ru
Message-Id: <200308310021.LAA83210@mail.primorye.ru>
To: <alloe@mail.primorye.ru>
Subject: Re: That movie
Date: Sat, 30 Aug 2003 19:21:43 --0500
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
        boundary="_NextPart_000_02006042"

This is a multipart message in MIME format

--_NextPart_000_02006042
Content-Type: text/plain;
        charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

See the attached file for details
--_NextPart_000_02006042
Content-Type: application/octet-stream;
        name="thank_you.pif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
        filename="thank_you.pif"
<!--QuoteEnd--></td></tr></table><span class='postcolor'><!--QuoteEEnd-->
и далее -- содержимое этого самого thank_you.pif...

[Bes]

Блин, у меня та же фигня! Мне на ящик за три последних дня пришло уже больше ста сообщений от администратора почтового сервера, в которых говорится, что AVP обнаружил вирус "I-Worm.Sobig.f.txt" в присланном мне письме, а само письмо хранится там у них (на моем почтовом сервере mail.primorye.ru стоит антивирус). Также пришло несколько сообщений, в которых говорится, что я якобы отсылал письма с вирусом Win32.HLLM.Reteras. Темы всех этих писем: "Thank you", "Details", "Your details", "My details", "Your application", "Wicked screensaver", "Approved" и "That movie".
Достали уже, блин! Че делать-то с этим, никто не знает?

[Scalder]

Переждать.... как показывает моя практика - если ты человеку говоришь, что у него вирус, то есть 2 варианта ответа:
а) И без сопливых гололет....
б) Задолбали слать спам....
Вывод для меня: нахер пусть сами разбираються <!--emo&:(--><!--endemo-->.

[Bastion]

Была в новостях уже тема - антивирусы задолбали больше чем вирусы...
Sobig - в прицепе тащит файл *.pif, закрыть, нахрен, почту на это вложение...

[Scalder]

2Bastion
гениально и просто!!!!! молодец!!!

[StayAtHome]

Немного не понял. Ко мне ВОЗВРАЩАЕТСЯ письмо, которого я не посылал, т. е. вложения не pif а *.msg, *.att
На них чтто-ли закрывать? А как тогда с нормальными вернувшимися письмами?

[Bastion]

2StayAtHome
Тебе пишут роботы - антивирусы, с этим ничего не сделаешь, только послать их админу письмо чтоб спам не гнали, настроили роботов. А отвечают они тебе потому, что где-то засветился твой адрес - т.е. вирус на зараженном компе (не твоем) по адресной книге начал от твоего имени размножаться...

[StayAtHome]

2Bastion
Это я и сам понял. Я спрашивал, можно ли как-нибудь по заголовках писем узнать настоящего отправителя?

[Bastion]

2StayAtHome
Настоящий отправитель - вирус, какой смысл тебе узнавать откуда именно он отправляет письма? Это же не злой умысел со стороны зараженного компьютера. Или ты хочешь узнать у кого есть адрес твоего мыла?

[StayAtHome]

Именно! Адрес зараженной машины, чтоб предупредить хозяина -- письма идут уже который день, похоже, что тот не подозревает об вирусе. Не думаю, что мой адрес настолько засвечен, что все письма с разных компьютеров.

[Bastion]

м-м, можно посмотреть свойста письма, но это в outlook (в других просто не знаю), по заголовку ты ничего не узнаешь

[Bes]

2StayAtHome
А тебе не приходят письма с теми заголовками, что я перечислил?

[StayAtHome]

Нет. Приходят возвращенные письма с темами типа
<!--QuoteBegin--></span><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>QUOTE </td></tr><tr><td id='QUOTE'><!--QuoteEBegin-->Returned mail: see transcript for details
Mail delivery failed: returning message to sender
Delivery Notification: Delivery has failed
Mail delivery failed: returning message to sender<!--QuoteEnd--></td></tr></table><span class='postcolor'><!--QuoteEEnd-->
А в них вложения *.att в которых вирус с упонмянутыми тобой заголовками и *.pif вложениями.
Каждый день 2-3 штуки <!--emo&:(--><!--endemo-->

[Bes]

2StayAtHome
Да, такие мне тоже шлют, но мало -- всего 10-15 штук в день. А вот пердупреждений от антивирусов приходит по 50 штук (а другу вообще по 130). <!--emo&:(--><!--endemo-->

[Ilych]

<!--QuoteBegin--Bes+Sep 3 2003, 09:58--></span><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>QUOTE (Bes @ Sep 3 2003, 09:58)</td></tr><tr><td id='QUOTE'><!--QuoteEBegin--> 2StayAtHome
Да, такие мне тоже шлют, но мало -- всего 10-15 штук в день. А вот пердупреждений от антивирусов приходит по 50 штук (а другу вообще по 130). <!--emo&:(--><!--endemo--> <!--QuoteEnd--> </td></tr></table><span class='postcolor'> <!--QuoteEEnd-->
Поставь фильтр на почтовом клиенте. Фильтр по теме делай, чтобы письма с определённой темой сразу удалялись с сервера и к тебе не приходили. Всё это элементарно делается в Бате.