linux user group brescia

On Wed, Sep 10, 2003 at 09:37:21AM +0200, Enrico Colombini wrote:
> 
> Ho un'idea per affrontare il problema del diluvio di Sobig.F, ma prima 
> vorrei essere certo che il nome del computer riportato nello header del 
> Sobig.F, cioe' TYLER:
> 
>  > Received: from TYLER (62-101-126-233.fastres.net [62.101.126.233])
> 
> sia lo stesso che appare nei normali messaggi di posta (il numero 
> interno non mi sembra che sia riportato).
> Ne sapete qualcosa?
> 
Attento... TYLER non e' il nome del computer... e' il dominio che viene
passato al server SMTP in fase di EHLO...

Prova a vedere gli esiti di questa sessione:

EHLO TYLER
MAIL from: erix a erix.it
RCPT to: erix a erix.it
DATA
 abc
.

Ti dovrebbe fornire degli headers simili a quelli di cui sopra,
con la sola differenza che l'IP e' quello della macchina da cui ti sei
connesso.

> Mi sono costruito un database degli indirizzi From: usati nei virus, 

Puo' essere utile, ma, in realta', una percentuale sostanziale dei
messaggi proviene pure da webbots oltre che dagli address book
della gente.

> molti dei quali sono @uniroma2 e @uniroma3 e pensavo di scrivere a 
> questi, supponendo che abbiano anche loro lo stesso problema (e 
> 'ricevano' virus da me), suggerendo di cercare TYLER nei loro archivi di 
> posta.

Mumble... non so... secondo me alla fine concludi poco... l'importante
sarebbe bloccare la sorgente ... questi sono vittime piu' o meno come
te, per cui c'e' poco che possano fare, oltre a lamentarsi.

ciao,
 lg

> 
> Vi pare che possa funzionare?
> 
>    .Erix.

--