From: MAILER-DAEMON@mx8.aruba.it - Subject: failure notice

di **gico** » 22/01/03 15:15

Segue da:

http://www.pc-facile.com/forum/viewtopic.php?t=6699

Volevi i dettagli, senza mex originale; eccoli (NOSPAM ed AT li ho aggiunti io adesso)

Return-Path: <>
Delivered-To: NOSPAMgesoba.it-webmasterATgesoba.itNOSPAM
Received: (qmail 1117 invoked for bounce); 22 Jan 2003 11:28:59 -0000
Date: 22 Jan 2003 11:28:59 -0000
From: MAILER-DAEMON@mx8.aruba.it
To: NOSPAMwebmasterATgesoba.itNOSPAM
Subject: failure notice

Ciao

di **Nicola** » 22/01/03 15:21

Codice: Seleziona tutto: Return-Path: <> Delivered-To: -omissis- Received: (qmail 1117 invoked for bounce); 22 Jan 2003 11:28:59 -0000 Date: 22 Jan 2003 11:28:59 -0000 From: MAILER-DAEMON@mx8.aruba.it To: -omissis- Subject: failure notice

Sembra un'instradamente interno di Aruba è quindi tutto normale ma se dici che non hai mandato quelle e-mails.. sei sicuro di aver copiato & incollato tutto?

Ciao.

di **gico** » 22/01/03 15:26

Ohibò ...

http://www.a-f.it/main/images/email.png

Ciao

di **Nicola** » 22/01/03 15:30

gico ha scritto:Ohibò ...

http://www.a-f.it/main/images/email.png

Selezionando tutto (anche la parte dell'header che per vederla bisogna scorrere con il mouse cioe' quella piu' a DX..) c'è solo in + -0000..

Se è così la mail dovrebbe essere vera (cioe' da Aruba).

Ciao.

di **gico** » 22/01/03 15:34

La riga in questione termina ... vabbè è questa:

Received: (qmail 1117 invoked for bounce); 22 Jan 2003 11:28:59 -0000

Quindi con -0000, come dicevi tu.

Ma non capisco: come mai è arrivata questa mail, quando io non ho ami scritto a quegli indirizzi?

Ciao

di **zello** » 22/01/03 16:42

Allora, ci ho pensato un po'. Il mio parere:
- qualcuno ha un worm/virus (perché l'allegato eseguibile+il fatto che sia sollecitato come una patch puzza come un merluzzo in terrazza in agosto. In più:

Codice: Seleziona tutto: Content-Type: audio/x-wav Content-Disposition: attachment; filename="CERT-Vuln-Info.exe"

E' il mime extension bug di OE... Direi klez, a occhio, ma non conosco questa variante...
Direi che mi sembra possibile che:
- qualcuno su aruba abbia un worm
- tu hai in rubrica questa persona
- il worm è scritto con i piedi, e va in giro per la posta ricevuta (dal soggetto che ce l'ha bellamente installato) in cerca di indirizzi e-mail, ma invece, visto che chi l'ha fatto non distingue una email da un smtp id, preleva questi ultimi (3DF9BCB2001AC819@smtp8.cp.tin.it è un msgid, o almeno ci assomiglia molto)
- il worm bombarda il mondo mettendo te come mittente, e utilizzando le email raccolte come detto prima
- dato che molte *non* sono e-mail, oppure sono recuperate male, a te tornano tutti i bounces (dato che tu appari nell'envelope-from)
Dai uno squillo su ad Aruba a vedere se possono avvertire il mittente - e ovviamente controlla di non essere tu!!

Ciao

di **zello** » 22/01/03 16:50

Scusa, aggiornamento - non avevo controllato
Il worm viene da 80.116.252.2, aka host26-252.pool80116.interbusiness.it, che mi sa di indirizzo dinamico di interbusiness/tin. In linea di massima aruba compra la connessione da tin - può essere che i mailservers di aruba siano "aperti" rispetto a chi ha alcune classi di connessioni tin.it.

di **gico** » 22/01/03 17:43

Ok, grazie ad entrambi.

Ciao

di **pjfry** » 22/01/03 19:58

zello ha scritto:l'allegato eseguibile+il fatto che sia sollecitato come una patch puzza

sono arrivate anche a me un paio di e-mail molto simili a quella (tra l'altro ho laccount su tin.it,quindi torna anche con gli IP) ma le ho eliminate senza pensarci troppo

la cosa bella

è che ho creduto che quella roba di applicare la patch fosse un vero messaggio di outlook,ma certo che non mi è passato minimamente per la testa di aprire il file allegato...io ho controllato su widows update e non ho trovato nulla

quindi ho pensato "ok,se il file non ha fatto danni si vede che sono aggiornato

"
però com'è che non ha fatto danni se pc-cillin mi ha detto 'unable to clean - the file was passed'?

di **Nicola** » 22/01/03 20:05

pjfry ha scritto:però com'è che non ha fatto danni se pc-cillin mi ha detto 'unable to clean - the file was passed'?

Sembra che il file sia passato.
Fai una scansione ed elimina i files che non riesce a pulire se non sono dati (beh anche se sono dati con virus non so cosa te ne potresti fare).

Ciao

di **pjfry** » 22/01/03 20:12

ma di scansioni ne ho fatte e del virus non ce n'è traccia... in fondo l'allegato non l'ho mica aperto,potrebbe aver fatto cmq dei danni?

di **Nicola** » 22/01/03 20:23

pjfry ha scritto::o ma di scansioni ne ho fatte e del virus non ce n'è traccia... in fondo l'allegato non l'ho mica aperto,potrebbe aver fatto cmq dei danni?

credo di no se (il virus) non sfrutta un bug di OE per auto-eseguirsi (sempre che tu abbia aperto il msg o abbia visto l'anteprima del msg)-

Ciao.

di **pjfry** » 22/01/03 20:55

ok,credo di avere l'ultimissima versione di OE con tutte le patch,quindi probabilmente non è successo niente... cmq credevo che il msg

Codice: Seleziona tutto: Attachment you sent to Vincenzo Dragonetti is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch'

fosse proprio di OE...

resta il fatto dell'antivirus + pigro del mondo : "unable to clean,the file was passed" :aaah

ma stiamo scherzando??!!

From: MAILER-DAEMON@mx8.aruba.it - Subject: failure notice

From: MAILER-DAEMON@mx8.aruba.it - Subject: failure notice

Topic correlati a "From: MAILER-DAEMON@mx8.aruba.it - Subject: failure notice":

Chi c’è in linea