< HomePage
| Дневника | Следващ запис (2005-12-09) ->

Архив

Сряда, 7 Декември 2005

Антивирусни и тем подобни

От доста време се чудя дали да не си направя и аз един блог (щото било модерно)и все не мога да се наканя. Да не говорим, че направо се чудя какво и как ще пиша в него. Е, наканих се. Избраният софтуер е на Георги Чорбаджийски, чийто Glog чета редовно и това, което ми хареса в него е колко просто е направено всичко. Е - ето го и моя блог, а сега само времето ще покаже какво и как ще се появява в него.

Другата причина за пускането му е, че за пореден път се издразних от безхаберието на някой админи на претенциозни фирми по отношение на антивирусният им софтуер, с който филтрират пощата си на мейл сърверите. То бива, то може, ама чак пък толкова е направо прекалено. Какво имам в предвид.

На времето може и да е работила схемата: Получаваш заразен е-мейл, пращаш обратна разписка на подателя, да си знае, да си изчисти машината. Да, ама сега 99.99% от вирусите слагат за From: нещо съвсем "случайно". И в голяма степен от случаите, това "случайно" е мейл адреса на човек, който го има я в адрес листата на заразения компютър, я някъде кеширан от интернет страниците. В общият случай хвърчат обратни "предупреждения" към съвсем невинни хора, създавайки паника и мултиплицирайки трафика при това ненужно. Когато днес за пореден път се хванах да разчистя входящата пощенска кутия на account, който е направен само и единствено да се ползва за From: и Reply-to: полетата при регистрация на един известен сайт, за пореден път се хванах за главата. Имайте в предвид, че НИКОЙ (разбирайте човек), НИКОГА не праща от този мейл адрес каквато и да е поща. Въпреки всичко пощенската кутия се пълни ежедневно с всякакви предупрежения, че разбираш ли ме ти комютъра бил заразен. Доказателствата от днес - след малко. А сега си представям как му се изправя косата на горкия бай Пешо от Долно Сусурлево, нагледал се на научна фантастика, когато получи някой от следните "предупреждения".

Колеги, спрете го това безумие - пращайте подобни писма към /dev/null директно. Иначе не помагате на никой - напротив, всявате паника в нищо неподозиращите потребители!

А ето и малко хедъри от подобни писма:

From: MAILER-DAEMON {at} skype.net (Mail Delivery System)

Subject: Undelivered Mail Returned to Sender

To: system {at} mtel.net

..

<noreply {at} skype.net>: host 127.0.0.1[127.0.0.1] said: 550 5.7.1 Message content rejected, id=15117-02 - VIRUS: Worm.Mytob.Gen-2 (in reply to end of DATA command) ...

Received: from mtel.net (121-195.city-lan.org [213.145.121.195]) by mail.skype.net (Postfix) with ESMTP id 87FDA4DFC2 for <noreply {at} skype.net> Wed, 30 Nov 2005 21:30:04 +0100 (CET)

From: system {at} mtel.net

To: noreply {at} skype.net

Мдааа .... не знаех, че на www.mtel.bg IP-то му е 213.145.121.195

Следващите - за по-голям майтап, погледнете хедърите и се опитайте да отгатнете какво не е наред.

Return-Path: <MAILER-DAEMON {at} mtel.net>

Delivered-To: system {at} mtel.net

...

Received: from mbox.infotel.bg (212.39.65.212) by mail.mtel.net with SMTP; 1 Dec 2005 11:06:30 -0000

Received: from mtel.net (IDENT:root@localhost.localdomain [127.0.0.1]) by mbox.infotel.bg (8.12.5/8.12.5) with ESMTP id jB1B4S8C010494 for <system {at} mtel.net>; Thu, 1 Dec 2005 13:04:29 +0200

...

From: "Returned mail" <MAILER-DAEMON {at} mtel.net>

To: system {at} mtel.net

Subject: Delivery reports about your e-mail

...

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

...

----Virus Warning Message (from InterScanVirusWall mbox.infotel.bg)

Found virus WORM_MYDOOM.L in file Message.scr The uncleanable file is deleted.

If you have questions, contact administrator.

---------------------------------------------------------

WTF?! Само на мен ли ми се струва или моя мейл сървер е токова интелигентен, че знае че InterScanVirusWhatever на инфотел е прихванал вирус?

НСИ

Delivered-To: system {at} mtel.net

...

From: "AntiVirus Admin" <postmaster {at} venus.nsi.bg>

To: system {at} mtel.net

Subject: virus found in sent message "HELLO"

Attention: system {at} mtel.net

A virus was found in an Email message you sent. This Email scanner intercepted it and stopped the entire message reaching its destination.

The virus was reported to be:

Worm.Mytob.AC

Please update your virus scanner or contact your IT support personnel as soon as possible as you may have a virus on your system.

Your message was sent with the following envelope:

MAIL FROM: system {at} mtel.net

RCPT TO: brian {at} prnk-13.nsi.bg

... and with the following headers:

--- MAILFROM: system {at} mtel.net Received: from unknown (HELO mtel.net) (84.242.186.225) by venus.nsi.bg with SMTP; 1 Dec 2005 15:17:56 +0200

Странно, и тук не си виждам IP-тата. За сметка на това обаче, трябва възможно най-скоро да се обадя на някой от ИТ-то. Мда.

uni-sofia. И то UCC. Обзалагам се, че не го администрира Веселин Колев.

Received: from ns.libsu.uni-sofia.bg (62.44.110.10) by mail.mtel.net with SMTP; 2 Dec 2005 08:12:00 -0000

Date: 2 Dec 2005 08:02:59 -0000

From: "System Anti-Virus Administrator" <root {at} test-mail.ucc.uni-sofia.bg>

To: system {at} mtel.net

Subject: virus found in sent message "Mail Delivery (failure yankova {at} libsu.uni-sofia.bg)"

Attention: system {at} mtel.net

A virus was found in an Email message you sent. This Email scanner intercepted it and stopped the entire message reaching its destination.

The virus was reported to be:

HTML/IFrame@expl

Please update your virus scanner or contact your IT support personnel as soon as possible as you have a virus on your system.

Your message was sent with the following envelope:

MAIL FROM: system {at} mtel.net

RCPT TO: yankova {at} libsu.uni-sofia.bg

... and with the following headers:

Received: from ady.uni-sofia.bg (62.44.96.7) by ns.libsu.uni-sofia.bg with SMTP; 2 Dec 2005 08:02:58 -0000

Received: from libsu.uni-sofia.bg (136.net2.mobifonika.com [62.73.91.136]) by ady.uni-sofia.bg (8.13.4/8.12.11) with ESMTP id jB28BNKS009374 for <yankova {at} libsu.uni-sofia.bg>; Fri, 2 Dec 2005 10:11:24 +0200

From: system {at} mtel.net

To: yankova {at} libsu.uni-sofia.bg

Да, ОК, whatever ...

Evrocom.net - същата история като по-горе на ucc.uni-sofia

Ето едни други любимци - MVR.BG

Received: from unknown (HELO mvr2.int.mvr.bg) (212.122.166.134) by mail.mtel.net with SMTP; 6 Dec 2005 10:19:42 -0000

Received: by MVR2 with Internet Mail Service (5.5.2657.72) id <W9NDB37V>; Tue, 6 Dec 2005 12:19:15 +0200

From: System Administrator <postmaster {at} mvr.bg>

To: system {at} mtel.net

Subject: Undeliverable: Hello

Your message

To: helen {at} mail.ru

Subject: Hello

Sent: Tue, 6 Dec 2005 13:10:49 +0200

did not reach the following recipient(s):

helen {at} mail.ru on Tue, 6 Dec 2005 12:19:10 +0200 The recipient name is not recognized The MTS-ID of the original message is: c=us;a= ;p=mvr;l=MVR20512061019W9NDB37S

Моля?! Каква helen {at} mail.ru ви гони по вашите сървери?! А онова c=us в MTS-ID-то какво е?!

prosoft.bg - като mvr.bg. Само c=bg ;-)

И списъка продължава ли продължава - сигурно томове мога да изпиша. Схванахте идеята. Ако сте прочели до тук.

[ Коментари: 7 / Добави коментар ]
Коментари

Лична молба - подмени целеникавите цветове с някакви по-поносими. Така блогът ти прилича на този на Чорбаджийски, а той изглежда отвратително и не знам как хората изобщо успяват да го гледат :)

Дано имаш много интересни неща да кажеш!

Написа dzver (email) (www) на 12-Dec-2005 01:16

я пейстни хедърите на такива писма от Evrocom.net

Написа Veno (email) на 13-Dec-2005 00:39

@dzver е аз използвеам неговия Glog. Но ще се опитам, когато ми остане време.

Написа Н.Пепелишев на 13-Dec-2005 09:41

@veno

Тези дни, когато се върна в България. Надявам се да не съм ги изтрил.

Написа Н.Пепелишев на 13-Dec-2005 09:42

@veno

Return-Path: <>
Delivered-To: system {at} mtel.net
..
Received: from ns2.evrocom.net (217.10.240.242)
by mail.mtel.net with SMTP; 5 Dec 2005 10:23:25 -0000
Received: (qmail 45247 invoked by uid 1001); 5 Dec 2005 09:57:27 -0000
Date: 5 Dec 2005 09:57:27 -0000
From: "System Anti-Virus Administrator" <root {at} ns2.evrocom.net>
To: system {at} mtel.net
Subject: virus found in sent message "Mail Delivery (failure nbiv {at} evrocom.net)"
Message-ID: <ns2.evrocom.net113377664746144467@ns2.evrocom.net>
X-Tnz-Problem-Type: 40
MIME-Version: 1.0
Content-type: text/plain
...
Attention: system {at} mtel.net


A virus was found in an Email message you sent.
This Email scanner intercepted it and stopped the entire message
reaching its destination.

The virus was reported to be:

Worm.SomeFool.P


Please update your virus scanner or contact your IT support
personnel as soon as possible as you may have a virus on your system.


Your message was sent with the following envelope:

MAIL FROM: system {at} mtel.net
RCPT TO: nbiv {at} evrocom.net

Написа Н.Пепелишев на 16-Dec-2005 12:30

fixed, добре, че сме се изложили само на secondary MTA-то ;)

Написа Veno (email) на 19-Dec-2005 17:57

Причината, поради която пощенските хъбове ady.uni-sofia.bg и ns.uni-sofia.bg не генерират съобщения за заразени с вирус писма е, че върху тях няма пощенски скенери. Целта е да се избегне претоварване на системата вследствие сканиране. Пощенският поток към AS5421 (SUNET) е огромен и сканиране за вируси на писмата се прави единствено и само на сървърите, на които стоят кутиите на потребителите. А и целта на пощенския хъб е само да маршрутизира пощенския поток и нищо друго.

Примерно посочения горе ns.libsu.uni-sofia.bg е такъв краен сортировчик с локални потребителски кутии (не го администрирам аз). Хората не са сложили антивирусен скенер. Може да имат слаба машина и да дистрибутират натоварването от сканиране върху локалните станции, на които се получават вирусите и има антивирусен софтуер.

Аз лично не мисля, че изпращането на писмо със съобщение към подателя, че компютъра му е заразен, е много ефективно. Причината е, че огромното болшинство вируси изобщо не използват при изпращането на писмата за себевъзпроивеждане, някакъв реално съществуващ адрес. Основния похват е да да се използва някакво име на домейн и към него да се прибавя произволно име на кутия. Другият е да се чете локалния адресен лист и да се изпращат писма от името на адресите налични в него. Има и трети - генериране на имена на домейни.

Обраното съобщение помага само, ако някой изпрати прикачен файл съзнателно, но не знае, че файла е заразен (примерно MS Office форматен файл с VBS базиран вирус в него).

Написа Веселин Колев (email) (www) на 30-Dec-2005 22:41


Valid XHTML 1.0! Valid CSS!