Dagens Virusskörd

Tråden skapades och har fått 57 svar. Det senaste inlägget skrevs .

Under 2-3 timmar trillade det in bortåt 30 mail från avsändare jag aldrig varit i kontakt med, är 100% säker på att jag inte kan finnas i deras adressböcker. Många fanns hos Föreningsbanken och Riksskatteverket. Gemensamt för bortåt 90% av mailen varföljande text:

The attachment wicked_scr.scr with this email was found to contain the W32.Sobig.F@mm virus and could not be disinfected. The attachment has been removed from the email. Please ask the sender to repair and resend it.

This message has been processed by Brightmail(TM) Anti-Virus using
Symantec's Norton AntiVirus Technology.
Från: <Henrik.c.andersson@foreningssparbanken.se>
Datum: Tis 19 Aug 2003 17.33.48
Till: <Olle@mac.com>
Ämne: Re: Approved

Några av dom hade bilagor med namnen "thank_you.pif" eller "wicked_scr.scr". Något ovanlig måste ha inträffat under eftermiddagen för så här otroligt många mezz av denna karaktär har jag sällan skådat - hur har ni andra med ".Mac" eller annat konto upplevt eftermiddagen ?

Olle

Är viruset W32.Sobig.F@mm som vart i farten.. Har genererat mängdvis med mailtrafik och slagit ut många mailservrar.

Jag har hittills fått 40 mejl idag pga av det där viruset på en adress som är mycket spridd (mycket spam i vanliga fall). Intressant är att vissa av dessa mejl är svar från andra virusskydd. Uppenbarligen har viruset tagit min adress och använt den som avsändare för en massa av dessa virus. För jag har inte drabbats av viruset, jag kör ju mac, så jag är oskyldig. Vilket leder mig till att tro att de flesta andra som står som avsändare också är oskyldiga...

Edit: Tillägg: Bland annat fick jag samma virusmejl av fem olika addresser på Aftonbladet och jag tvivlar på att alla dom skulle ha min adress sedan innan.

Följande ord & meningar har jag lagt in i "Mail.app" "Regler" och valt att förppassa till IMAP-serverns papperskorg om brevet innehåller följande textsrängar... har hjälpt bra:

wicked_scr.scr
W32.Sobig.F@mm
Symantec's Norton AntiVirus Technology
See the attached file for details
mail was blocked since it contains
There is no user

Har sedan ställt in inställningarna så att papperskorgen alltid töms då jag stänger av Mail.app. Vad som var extra förvånande var att jag fick följande mail som antyder att jag skulle ha sänt 1 mail vilket jag inte gjort, känner inte till vem det är som jag påstås ha mailat till - gör mig orolig att viruset nått Apples mailserver - eller kanske är det Swipnet som drabbats:

Från: MAILER-DAEMON <MAILER-DAEMON@swip.net>
Datum: Tis 19 Aug 2003 19.24.06
Till: olle@mac.com
Ämne: Mail System Error - Returned Mail
Svara-till:: Tele2 Internet Support <support@swip.net>
Attachments: Det finns 1 bilaga

This Message was undeliverable due to the following reason:

Each of the following recipients was rejected by a remote mail server.
The reasons given by the server are included to help you determine why
each recipient was rejected.

Recipient: <b.ryttegard@swipnet.com>
Reason: <b.ryttegard@swipnet.com>... There is no user b.ryttegard in domain swipnet.com.

Reporting-MTA: dns; fep19.swip.net
Arrival-Date: Tue, 19 Aug 2003 19:24:06 +0200
Received-From-MTA: dns; CK07 (217.210.32.240)

Final-Recipient: RFC822; <b.ryttegard@swipnet.com>
Action: failed
Status: 5.1.3
Remote-MTA: dns; nix.swip.net (192.71.220.2)
Diagnostic-Code: smtp; 553 <b.ryttegard@swipnet.com>... There is no user b.ryttegard in domain swipnet.com.

Från: <Olle@mac.com>
Datum: Tis 19 Aug 2003 19.25.02
Till: <b.ryttegard@swipnet.com>
Ämne: Re: Re: My details

See the attached file for details

Me too.....har fått ett antal sådana mail.

Verkar vara en väldigt intensiv period med mycket sådant nuförtiden.....

Det kanske är dags att bygga om internet, standarder och i viss mån Windows ifrån grunden.....:rolleyes:

Gör om, gör bättre....

  • Medlem
  • Uppsala
  • 2003-08-19 20:08

Samma här !
Bilaga namn:
wicked_scr.scr
document_9446.pif
(alltså olika .pif dokument och movie)

Det är från helt okända personer !

  • Medlem
  • Stockholm
  • 2003-08-19 20:49

Som alla andra sådana där virus så plockar det såväl mottagaradress som (fejkad) avsändaradress från den infekterade datorns adressbok mm. Det är därför du får sådana där felmeddelanden trots att din egen dator inte är infekterad.

Den riktiga avsändaren kan ofta spåras om du kikar lite noggrannare i brevhuvudet.

Helt otrolig dag, säkert 75 virusmail idag sedan 3-tiden, ser hur det blinkar till i docken... när den lilla röda ETTAN på ikonen blinkar till så vet jag vilket sorts mail jag fick och bekvämt att veta att det automatiskt förpassas till papperskorgen på servern.

Var ligger alla små ljudsnuttar som finns för Mail.app - tror jag ska lägga dit ett som ropar "Mail kastade just nu ett PC-virus"

  • Medlem
  • Stockholm
  • 2003-08-19 21:38

Ja det här var faktiskt den värsta virusmailbombningen jag hittills råkat ut för - det strömmar in mail!

Pinsam att ens bekanta har så dålig koll på sina pc-burkar.

  • Medlem
  • Höganäs
  • 2003-08-19 21:51

Och jag har blivit helt utan

Kanske bbb:s mailserver som kroknat, men även .mac har skött sig bra.
Än så länge... :rolleyes:

Jag är helbombad, via kollegors adresser på karolinska institutet, har redan ett hundratals mail.
Jag har kört NAV utan napp p min mac, kan man vara helt säker på att ens eget epost-klient (Eudora i mitt fall) sprider detta vidare?

  • Avstängd
  • 2003-08-20 01:49

Jag har fått mail där det står att det innehåller virus Som min .mail har känt av.
Skickade sedan abuse tele2 där det kom ifrån.
Fick en massa frågor om IP adress och annat.
Skall jag nu fakturera nedlagd tid för att utreda deras problem ??

Pirre.. Öhh.. Vad är det för mening att skicka till abuse och ger A men inte B?

Citat:

Skrevs ursprungligen av Stefan Johansson
Jag är helbombad, via kollegors adresser på karolinska institutet, har redan ett hundratals mail.
Jag har kört NAV utan napp p min mac, kan man vara helt säker på att ens eget epost-klient (Eudora i mitt fall) sprider detta vidare?

Ja, det drabbar bara MS mailprogram på PC sidan.

Citat:

Skrevs ursprungligen av Christopher Anderton
Ja, det drabbar bara MS mailprogram på PC sidan.

Tycker nog att detta är en definitionsfråga... om man som jag hitintills fått 300 mail på 15 timmar och där jag påstås vara avsändaren så tycker jag nog att jag och mitt utrymme för mail har drabbats. OK de olika virusarna tar inget från min adressbok eller förstör något på min dator men drabbad eller berörd är jag likt förbaskat.

SE EXPRESSENS DEFINITION AV DRABBAD:

Otyget drabbar pc-ägare som kör Windows och sprider sig genom att leta efter e-postadresser på den infekterade datorn och sedan skicka sig själv till samtliga adresser. Mac-användare kan drabbas genom att viruset förfalskar adresser, vars ägare får en mängd svar på e-post som de aldrig skickat.

Olle

Under natten kom knappt 200 mail, varav flera kom åter som "undeliverable" med min adress som avsändare.
Dessutom är väger varje enskilt mail in på 100 kb, min box på servern har redan fyllts två gånger sedan igår.

Det har slutat för mig helt så vitt jag kan se. Verkar ha varit ett väldigt tillfälligt, men intensivt, utbrott.

Det började igår vid lunchtid, en hel jävla massa mail skickades, det jobbigaste är folk som ringer och är arga för att vi sprider virus, många har svårt att förstå det här med fejkade avsändaradresser. Dom vill att vi ska fixa, att vi ska blocka portar, köra AV program och stänga av smittade datorer.. Visst kan vi göra det, men det hjälper ju inte dom eftersom det inte är vi som sprider (:

Verkar som att det har börjat lugna ner sig lite nu på morgonen, men en del mailboxar här hade ~500 mail på morgonen som inkommit under natten..

  • Avstängd
  • 2003-08-20 10:33
Citat:

Skrevs ursprungligen av Christopher Anderton
Pirre.. Öhh.. Vad är det för mening att skicka till abuse och ger A men inte B?

Om personen som skickar virus har xxx@tele2 så måste väl tele 2 veta vem deras kund är?

Citat:

Skrevs ursprungligen av Pirre
Om personen som skickar virus har xxx@tele2 så måste väl tele 2 veta vem deras kund är?

Adressen du får mailet från är till 99,9% säkerhet bara fejkad, mailet kommer inte därifrån egentligen..

Nja, men man ser ju vilken SMTP server som har levererat mailet.

Citat:

Skrevs ursprungligen av Micke W
Nja, men man ser ju vilken SMTP server som har levererat mailet.

Precis.. men det är inte så många som vet hur man läser en mailheader och får fram vart mailet egentligen kommer från, dom flesta litar stenhårt på avsändaradressen (:

  • Avstängd
  • 2003-08-20 11:28

Jag skickade med en kopia av brevet Så jag trodde de skulle kunna lista ut det själva. Jag kastade brevet direkt efter.
Men nästa gång får jag väl plocka fram alla detaljer.
Som tur var var det ju bara ett brev och inte flera hundra som några säger att de fått.

Ah, då vet man vad som låg bakom gårdagens hysteriska bombardemang av mejlboxen.
Intressant nog fanns det en rad i brevhuvudet som sa: "x-mailscanner: found to be clean". Den scannern ger jag inte mycket för, vad det än kan vara.

  • Medlem
  • Umeå
  • 2003-08-20 13:50

Ja, om du inte använder en SMTP-server som tillåter "Relay". Senast jag kollade var det minst 2 av 10 mailservrar som var felaktigt inställda.

Hälsningar
Richard

Citat:

Skrevs ursprungligen av Micke W
Nja, men man ser ju vilken SMTP server som har levererat mailet.

  • Medlem
  • Stockholm
  • 2003-08-20 14:22

En pc-kille bredvid mig sa att även om man inte är drabbad som mac-användare så kan mailen mycket väl innehåll kod i headern som gör att även en mac hjälper till att distribuera viruset. Stämmer detta.

Frågan är mer generellt menad än just dagens sobig.f

Jag har fått mail från dig idag Olle@mac. com

Visst inte med de bästa avsikterna men det var ju i varje fall kul med en känd adress... tyvärr hamnade det direkt i papperskorgen.

Har nog fått ca 200-250 mail, kul att vara uppskattad.

OK, kan någon förklara hur det ligger till?

Vi är en organisation som har ett 80-tal mailadresser. Open Relay är avstängt och alla kör First Class klient för att kolla sin mail, alltså inga andra mailprogram används än just First Class.

Hur kommer det sig att nästan samtliga mailadresser hos oss får mail där det står att vi är avsändare och att vi har skickat virus....

Utnyttjas våran mailserver då, eller hur funkar det hära viruset? Ska vi göra något eller ska vi bara snällt sitta och vänta på att det går över?

  • Medlem
  • Malmö, Sweden, Sweden
  • 2003-08-20 16:32

...

Senast redigerat 2003-08-20 16:51
Citat:

Skrevs ursprungligen av jolander
Jag har fått mail från dig idag Olle@mac. com

Coolt, men samtidigt blir jag förvånad - har inte sett ett enda med @mac.com. I morrse hade jag nog totalt kommit upp i 300 virusmail och när jag kollade vid 4:a tiden nu på eftermiddagen så hade ytterligare 99 stycken trillat in så det dröjer nog innan alla kan ropa faran över.

Bevaka tråden