И тебе пришло? А от кого? И мне пришло. По свойствам я так и не смог определить от кого это письмо (но в отправителе значилось мыло автоклуба, что не есть так, кто-то неудачно шутит), но промелькнул адресок - igor@kbp.ru - это мыло нашего форумца Игоря на святогоре.
Я ему отправил письмо с просьбой проверить почту. Видимо, нужно отправить всем письма с предупреждением, хотя, видимо поздно уже. Если увидите письмо с темой - "And forward directions", не открывайте, а удалите.
А вообще, я думаю, уже все научились с вирусами бороться и пропускают к
себе на комп. У меня, по статистике, в день приходит 12 писем с вирусами, 30 писем спама (как правило порно-сайты).
Если я что-нибудь понимаю в работе этих червяков, то при заражении какой-либо машины начинается рассылка по ее адресной книге, а в обратный адрес подставляется либо какой-нибудь бред, либо реальный адрес, но все из той же адресной книги.
Учитывая что в адресе отправителя значатся
клубовские адреса, логично предположить, что полетела чья-то машинка, в адресной книге которой они значились, это же кстати объясняет и появление адреса Игоря. То есть заражен компьютер кого-то из клубовцев.
Поэтому предложение всем автоклубовцам - проверяйте свои компьютеры на наличие
вирусов. Причем с 99%-ой вероятностью могу сказать, что стоит искать I-Worm.Klez.H. Во всяком случае у меня (и на работе и дома) в течение последних 2-х недель регулярно приходит именно эта пакость.
Основная функция - рассылка самого себя по адресной книге + прикрепление к письму какого-либо документа с зараженного компьютера (начиная от текстовок и заканчивая музыкалками и видео-файлами)
Побочные функции: распространение по локальной сети путем
копирования себя во все общие ресурсы с полным доступом
И самое веселое - будучи активированным выгружает большинство известных антивирусов (в т.ч. AVP и Norton Antivirus)
Вирус Klez.h, новая, но очень активная модификация вируса Klez, заразился сам и стал еще более опасен.
Обнаружилось, что некоторые версии Klez содержат в себе вирус Win95.CIH (Chernobyl), который в тринадцатую годовщину чернобыльской трагедии 26 апреля 1999 года нанес серьезный вред более чем
полумиллиону компьютеров, сделав нечитаемым содержимое жестких дисков или уничтожив BIOS. Особенно пострадали тогда Южная Корея и Турция. Эксперты-вирусологи ожидают, что в этот раз симбионты Klez и W95.CIH.1049 нанесут свой удар 2 августа 2002 г
Это не клез, но тоже какой то червяк, там html код, а в его теле TOPIC7.exe, который запускается этим самым html-ем.
Да, как правильно говорит Шурик, у кого то из клубовцев занесены в книгу наши адреса и червь рассылается сам по ним. Еще есть вариант, когда на зараженном компе человек
заходит на страничку автоклуба, вирус перехватывает все "mailto:" с этой странички и шлет. Так, например, мы выложили последние статейки на сайт от LLL & Alexis - возможно и так. От этого никто не застрахован.
Мой личный совет - убрать предпросмотр писем в аутлуке, не открывать
непонятно от кого письма, иметь мониторы антивирусные на компе, в качестве почтового клиента ставить The Bat, который ничего сам не запускает в отличии от аутглюка, не открывать письма с темой RE: ....... от адреса, куда вы не посылали ничего и т.д.
ребяты - есть еще способ определить кто есть ху...
смотрим с теле емыла - одна из первых строчек содержит фразу "returnTo" -тутставится адрес клиента - но это не есть 100% - более надежно - "received from.... IP" - тут если комп на выделенке можно уяснить кто этот ху...
хм. у меня стоит IE 5.5 Service Pack 2 - всякие клезы не проходят через аутглюк.
а в качестве диагностера - смотришь "message source" - там все IP адреса, SMTP сервера и прочая прописаны.
сразу понятно от кого бяка пришла
Да, ребята, все так, но если комп не на выделенке, максимум что можно сделать - это отследить путь до его провайдера (а учитывая что источник заразы похоже где-то здесь в городе, то это по-моему мало что даст).
Вчера и сегодня ко мне пришло по одному сообщению от почтовика, сообщающего, что в автоклубовский ящик lll@autoclub.ur.ru пришли мессаги под названиями "A excite game" и "Windows.@", но почтовик отказывается мне их пересылать, мотивируя это их заразностью:
Message sent from <igor@kbp.ru> infected by virus and has not been delivered.
Viruses: infected with Win32.HLLM.Klez.4
Original
message was stored in the archive. To receive original message please contact postmaster: postmaster@ur.ru
--------------------
То есть, От почтовика:
Сообщение, посланное от <igor@kbp.ru>, заражено
вирусом и не было доставлено.
Вирусы: инфицировано Win32.HLLM.Klez.4.
Оригинал сообщения хранится в архиве. Для получения оригинала пожалуйста свяжитесь с почтовиком: postmaster@ur.ru
--------------------
Другими словами, на
серваке ur.ru есть-таки софт, provided by Dr.Web Daemon (www.sald.com), и успешно вылавливающий микробов, но почему-то он действует избирательно. То есть мне совсем не пересылает заразу, а alexis'у пересылает, но с предупреждением об опасности.
Что касается реального источника заразы - им может
быть кто угодно. Я как-то доверился адресу родной фирмы и вскрыл сообщение. Ничего, похожего на нашу деятельность, оно не содержало. Напротив, какую-то порнуху. Ну, думаю, кто-то из коллег пошутил. Удалил мессагу, но на следующий день меня завалили сообщения постмастеров (из Германии, Штатов, Китая,
Питера, Москвы и т.д.), что, дескать, мой компутер заражен, и надо срочно что-то делать. То есть червь разослал себя по моей адресной книге, и мне пришлось срочно посылать предупреждения всем, что, дескать, аккуратней с моими письмами там...
Ну вот, вроде все начинает проясняться. Только что разговаривал по телефону с Игорем ( igor@kbp.ru ) - его компьютер точно заражен. В настоящий момент его лечат. В принципе, сейчас поток писем с вирусами должен прекратиться. Если будут приходить новые, значит успел
заразиться кто-то еще. Посмотрим.
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
