Hvilket virus?

[schox]

Fikk denne mailen fra "meg selv":

 

Quote:

Hello, Product Name: Microsoft Windows 2000 Product Id: 52682-017-3697971-09408 Process List: navapsvc Norton AntiVirus Auto-Protect-tjeneste ProtectedStorage Protected Storage SamSs Security Accounts Manager SysmonLog Performance Logs and Alerts navapsvc Norton AntiVirus Auto-Protect-tjeneste ProtectedStorage Protected Storage SamSs Security Accounts Manager SysmonLog Performance Logs and Alerts Thank you.

 

Denne mailen hadde et vedlegg "readme.exe" som mitt anti-virus program identifiserte som :Worm/Bride.A

 

Mailen hadde kun min e-postadresse i headderen:

Quote:

Return-Path: <[email protected]> Received: from mail-relay.eunet.no (mail-relay.eunet.no [193.71.71.242]) by login-3.eunet.no (Postfix) with ESMTP id 007D634ECA for <[email protected]>; Tue, 19 Nov 2002 13:45:02 +0100 (CET) Received: from mail-relay.eunet.no (host-155-46.vitnett.no [195.204.155.46] (may be forged)) by mail-relay.eunet.no (8.12.2/8.12.2/GN) with SMTP id gAJCiZ2J042903 for [email protected]; Tue, 19 Nov 2002 13:44:45 +0100 (CET) (envelope-from [email protected]) Message-Id: <[email protected]> From: Holthe-Berg <[email protected]> DATE: ti, 19 nov 2002 13:50:31+0000 X-Mailer: EBT Reporter v 2.x To: [email protected] subject: Holthe-Berg Mime-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="====_ABC1234567890DEF_====" X-Priority: 3

 

Mitt spørsmål er med dette; hvordan kan jeg identifisere hvem som sendte denne e-posten?

 

-Thomas

 

[edit: glemte å legge inn skrivefeil]

 

[ Denne Melding var redigert av: schox på 2002-11-19 18:36 ]

[ponke]

IP-adressen - kort og godt.

 

Jeg har router, så jeg har samme ip-adresse i flere måneder iblant, og jeg vet på en gang om det er noen som har satt meg som avsender eller ikke pga ip-adressen. Dog vet jeg ikke hva du sitter på for linje, jeg har ADSL og en ganske "snever" variasjon i ip-adressen.

 

Sjekk selv om IP-adressen i e-posten i det hele tatt stemmer delvis med din egen. Gjør den det, too bad, du har antageligvis virus som sendte seg til seg til og med (haha), hvis ikke, ta kontakt med den ISP du tror har den IP-adressen. For eksempel står det ofte dialup.online.no i viruser jeg får på min e-post ifra andre, da sender jeg en beskjed til [email protected] og melder ifra, og ber de melde ifra til personen det gjelder.

 

Mvh kjello2 (jeg har skiftet brukernavn, det nye er ponke)

[ponke]

Dog er det MEGET vanskelig og tilnærmet umulig for DEG å finne ut HVEM som sendte e-posten, utenom det å utelukke deg selv eller motsatt...

 

Er jo ikke som om du sitter på IP-loggene for alle verdens internetttilbydere ;P (Eller? hehe...)

 

Mvh kjello2 (jeg har skiftet brukernavn, det nye er ponke)

[schox]

Takk for svar Kjello2,

 

Jeg har utelukket meg selv da jeg er alergisk mot Norton AntiVirus :wink: (og Product Id'n stemmer heller ikke med min...)

 

Er dette et hint om reel avsender?

subject: Holthe-Berg

From: Holthe-Berg <[email protected]>

(host-155- 46.vitnett.no [195.204.155.46] (may be forged))

 

(vitnett er en liten xdsl/fastlinjeleverandør?)

 

-Thomas (som ikke heter Holthe-Berg :wink: )

[ponke]

Alt er mulig, men prøv å finne informasjon om domenet, og finn en "abuse-adresse" og meld ifra til dem.

[Thomie]

http://security2.norton.com/ssc/vr_main.as...SKVYRMHCGVRVRMN

[schox]

Kopiert fra Symantec (som kaller viruset W32.Brid.A@mm)

 

Email routine

The worm contains its own SMTP engine, and it attempts to find and contact the email server directly.

 

It attempts to email everyone in the Microsoft Outlook Address Book, as well as any email address it may find inside .htm and .dbx files. The email message that this worm sends will appear as follows:

 

From: [Registered Windows user name]

 

NOTE: The text in the "From:" field may, in some cases, be identical to the text in the "To:"

field.

 

 

Subject: [Registered Windows company name]

Message Body:

Hello,

 

Product Name: [Windows Version]

Product ID: [Windows ID]

Product Key: [Key]

Process List:

 

Thank you.

 

All of the information inside the brackets is taken from the infected computer.

-------------------------------------

 

Så det kan være mulig å identifisere den som sendte dette viruset:

Personen har registrert "Holthe-Berg" som firma-navn under instalasjon av W2K (Nå er det jo litt dumt at jeg ikke kjenner noen som heter Holthe-Berg til etternavn, (den eneste jeg vet om er Hilde... som er "homo-fotograf"), på den andre siden, da er det ikke mitt problem lenger :wink:

Det der med IP virker som litt formye pes og for liten sansynlighet for at det fører frem til noe.

 

Uansett; takk for innspill.

 

-Thomas (som ikke er infisert med virus (kun bakterier))