Ancora sul Sobig
Luca Giuzzi
giuzzi a lugbs.linux.it
Mer 10 Set 2003 09:24:33 UTC
On Wed, Sep 10, 2003 at 09:37:21AM +0200, Enrico Colombini wrote:
>
> Ho un'idea per affrontare il problema del diluvio di Sobig.F, ma prima
> vorrei essere certo che il nome del computer riportato nello header del
> Sobig.F, cioe' TYLER:
>
> > Received: from TYLER (62-101-126-233.fastres.net [62.101.126.233])
>
> sia lo stesso che appare nei normali messaggi di posta (il numero
> interno non mi sembra che sia riportato).
> Ne sapete qualcosa?
>
Attento... TYLER non e' il nome del computer... e' il dominio che viene
passato al server SMTP in fase di EHLO...
Prova a vedere gli esiti di questa sessione:
EHLO TYLER
MAIL from: erix a erix.it
RCPT to: erix a erix.it
DATA
abc
.
Ti dovrebbe fornire degli headers simili a quelli di cui sopra,
con la sola differenza che l'IP e' quello della macchina da cui ti sei
connesso.
> Mi sono costruito un database degli indirizzi From: usati nei virus,
Puo' essere utile, ma, in realta', una percentuale sostanziale dei
messaggi proviene pure da webbots oltre che dagli address book
della gente.
> molti dei quali sono @uniroma2 e @uniroma3 e pensavo di scrivere a
> questi, supponendo che abbiano anche loro lo stesso problema (e
> 'ricevano' virus da me), suggerendo di cercare TYLER nei loro archivi di
> posta.
Mumble... non so... secondo me alla fine concludi poco... l'importante
sarebbe bloccare la sorgente ... questi sono vittime piu' o meno come
te, per cui c'e' poco che possano fare, oltre a lamentarsi.
ciao,
lg
>
> Vi pare che possa funzionare?
>
> .Erix.
--
Maggiori informazioni sulla lista
Lug
|