linux user group brescia
immagine del castello

Archivio della mailing list

Ancora sul Sobig

marco ghidinelli marcogh a linux.it
Mer 10 Set 2003 10:16:05 UTC 
On Wed, Sep 10, 2003 at 09:37:21AM +0200, Enrico Colombini wrote:
> 
> Ho un'idea per affrontare il problema del diluvio di Sobig.F, ma prima 
> vorrei essere certo che il nome del computer riportato nello header del 
> Sobig.F, cioe' TYLER:
> 
>  > Received: from TYLER (62-101-126-233.fastres.net [62.101.126.233])
> 
> sia lo stesso che appare nei normali messaggi di posta (il numero 
> interno non mi sembra che sia riportato).
> Ne sapete qualcosa?
> 
> Mi sono costruito un database degli indirizzi From: usati nei virus, 
> molti dei quali sono @uniroma2 e @uniroma3 e pensavo di scrivere a 
> questi, supponendo che abbiano anche loro lo stesso problema (e 
> 'ricevano' virus da me), suggerendo di cercare TYLER nei loro archivi di 
> posta.
> 
> Vi pare che possa funzionare?

comunque, questo virus e' decisamente fantastico. ha cambiato solo poche
righe rispetto a un'altro virus ma ha ottenuto un'effetto incredibile:
sobig e' qui x restare. 

tutti i computer infetti sono portatori sani: a parte un rallentamento
della rete, come fa l'infettato ad accorgersi che qualcosa non va?

i messaggi di posta che manda non tornano indietro a lui, e comunque con
questo virus non ha senso rispondere a chi ti ha mandato la mail dicendo:
guarda che sei infetto.

risalire a chi ha mandato un messaggio e' complicato e sicuramente
irrealizzabile su vasta scala.

tutti gli infetti sono "portatori sani" e i metodi x arginare questa
infezione sono decisamente difficili da implementare:
gli unici metodi x bloccare questa infezione sono: 
1) software antivirus sui vari smtp server pubblici (esempio
   smtp.libero.it)
2) utilizzo delle mappature antispam DUL (che permettano a chiunque di
   rifiutare una mail da un'indirizzo ip infetto

come potrete intuire per attuare queste cose ci vorra' veramente un sacco
di tempo -> sobig e' qui x restare, quindi aspettare che l'infezione decada
non e' l'atteggiamento giusto. 

bisogna andare di server antivirus su tutti i server...

x l'occasione consiglio a tutti di utilizzare CLAMAV, un sistema antivirus
sotto linux che funziona egregiamente, ed e' facilmente integrabile con
moltissimi sistemi di posta elettronica.
il database e' aggiornato ogni poche ore, in modo da stroncare sul nascere
tutti i nuovi worm "microsoft".

-- 
BOFH excuse #433:

error: one bad user found in front of screen

Maggiori informazioni sulla lista Lug