Re: Strani messaggi di posta

Da quanto riferisci , sembrerebbe proprio che vi sia un problema
su una dell macchin della tua lan che ha beccato uno dei virus di
ultimissima apparizione tipo Mydoom, ecc.

La mia personale esperienza è che mi sono trovato anch'io in
una situzione analoga perchè dal mailer che utilizziamo per la
posta interna (Qmail + vpopmail) mi ritornava posta del tipo:

----------------------------------------------------------------------------
--
Return-Path: <jerry@xxxxxxxxxxxxxxxxxx>
Received: (qmail 13977 invoked from network); 2 Feb 2004 13:00:49 -0000
Received: from unknown (HELO oneappsoftware.com) (192.168.50.30)
  by 192.168.0.254 with SMTP; 2 Feb 2004 13:00:49 -0000
From: jerry@xxxxxxxxxxxxxxxxxx
To: bob@xxxxxxxxx
Subject: Test
Date: Mon, 2 Feb 2004 13:55:33 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0014_22865AB7.7794167E"
X-Priority: 3
X-MSMail-Priority: Normal

This is a multi-part message in MIME format.

------=_NextPart_000_0014_22865AB7.7794167E
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit

The message contains Unicode characters and has been sent as a binary
attachment.


------=_NextPart_000_0014_22865AB7.7794167E
Content-Type: application/octet-stream;
name="body.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="body.zip"

.... CUT ..... (il resto è l'ascii del virus)
----------------------------------------------------------------------------
--------

Il problema era che in una macchina, con un uTONTO dietro, si "era deciso"
che un messaggio che gli arrivava dall'università (mailer esterno) aveva un
contenuto "strano" così ha deciso di aprirlo (e hai voglia di mettere su'
filtri,
spam, avirus, ecc! sul mailer interno; sicurezza, confermo, = formazione
utenti)

Da quanto vedo, quindi, dovresti dare un'occhiata alle macchine della rete,
magari con uno sniffer o similare piazzandoti sulla scheda del server mail
(la
macchina in questione è stata beccata in questo modo, con uno strumento
proprietario: Observer della N.Inst.) osservando tutto il traffico verso
la TCP 25, se il traffico cresce, credo avrai necessità di monitorare più
macchine (?)

Segnalazioni recenti di utenti (meno tonti) mi hanno fatto presente che
"arrivano" mail con indirizzo mittente uguale a quello dell'utente,
nonostante
lui non li abbia mai mandato (posta esterna). Tale situazione in un contesto
virato, di "amici e/o conoscenti" potrebbe essere generato dal fatto che lo
spoofing di certi virus parte proprio dalla "rubrica" di quest'ultimi,
utilizzandola
o come target di destinazione o come "utile sorgente" di indirizzi mittente.

Buona ricerca
Stefano
____________________________________________

... CUT ..

> Salve,
> da un po' di tempo vedo arrivare una quantit?? sempre crescente di
> messaggi di posta elettronica che hanno palesemente spoofato sia il
> mittente che il destinatario.
> La cosa in se non sarebbe strana visto che molti virus si comportano
> esattamente in questo modo.
> Quello che non capisco ?? il fatto che gli indirizzi sono tutti errati,
> cio?? inesistenti.
> Ecco alcuni esempi:
>
> Received: from unknown (HELO gelpi.it) (217.141.151.85)
>   by mx6.aruba.it with SMTP; 29 Jan 2004 01:51:19 -0000
> From: serg<at>gelpi.it
>
> L'IP ?? del CNSI di Roma e non ?? mio.
> Sul dominio gelpi.it non esiste nessun serg
>
> Altro esempio:
>
> <IKEFKDAFDGOOFJJEKHJEIEFFCGAA.stefani<at>gelpi.it>:
> Sorry, no mailbox here by that name. vpopmail (#5.1.1)
>
> Qui ?? stata aggiunta della porcheria davanti al nome della casella.
>
> Quasi tutti questi messaggi sembrano simili come contenuti a quelli
> generati dal virus sober.c, quello che non ho capito ?? se il virus pu??
> spoffare in modo errato gli indirizzi e gli Helo o se si tratta di una
> variante o di qualche cosa d'altro.
> --
> Gelpi ing. Andrea
> ********************************
> Landmines must be stopped. (CRI)
> ********************************


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List