The (anti-)spam world thread

[dado]

Io oggi ho ricevuto una cosa ancora più curiosa. Sembra spam. visto che dal prg di Zello risulta blacklistato, però c'è un virus allegato, il W32.Yaha.F@mm !

Ecco l'header dell'email:

Return-Path: <capriccio.shop@capriccioshop.co>
Received: from buddy.siteprotect.com ([64.26.0.87] verified)
by infinito.it (CommuniGate Pro SMTP 3.5.9)
with ESMTP id 16817208 for ******@infinito.it; Sat, 21 Sep 2002 10:19:28 +0200
Received: from mail.pc-facile.com (a-as1-52.tin.it [212.216.125.243])
by buddy.siteprotect.com (8.9.3/8.9.3) with SMTP id DAA18910
for <*****@pc-facile.com>; Sat, 21 Sep 2002 03:19:21 -0500
Message-Id: <200209210819.DAA18910@buddy.siteprotect.com>
From: "capriccio.shop"<capriccio.shop@capriccioshop.co>
To: ******@pc-facile.com
Subject: lk
Date: Sat,21 Sep 2002 10:20:44 PM
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=nuseenm

Ed ecco cosa salta fuori dal lettore di header di Zello:

**********
Analyzing:
Sender (or dispatching mailserver) IP:212.216.125.243
He/she/it has said to be :mail.pc-facile.com
Receiving mailserver [by]:buddy.siteprotect.com
For email: <dado@pc-facile.com>
Listed in:
* blackholes.five-ten-sg.com
212.216.125.243 is a dialup, stopping analysis
******************
*****RESULTS******
******************
- 212.216.125.243(a-as1-52.tin.it): Spam source
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-service ... right.html

inetnum: 212.216.120.0 - 212.216.127.255
netname: TIN
descr: Telecom Italia S.p.A.
descr: E@sy.ip (Premium) servicein OSPF Area 01
descr: Wholesale service for ISP
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse*at*telecomitalia*dot*it
notify: net_ti*at*telecomitalia*dot*it
mnt-by: TIWS-MNT
changed: cgiadmin*at*cgi*dot*interbusiness*dot*it 19990510
changed: net_ti*at*telecomitalia*dot*it 20011019
source: RIPE

route: 212.216.0.0/16
descr: INTERBUSINESS
origin: AS3269
mnt-by: INTERB-MNT
changed: cgiadmin*at*cgi*dot*interbusiness*dot*it 19980422
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff*at*telecomitalia*dot*it
nic-hdl: BS104-RIPE
notify: ripe-staff*at*telecomitalia*dot*it
changed: net_ti*at*telecomitalia*dot*it 20001019
source: RIPE



-------------------

Che mi dici, Zello? Visto che stavolta proviene dall'Italia e c'è l'indirizzo dell'abuse di Telecom, lo faccio saltare sto account? Dimmi precisamente: l'indirizzo a cui devo protestare è quello che ho messo in neretto? E cosa devo mandare? Il corpo dell'email + header o basta solo l'header?
Fammi sapere, che ho una voglia matta di far segare le gambe a qcuno...

[Mikizo]

Visto che stavolta proviene dall'Italia

e certo che proviene dall'Italia...

se proprio vuoi farlo segare, poi ci parli tu col webmaster...

mail.pc-facile.com (a-as1-52.tin.it [212.216.125.243])

[dado]

Visto che stavolta proviene dall'Italia

e certo che proviene dall'Italia...

se proprio vuoi farlo segare, poi ci parli tu col webmaster...

mail.pc-facile.com (a-as1-52.tin.it [212.216.125.243])

Ops... WM... ma da quando ti sei messo a far ste porcherie?
Ed io che avevo già l'email di abuse bella pronta...
Mmmm... che devo fare?!

[Mikizo]

Niente!
Qualsiasi cosa ti arrivi a un indirizzo at*pc-facile passa per il remailer di pc-facile...
L'IP dello spammer, forse, è l'altro.
Comunque, aspetterei l'opinione del prof. zello!

[zello]

[al volo, che sto combattendo con il mio boot.ini per avere indietro il mio win2k...]

from mail.pc-facile.com (a-as1-52.tin.it [212.216.125.243])

L'ho ricevuta anch'io. Il fatto che si presenti come mail.pc-facile.com non toglie che in realtà sia un account tim, come qualsiasi utility nslookup vi potrà dimostrare:

Codice: Seleziona tutto

[zello@localhost zello]$ nslookup 212.216.125.243
Server:  cns-b.libero.it
Address:  193.70.152.25

Name:    a-as1-52.tin.it
Address:  212.216.125.243


Nota: per la gioia di nemok, ecco zello sotto linux...
E' un account tim. Il fatto che sia blacklistato deriva dal fatto che è un dialup (come identificato dal programma): il senso di blacklistare tutti i dialup non è di qualificarli come spam, quanto di fornire uno strumento per capire se la successiva linea Received: è autentica. Nessun percorso di posta passa per un dialup, ovviamente - gli ip sono dinamici, e se io consegnassi la posta mediante un altro computer che non ha un IP statico potrei ovviamente avere un qualche problema...
Secondo me non è voluto, ma propongo un topic in annunci del tipo "Controllate i sistemi", con messaggi del genere "molti utenti pcfacile hanno ricevuto virus da un utente tim, pregasi gli utenti tim partecipanti al forum di controllare i loro sistemi"
Solo un'idea, ovviamente.
PS: che virus è? Da linux ovviamente non riesco a determinarlo.



[zello@localhost zello]$

[dado]

Il virus, come ho già scritto prima, è il il W32.Yaha.F@mm! E' considerato raro da NAV 2002!!

Ma quindi, Zello, qs email di protesta all'abuse si può mandare tranquillamente senza poi dover subire le ire del WM che s'è visto segare il sito dal suo provider??

[Mikizo]

L'avevo detto io che era meglio aspettare che si esprimesse zello...
beh, a me mi aveva fregato questa cosa di pc-facile...
Cmq, anche secondo me non è voluto, ma klez ci sta bombardando...
Ieri ho cambiato la mia mail nel profilo (avevo ancora quella at*inwind, ora ho inserito l'indirizzo at*pc-facile), così vediamo se la fonte è proprio spammosa a caso, o intenzionale... (finora ho avuto virus su inwind e mai su pc-facile)

PS il topic in annunci magari lo metto io

[dado]

Ma non è klez, in qs caso, mikizo...

[Mikizo]

Si dado hai ragione, ma mi pare che ultimamente avessimo subito un giro di klez o mi sbaglio?

PS il topic in annunci magari lo metto io

Ma purtroppo non può non essendo moderatore!
Qualcuno lo posta, per cortesia?

[dado]

Ora arriva lo spam anche dall'Olanda. M'è arrivata un'email in inglese ma non ho testa di leggerla... dev'essere una di quelle cose che ti fanno diventare ricco....

Return-Path: <jdmulete@netscape.net>
Received: from buddy.siteprotect.com ([64.26.0.87] verified)
by infinito.it (CommuniGate Pro SMTP 3.5.9)
with ESMTP id 16893225 for *****@infinito.it; Sat, 21 Sep 2002 19:55:19 +0200
Received: from mail.pc-facile.com (node-c-07ea.a2000.nl [62.194.7.234])
by buddy.siteprotect.com (8.9.3/8.9.3) with SMTP id MAA21768
for <*****@pc-facile.com>; Sat, 21 Sep 2002 12:55:17 -0500
Message-Id: <200209211755.MAA21768@buddy.siteprotect.com>
From: "Mr. EDWARD MULETE " <jdmulete@netscape.net>
Date: Sat, 21 Sep 2002 19:55:13
To: *****@pc-facile.com
Subject: URGENT ASSISTANCE
MIME-Version: 1.0
Content-Type: text/plain;charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

[zello]

abuse*at*a2000.nl - for abuse notification

Beh, era scontato e lo avrai visto anche tu.
C'è una recrudescenza di nigerian scam - oggi mi è arrivata dall'America una lettera del solito figlio dell'ex presidente, mi dava 40 mln di dollari.
Nel frattempo ne usera' una parte per comprarsi un altro account.

PS: per i virus non mandate mail agli abuse, sono cestinate al volo - il virus invia di sua volonta', e quindi non è considerato abuse. Cercate di "indovinare" chi è il mittente (la via migliore quando colpisce molti utenti di pc-facile è un bel post, ora provo a vedere se la mia qualifica di moderatore impressiona qualcuno nel forum "annunci" - ma ne dubito...)

--
zello

[dado]

abuse*at*a2000.nl - for abuse notification

Beh, era scontato e lo avrai visto anche tu.
C'è una recrudescenza di nigerian scam - oggi mi è arrivata dall'America una lettera del solito figlio dell'ex presidente, mi dava 40 mln di dollari.
Nel frattempo ne usera' una parte per comprarsi un altro account.

PS: per i virus non mandate mail agli abuse, sono cestinate al volo - il virus invia di sua volonta', e quindi non è considerato abuse. Cercate di "indovinare" chi è il mittente (la via migliore quando colpisce molti utenti di pc-facile è un bel post, ora provo a vedere se la mia qualifica di moderatore impressiona qualcuno nel forum "annunci" - ma ne dubito...)

--
zello

Zello, all'abuse olandese, devo mandare solo gli headers dell'email spammosa con la richiesta di provvedere a segarlo??

[Nicola]

Allora c'è scritto:
Spiacenti, ma solo i moderatori possono inserire topics in questo forum.
Io sono moderatore ma nada, bisogna essere moderatori di Annunci, non di un'altra sezione...
Contattate il WM che lui lo po fa'

[zello]

Nota: leggevo su NANAE che in Olanda c'è una vera e propria gang nigeriana - è probabile che il provider giochi un po' a fare il sordo...

Cmq, come regola generale, allegate alla mail TUTTO lo spam, headers compresi - ma copiate/incollate, a volte gli abuse non accettano gli allegati

Ciao,

--
zello

[shellyInkazz]

...Edited by Cazzatebuster V 0.2 Beta..

[Nicola]

...oggi ho modificato il mio profilo dell'account di pc-facile mettendo un'e-mail falsa per evitare rotture di balle o spam:morale- il sistema ti invia un'altra e-mail di attivazione all'indirizzo falso cosi' il bel risultato e' che l'account vecchio risulta inattivo e siccome l'indirizzo a cui mandano l'attivazione non esiste ti fotti l'account...e pure il livello dell'hackme...roba da matti...
a me sembra una ca***ta veramente enorme
...sta cosa mi ha fatto un po' inka**re e mi son detta, mo mi cancello...si' ma come cacchio si fa?...mistero...
questo sito e' troppo controllato x i miei gusti...

allora ti conviene contattare il WM..
cmq credo che tu sia shellylost.
L'email falsa non si può mettere sennò tutti potrebbero postare così senza far niente ( è stata fatto apposta x le responsabilità del tuo msg credo ) .
Se non vuoi che non si vede basta settarla dal profilo. Mostra sempre il mio indirizzo Email: metti NO. Ma ora ti sei fottuta l'account.. Parla col WM ma credo che sarà difficile recuperarlo per motivi di sicurezza ( nel senso che tu potresti essere chiunque )Nessuno ad eccezzione del WM entrando nel Pannello di Amministrazione e selezionando la tua user vedrà la tua mail.
Ma ormai è fottuto l'account mi sa ( cmq prova a parlare col WM).
Ciao,
Nicola.

[shellyInkazz]

si' scusa Edited by CazzateBuster V 0.2 bets

[Nicola]

si' scusa , si sono io magari mi metto lo stesso avatr..cmq come ca**o si fa a cancellarsi da sto forum? e' scritto da qualche parte o sono io che sono orba??se clicco su privacy mi rimanda sempre alla stessa pagina...
..cmq per me la faccenda dell'e-mail rimane sempre una grandissima ca**ata perche' chi lo dice che un'e-mail che esiste contiene dati veri? io potrei essere chiunque lo stesso..e poi l'attivazione una volta fatta..boh vabbe' fa niente non importa...

solo il WM ti puo cancellare.
Cmq per poter attivare l'account dovresti sempre avere la password... E se sai la password significa che ... sei proprietaria ! O in qualche modo se l'hai rubata quello lì ti può fare ricorso ecc ecc..
Cmq prova a crearti la e-mail che hai specificato ( mi pare sia su Yahoo!) se non te la come utilizzata prova ad andare a loggarti e a dire che ti sei dimenticata la password o qualcosa del genere...

[Nicola]

Esatammente cosi: fai Logout [ shellyInkazz] riapri la pagina Login Ho perso la password metti nome utente ( shellylost ) la mail ( falsa ) ma DOPO averti creato l'account SE DISPONIBILE sennò nada...
DOVREBBE mandarti l'attivazione.. NON NE SONO SICURO adesso provo nel mio forum phpBB e ti dico ...
Ciao, Nicola.

[shellyInkazz]

...mi viene quasi da ridere ...
l'e-mail, per altro una sequenza a caso di lettere,
esiste gia', il che significa che qualcuno ora puo' tranquillamente postare qua spacciandosi per me, anche se non credo visto che era un .com...
..cmq amen anche se io a sto punto potrei anche rischiare qualcosa visto che ultimamente butto 5 minuti per leggermi gli accordi di uso dei servizi:

'L'utente concorda di non inviare messaggi abusivi, osceni, volgari, diffamatori, di odio, minatori, sessuali o qualunque altro materiale che possa violare qualunque legge applicabile. Inserendo messaggi di questo tipo l'utente verrà immediatamente e permanentemente escluso (e il tuo provider verrà informato). L'indirizzo IP di tutti i messaggi viene registrato per aiutare a rinforzare queste condizioni.'

forse mi da una mano fastweb, ma non ci giurerei
..ribadisco cmq che questa procedura e' una delle cose piu' stupide che abbia mai visto sorry...