Автоклубовские e-mail адреса
Что то мне сегодня за день два подозрительных письма на alexis@autoclub.ur.ru !
... да и размерчик у них нехилый !
Почтовик говорит
ВНИМАНИЕ!
Данное письмо содержит потенциально опасный HTML-код, заблокированный автоматической системой безопасности.
У кого-нибудь еще есть такие проблемы на *@autoclub.ur.ru ? Это обычное дело или я такой везучий?
... да и размерчик у них нехилый !
Почтовик говорит
ВНИМАНИЕ!
Данное письмо содержит потенциально опасный HTML-код, заблокированный автоматической системой безопасности.
У кого-нибудь еще есть такие проблемы на *@autoclub.ur.ru ? Это обычное дело или я такой везучий?
И тебе пришло? А от кого? И мне пришло. По свойствам я так и не смог определить от кого это письмо (но в отправителе значилось мыло автоклуба, что не есть так, кто-то неудачно шутит), но промелькнул адресок - igor@kbp.ru - это мыло нашего форумца Игоря на святогоре.
Я ему отправил письмо с просьбой проверить почту. Видимо, нужно отправить всем письма с предупреждением, хотя, видимо поздно уже. Если увидите письмо с темой - "And forward directions", не открывайте, а удалите.
А вообще, я думаю, уже все научились с вирусами бороться и пропускают к себе на комп. У меня, по статистике, в день приходит 12 писем с вирусами, 30 писем спама (как правило порно-сайты).
А вообще, я думаю, уже все научились с вирусами бороться и пропускают к себе на комп. У меня, по статистике, в день приходит 12 писем с вирусами, 30 писем спама (как правило порно-сайты).
Офигеть!
Одно от autoclub@autoclub.ur.ru, а другое от !!!@autoclub.ur.ru
Короче оба письма от @autoclub.ur.ru :-)
Одно от autoclub@autoclub.ur.ru, а другое от !!!@autoclub.ur.ru
Короче оба письма от @autoclub.ur.ru :-)
Если я что-нибудь понимаю в работе этих червяков, то при заражении какой-либо машины начинается рассылка по ее адресной книге, а в обратный адрес подставляется либо какой-нибудь бред, либо реальный адрес, но все из той же адресной книги.
Учитывая что в адресе отправителя значатся клубовские адреса, логично предположить, что полетела чья-то машинка, в адресной книге которой они значились, это же кстати объясняет и появление адреса Игоря. То есть заражен компьютер кого-то из клубовцев.
Поэтому предложение всем автоклубовцам - проверяйте свои компьютеры на наличие вирусов. Причем с 99%-ой вероятностью могу сказать, что стоит искать I-Worm.Klez.H. Во всяком случае у меня (и на работе и дома) в течение последних 2-х недель регулярно приходит именно эта пакость.
Учитывая что в адресе отправителя значатся клубовские адреса, логично предположить, что полетела чья-то машинка, в адресной книге которой они значились, это же кстати объясняет и появление адреса Игоря. То есть заражен компьютер кого-то из клубовцев.
Поэтому предложение всем автоклубовцам - проверяйте свои компьютеры на наличие вирусов. Причем с 99%-ой вероятностью могу сказать, что стоит искать I-Worm.Klez.H. Во всяком случае у меня (и на работе и дома) в течение последних 2-х недель регулярно приходит именно эта пакость.
В общих чертах:
Основная функция - рассылка самого себя по адресной книге + прикрепление к письму какого-либо документа с зараженного компьютера (начиная от текстовок и заканчивая музыкалками и видео-файлами)
Побочные функции: распространение по локальной сети путем копирования себя во все общие ресурсы с полным доступом
И самое веселое - будучи активированным выгружает большинство известных антивирусов (в т.ч. AVP и Norton Antivirus)
Полное описание здесь: http://www.viruslist.com/viruslist.html?id=4415
Основная функция - рассылка самого себя по адресной книге + прикрепление к письму какого-либо документа с зараженного компьютера (начиная от текстовок и заканчивая музыкалками и видео-файлами)
Побочные функции: распространение по локальной сети путем копирования себя во все общие ресурсы с полным доступом
И самое веселое - будучи активированным выгружает большинство известных антивирусов (в т.ч. AVP и Norton Antivirus)
Полное описание здесь: http://www.viruslist.com/viruslist.html?id=4415
Вирус Klez.h, новая, но очень активная модификация вируса Klez, заразился сам и стал еще более опасен.
Обнаружилось, что некоторые версии Klez содержат в себе вирус Win95.CIH (Chernobyl), который в тринадцатую годовщину чернобыльской трагедии 26 апреля 1999 года нанес серьезный вред более чем полумиллиону компьютеров, сделав нечитаемым содержимое жестких дисков или уничтожив BIOS. Особенно пострадали тогда Южная Корея и Турция. Эксперты-вирусологи ожидают, что в этот раз симбионты Klez и W95.CIH.1049 нанесут свой удар 2 августа 2002 г
Обнаружилось, что некоторые версии Klez содержат в себе вирус Win95.CIH (Chernobyl), который в тринадцатую годовщину чернобыльской трагедии 26 апреля 1999 года нанес серьезный вред более чем полумиллиону компьютеров, сделав нечитаемым содержимое жестких дисков или уничтожив BIOS. Особенно пострадали тогда Южная Корея и Турция. Эксперты-вирусологи ожидают, что в этот раз симбионты Klez и W95.CIH.1049 нанесут свой удар 2 августа 2002 г
Это не клез, но тоже какой то червяк, там html код, а в его теле TOPIC7.exe, который запускается этим самым html-ем.
Да, как правильно говорит Шурик, у кого то из клубовцев занесены в книгу наши адреса и червь рассылается сам по ним. Еще есть вариант, когда на зараженном компе человек заходит на страничку автоклуба, вирус перехватывает все "mailto:" с этой странички и шлет. Так, например, мы выложили последние статейки на сайт от LLL & Alexis - возможно и так. От этого никто не застрахован.
Мой личный совет - убрать предпросмотр писем в аутлуке, не открывать непонятно от кого письма, иметь мониторы антивирусные на компе, в качестве почтового клиента ставить The Bat, который ничего сам не запускает в отличии от аутглюка, не открывать письма с темой RE: ....... от адреса, куда вы не посылали ничего и т.д.
Удач всем!
Да, как правильно говорит Шурик, у кого то из клубовцев занесены в книгу наши адреса и червь рассылается сам по ним. Еще есть вариант, когда на зараженном компе человек заходит на страничку автоклуба, вирус перехватывает все "mailto:" с этой странички и шлет. Так, например, мы выложили последние статейки на сайт от LLL & Alexis - возможно и так. От этого никто не застрахован.
Мой личный совет - убрать предпросмотр писем в аутлуке, не открывать непонятно от кого письма, иметь мониторы антивирусные на компе, в качестве почтового клиента ставить The Bat, который ничего сам не запускает в отличии от аутглюка, не открывать письма с темой RE: ....... от адреса, куда вы не посылали ничего и т.д.
Удач всем!
В принципе, можно спокойно работать и в Outlook Express даже без отключения предпросмотра, надо только поставить заплатку к Internet Explorery - http://www.microsoft.com/windows/ie/downloads/crit...
Ссылка нормально не пропечаталась, попробую еще раз:
http://www.microsoft.com/windows/ie/downloads/crit...
http://www.microsoft.com/windows/ie/downloads/crit...
А я Outlook не пользую и Bat- 30 дневный только ... Может кто расскажет где взять Bat крашнутый?
А мне на прошлой неделе от Wilych'a пришло письмо с Subj'em "Questionnare" и вирусом Klez.H
Георгий Вилыч, полечитесь!
Георгий Вилыч, полечитесь!
ребяты - есть еще способ определить кто есть ху...
смотрим с теле емыла - одна из первых строчек содержит фразу "returnTo" -тутставится адрес клиента - но это не есть 100% - более надежно - "received from.... IP" - тут если комп на выделенке можно уяснить кто этот ху...
смотрим с теле емыла - одна из первых строчек содержит фразу "returnTo" -тутставится адрес клиента - но это не есть 100% - более надежно - "received from.... IP" - тут если комп на выделенке можно уяснить кто этот ху...
to Maestro: Что значит смотри у себя почту? Я к себе на машину ее обычно не гружу, на удаленном сервере смотрю ...
2 alexis: в смысле, я тебе кряк для The Bat! на почту скинул... вот ты его и посмотри.
хм. у меня стоит IE 5.5 Service Pack 2 - всякие клезы не проходят через аутглюк.
а в качестве диагностера - смотришь "message source" - там все IP адреса, SMTP сервера и прочая прописаны.
сразу понятно от кого бяка пришла
а в качестве диагностера - смотришь "message source" - там все IP адреса, SMTP сервера и прочая прописаны.
сразу понятно от кого бяка пришла
2 Вадим CJ, plastic mirror:
Да, ребята, все так, но если комп не на выделенке, максимум что можно сделать - это отследить путь до его провайдера (а учитывая что источник заразы похоже где-то здесь в городе, то это по-моему мало что даст).
Да, ребята, все так, но если комп не на выделенке, максимум что можно сделать - это отследить путь до его провайдера (а учитывая что источник заразы похоже где-то здесь в городе, то это по-моему мало что даст).
Вчера и сегодня ко мне пришло по одному сообщению от почтовика, сообщающего, что в автоклубовский ящик lll@autoclub.ur.ru пришли мессаги под названиями "A excite game" и "Windows.@", но почтовик отказывается мне их пересылать, мотивируя это их заразностью:
--------------------
From: postmaster@ur.ru:
Message sent from <igor@kbp.ru> infected by virus and has not been delivered.
Viruses: infected with Win32.HLLM.Klez.4
Original message was stored in the archive. To receive original message please contact postmaster: postmaster@ur.ru
--------------------
То есть, От почтовика:
Сообщение, посланное от <igor@kbp.ru>, заражено вирусом и не было доставлено.
Вирусы: инфицировано Win32.HLLM.Klez.4.
Оригинал сообщения хранится в архиве. Для получения оригинала пожалуйста свяжитесь с почтовиком: postmaster@ur.ru
--------------------
Другими словами, на серваке ur.ru есть-таки софт, provided by Dr.Web Daemon (www.sald.com), и успешно вылавливающий микробов, но почему-то он действует избирательно. То есть мне совсем не пересылает заразу, а alexis'у пересылает, но с предупреждением об опасности.
Что касается реального источника заразы - им может быть кто угодно. Я как-то доверился адресу родной фирмы и вскрыл сообщение. Ничего, похожего на нашу деятельность, оно не содержало. Напротив, какую-то порнуху. Ну, думаю, кто-то из коллег пошутил. Удалил мессагу, но на следующий день меня завалили сообщения постмастеров (из Германии, Штатов, Китая, Питера, Москвы и т.д.), что, дескать, мой компутер заражен, и надо срочно что-то делать. То есть червь разослал себя по моей адресной книге, и мне пришлось срочно посылать предупреждения всем, что, дескать, аккуратней с моими письмами там...
--------------------
From: postmaster@ur.ru:
Message sent from <igor@kbp.ru> infected by virus and has not been delivered.
Viruses: infected with Win32.HLLM.Klez.4
Original message was stored in the archive. To receive original message please contact postmaster: postmaster@ur.ru
--------------------
То есть, От почтовика:
Сообщение, посланное от <igor@kbp.ru>, заражено вирусом и не было доставлено.
Вирусы: инфицировано Win32.HLLM.Klez.4.
Оригинал сообщения хранится в архиве. Для получения оригинала пожалуйста свяжитесь с почтовиком: postmaster@ur.ru
--------------------
Другими словами, на серваке ur.ru есть-таки софт, provided by Dr.Web Daemon (www.sald.com), и успешно вылавливающий микробов, но почему-то он действует избирательно. То есть мне совсем не пересылает заразу, а alexis'у пересылает, но с предупреждением об опасности.
Что касается реального источника заразы - им может быть кто угодно. Я как-то доверился адресу родной фирмы и вскрыл сообщение. Ничего, похожего на нашу деятельность, оно не содержало. Напротив, какую-то порнуху. Ну, думаю, кто-то из коллег пошутил. Удалил мессагу, но на следующий день меня завалили сообщения постмастеров (из Германии, Штатов, Китая, Питера, Москвы и т.д.), что, дескать, мой компутер заражен, и надо срочно что-то делать. То есть червь разослал себя по моей адресной книге, и мне пришлось срочно посылать предупреждения всем, что, дескать, аккуратней с моими письмами там...
Ну вот, вроде все начинает проясняться. Только что разговаривал по телефону с Игорем ( igor@kbp.ru ) - его компьютер точно заражен. В настоящий момент его лечат. В принципе, сейчас поток писем с вирусами должен прекратиться. Если будут приходить новые, значит успел
заразиться кто-то еще. Посмотрим.
Будьте внимательны! И удачи всем!
Будьте внимательны! И удачи всем!
Народ! Ну что Вы мучаетесь??? Поставьте себе AVPшку нормальную, которая сканит постовые БД! И пользуйтель The Bat! :-)
С уважением, Maestro.
С уважением, Maestro.
Авторизуйтесь, чтобы принять участие в дискуссии.