Condividi:        

From: MAILER-DAEMON@mx8.aruba.it - Subject: failure notice

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

From: MAILER-DAEMON@mx8.aruba.it - Subject: failure notice

Postdi gico » 22/01/03 15:15

Segue da:

http://www.pc-facile.com/forum/viewtopic.php?t=6699

Volevi i dettagli, senza mex originale; eccoli (NOSPAM ed AT li ho aggiunti io adesso)
Return-Path: <>
Delivered-To: NOSPAMgesoba.it-webmasterATgesoba.itNOSPAM
Received: (qmail 1117 invoked for bounce); 22 Jan 2003 11:28:59 -0000
Date: 22 Jan 2003 11:28:59 -0000
From: MAILER-DAEMON@mx8.aruba.it
To: NOSPAMwebmasterATgesoba.itNOSPAM
Subject: failure notice


Ciao
gico
Utente Senior
 
Post: 123
Iscritto il: 05/07/02 16:01

Sponsor
 

Postdi Nicola » 22/01/03 15:21

Codice: Seleziona tutto
Return-Path: <>
Delivered-To: -omissis-
Received: (qmail 1117 invoked for bounce); 22 Jan 2003 11:28:59 -0000
Date: 22 Jan 2003 11:28:59 -0000
From: MAILER-DAEMON@mx8.aruba.it
To: -omissis-
Subject: failure notice


Sembra un'instradamente interno di Aruba è quindi tutto normale ma se dici che non hai mandato quelle e-mails.. sei sicuro di aver copiato & incollato tutto?

Ciao.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi gico » 22/01/03 15:26

gico
Utente Senior
 
Post: 123
Iscritto il: 05/07/02 16:01

Postdi Nicola » 22/01/03 15:30

gico ha scritto:Ohibò ...

http://www.a-f.it/main/images/email.png


Selezionando tutto (anche la parte dell'header che per vederla bisogna scorrere con il mouse cioe' quella piu' a DX..) c'è solo in + -0000..

Se è così la mail dovrebbe essere vera (cioe' da Aruba).

Ciao.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi gico » 22/01/03 15:34

La riga in questione termina ... vabbè è questa:

Received: (qmail 1117 invoked for bounce); 22 Jan 2003 11:28:59 -0000

Quindi con -0000, come dicevi tu.

Ma non capisco: come mai è arrivata questa mail, quando io non ho ami scritto a quegli indirizzi?

Ciao
gico
Utente Senior
 
Post: 123
Iscritto il: 05/07/02 16:01

Postdi zello » 22/01/03 16:42

Allora, ci ho pensato un po'. Il mio parere:
- qualcuno ha un worm/virus (perché l'allegato eseguibile+il fatto che sia sollecitato come una patch puzza come un merluzzo in terrazza in agosto. In più:
Codice: Seleziona tutto
Content-Type: audio/x-wav
Content-Disposition: attachment; filename="CERT-Vuln-Info.exe"

E' il mime extension bug di OE... Direi klez, a occhio, ma non conosco questa variante...
Direi che mi sembra possibile che:
- qualcuno su aruba abbia un worm
- tu hai in rubrica questa persona
- il worm è scritto con i piedi, e va in giro per la posta ricevuta (dal soggetto che ce l'ha bellamente installato) in cerca di indirizzi e-mail, ma invece, visto che chi l'ha fatto non distingue una email da un smtp id, preleva questi ultimi (3DF9BCB2001AC819@smtp8.cp.tin.it è un msgid, o almeno ci assomiglia molto)
- il worm bombarda il mondo mettendo te come mittente, e utilizzando le email raccolte come detto prima
- dato che molte *non* sono e-mail, oppure sono recuperate male, a te tornano tutti i bounces (dato che tu appari nell'envelope-from)
Dai uno squillo su ad Aruba a vedere se possono avvertire il mittente - e ovviamente controlla di non essere tu!!

Ciao
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi zello » 22/01/03 16:50

Scusa, aggiornamento - non avevo controllato
Il worm viene da 80.116.252.2, aka host26-252.pool80116.interbusiness.it, che mi sa di indirizzo dinamico di interbusiness/tin. In linea di massima aruba compra la connessione da tin - può essere che i mailservers di aruba siano "aperti" rispetto a chi ha alcune classi di connessioni tin.it.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi gico » 22/01/03 17:43

Ok, grazie ad entrambi.

Ciao
gico
Utente Senior
 
Post: 123
Iscritto il: 05/07/02 16:01

Postdi pjfry » 22/01/03 19:58

zello ha scritto:l'allegato eseguibile+il fatto che sia sollecitato come una patch puzza
sono arrivate anche a me un paio di e-mail molto simili a quella (tra l'altro ho laccount su tin.it,quindi torna anche con gli IP) ma le ho eliminate senza pensarci troppo 8)
la cosa bella :D è che ho creduto che quella roba di applicare la patch fosse un vero messaggio di outlook,ma certo che non mi è passato minimamente per la testa di aprire il file allegato...io ho controllato su widows update e non ho trovato nulla :o quindi ho pensato "ok,se il file non ha fatto danni si vede che sono aggiornato :) "
però com'è che non ha fatto danni se pc-cillin mi ha detto 'unable to clean - the file was passed'?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Nicola » 22/01/03 20:05

pjfry ha scritto:però com'è che non ha fatto danni se pc-cillin mi ha detto 'unable to clean - the file was passed'?

Sembra che il file sia passato.
Fai una scansione ed elimina i files che non riesce a pulire se non sono dati (beh anche se sono dati con virus non so cosa te ne potresti fare).

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi pjfry » 22/01/03 20:12

:o ma di scansioni ne ho fatte e del virus non ce n'è traccia... in fondo l'allegato non l'ho mica aperto,potrebbe aver fatto cmq dei danni?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Nicola » 22/01/03 20:23

pjfry ha scritto::o ma di scansioni ne ho fatte e del virus non ce n'è traccia... in fondo l'allegato non l'ho mica aperto,potrebbe aver fatto cmq dei danni?

credo di no se (il virus) non sfrutta un bug di OE per auto-eseguirsi (sempre che tu abbia aperto il msg o abbia visto l'anteprima del msg)-

Ciao.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi pjfry » 22/01/03 20:55

ok,credo di avere l'ultimissima versione di OE con tutte le patch,quindi probabilmente non è successo niente... cmq credevo che il msg
Codice: Seleziona tutto
Attachment you sent to Vincenzo Dragonetti is intended to overwrite start address at 0000:HH4F
To prevent from the further buffer overflow attacks apply the MSO-patch'
fosse proprio di OE... :D
resta il fatto dell'antivirus + pigro del mondo : "unable to clean,the file was passed" :aaah ma stiamo scherzando??!!
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni


Torna a Sicurezza e Privacy


Topic correlati a "From: MAILER-DAEMON@mx8.aruba.it - Subject: failure notice":

Daemon Tools
Autore: aleyandro
Forum: Software Windows
Risposte: 7
Failure Fixed disk
Autore: evvivame
Forum: Assistenza Hardware
Risposte: 33

Chi c’è in linea

Visitano il forum: Nessuno e 64 ospiti