Это для того чтобы народ знал!

Вирус : Net-Worm.Win32.Mytob.au
Адресат: ftp.oil.sakha.ru
IP : 80.73.80.15

Вирус : Net-Worm.Win32.Mytob.au
Адресат:
IP : 82.114.132.163

Вирус : Net-Worm.Win32.Mytob.au
Адресат:
IP : 80.73.90.38

Вирус : Win32.HLLW.NetSky.r
Адресат:
IP : 80.73.83.202

Вирус: Net-Worm.Win32.Mytob.au
Адресат: mx2.sakha.net
E-mail: steal@sakha.net
IP: 80.73.76.254

Вирус: Net-Worm.Win32.Mytob.v
Адресат:
E-mail: realty@mail.ru
IP: 80.73.95.162

P.s. буду добовлять по мере обноружения новеньких, и еще насчет того что мол вирус сам рассылает а хозяева и усом не швелят, то скажу категорически что это враки! Учитывая систему посылок, а также установленные на компах посылающих файрволы и антивируснику, такого не может быть чтобы у них сидел вирус! Ну и конечно вирус хитростью не обладает чтобы предприянть разные попытки отослать зараженное письмо!

если ты не знал, то некоторые вирусы подставляют случайный обратный адрес. Т.е. пишет что пришло от Васи Пупкина, но на самом деле от какого нить Коли или Миши.

например

Вирус : Net-Worm.Win32.Mytob.au
Адресат: ftp.oil.sakha.ru
IP : 80.73.80.15

вряд ли в Саханефтегазсбыте плохая антивирусная защита :))

А я не сомневаюсь что в Саханефтегазсбыте не плохая антивирусная стоит! Но то что вирус пришел от туда известно наверняка! Т.к. даже при попытке подставить обратный адрес, истинный адрес все равно высвечивается в теле письма! Т.к. информацию в тело письма добавляет каждый сервак через который проходит сия письмо! Т.ч. изменить адресок возможно только на начальном сервере т.е. через который пошло письмо, а получающий сервер регистрирует истинный адрес, а не измененный! Т.ч. при разборе ципочке среверов доходишь как раз до конкретного адреса! :-)))


Инфа проверенно достаточно на множестве письмах с разных серваков и разными путями!

Вирус: Net-Worm.Win32.Mytob.c
Адрес:
E-mail: autoykt@sakha.ru
IP: 217.106.139.167


Вирус: Worm.Win32.Eyeveg.f
Адрес:
E-mail: Александр Катаев <Kataev@stu.ru>
IP: 212.164.173.85

А я не сомневаюсь что в Саханефтегазсбыте не плохая антивирусная стоит! Но то что вирус пришел от туда известно наверняка! Т.к. даже при попытке подставить обратный адрес, истинный адрес все равно высвечивается в теле письма! Т.к. информацию в тело письма добавляет каждый сервак через который проходит сия письмо! Т.ч. изменить адресок возможно только на начальном сервере т.е. через который пошло письмо, а получающий сервер регистрирует истинный адрес, а не измененный! Т.ч. при разборе ципочке среверов доходишь как раз до конкретного адреса! :-)))


Инфа проверенно достаточно на множестве письмах с разных серваков и разными путями!

http://www.antispam.ru/4user/reading-email-headers-translation.shtml

Для Al_Dl

Спасибо за ссылку на статью, но сия статья годится только для ламеров! :-))) По причине того что она не полная и не подробная!
Есть более полная статья, с полным подробным описанием которая, расказывает о том что да как и почему! Вот на осонове этой полной статьи я и вычисляю кто есть кто! Т.е. человек послал или вирь! А также истинный IP в плоть даже если седит на сетке через прокси то IP его в этой сетке!

Для Al_Dl

Спасибо за ссылку на статью, но сия статья годится только для ламеров! :-))) По причине того что она не полная и не подробная!
Есть более полная статья, с полным подробным описанием которая, расказывает о том что да как и почему! Вот на осонове этой полной статьи я и вычисляю кто есть кто! Т.е. человек послал или вирь! А также истинный IP в плоть даже если седит на сетке через прокси то IP его в этой сетке!

1) Какая была статья - такую и дал.
2) А вот "Вот на осонове этой полной статьи я и вычисляю кто есть кто! Т.е. человек послал или вирь! А также истинный IP в плоть даже если седит на сетке через прокси то IP его в этой сетке" - не смешите мои тапочки :)

P.S. дай нам ссылку на эту статью, может повеселит хоть.

Для Al_Dl

1) Я так и думал! :-)) Как ни как в яндексе в первой десятке находится!
2) Ссылку не дам! Захочешь сам найдешь, просто я заметил что когда даешь ссылки потом сам себе яму капаешь! Уж извини, но токова жизнь, тот кто знает то вооружен!

Для Al_Dl

1) Я так и думал! :-)) Как ни как в яндексе в первой десятке находится!
2) Ссылку не дам! Захочешь сам найдешь, просто я заметил что когда даешь ссылки потом сам себе яму капаешь! Уж извини, но токова жизнь, тот кто знает то вооружен!

Ну все крутой хацкер ;) Мне наверное теперь надо начать боятсья и выключить компьютер из сети %)

P.S. На будующее - надо подтверждать слова фактами, а иначе выглядит как... не буду говорить обидностей.

Т.е. человек послал или вирь! А также истинный Ip в плоть даже если седит на сетке через прокси то Ip его в этой сетке! О да, а через прокси у него истинный Ip - "192.168.0.1" :d

Уважаемые на предприятиях в большинстве антивирусная защита отстой по себе знаю - в "Виртуальном мире" её до поры до времени вооще не было да и щас отстой а про всякие Нефтегазы и т.д. и говорить не приходится - набирут по блату всяких тапочков.....

Уважаемые на предприятиях в большинстве антивирусная защита отстой по себе знаю - в "Виртуальном мире" её до поры до времени вооще не было да и щас отстой а про всякие Нефтегазы и т.д. и говорить не приходится - набирут по блату всяких тапочков.....

Ну уж, W@lker далеко не тапочек. Не надо голословно утверждать.

Я именами не кидался конкретными

Я именами не кидался конкретными

Ну раз не в курсе где кто и как админит - не стоит тогда так авторитетно заявлять о несостоятельности их админов :)

Это для того чтобы народ знал!
Ты 6редишь, с таким же успехом я могу отослать этот же вирус от твоего имени с твоим обратным адресом. :D

Ты 6редишь, с таким же успехом я могу отослать этот же вирус от твоего имени с твоим обратным адресом. :D

Если ты провайдер через которого я в инет выхожу, тогда согласен сможешь! А так фиг ты отошлешь! :-)) Я ведь полный заголовок письма смотрю, а не тот который предоставляют ламерам!

О да, а через прокси у него истинный Ip - "192.168.0.1" :d

Даже прокс не всегда закрывает свою сеть! :-)

Ну все крутой хацкер ;) Мне наверное теперь надо начать боятсья и выключить компьютер из сети %)

P.S. На будующее - надо подтверждать слова фактами, а иначе выглядит как... не буду говорить обидностей.

1) Я не хакер! :-)))
2) Дело твое бояться или не бояться! Я никого не пугал! :-))) Если конечно ты вирусы не посылаешь!
3) Я заметил одну вещь как только где нибудь выкладываешь потверждение, как оно перестает быть рациональным!

1) Я не хакер! :-)))
2) Дело твое бояться или не бояться! Я никого не пугал! :-))) Если конечно ты вирусы не посылаешь!
3) Я заметил одну вещь как только где нибудь выкладываешь потверждение, как оно перестает быть рациональным!

1) если заметил - было сказано с улыбкой.
2) А кто боялся? %))) см. смайлик выше :)
3) если подтверждение теряет свою рациональность, значит оно не состоятельно.

Сетевая безопасность это не одна супер-пупер статья, прочитав котую будеш все знать :) Это большой раздел детальное изучение которого займет не один год (также нужно учитывать бурное развитие отрасли)

Если ты провайдер через которого я в инет выхожу, тогда согласен сможешь! А так фиг ты отошлешь! :-)) Я ведь полный заголовок письма смотрю, а не тот который предоставляют ламерам!
Какой еще заголовок? :jo: Я отошлю письмо от твоего имени :D

Вирус : Win32.HLLW.Netsky.q
Адресат:
IP : 212.16.197.122

Вирус : Net-Worm.Win32.Mytob.c
Адресат:
IP : 80.73.87.98

Вирус : Net-Worm.Win32.Mytob.bf
Адресат:
IP : 82.114.134.156

Вирус : Net-Worm.Win32.Mytob.bf
Адресат:
IP : 82.200.29.14



P.s. А этот самый упорный аж на дню по десять раз шлет вирус!

Вирус : Net-Worm.Win32.Mytob.au
Адресат: ftp.oil.sakha.ru
IP : 80.73.80.15

Кто не знает так это организация САХАНЕФТЕГАЗСБЫТ, где админ сетки в инете известен по ником W@lker!

Дополнение от 07.07.2005года!

Вирус : Net-Worm.Win32.Mytob.au
Адресат:
IP : 80.73.93.46

Вирус : Win32.HLLW.NetSky.r
Адресат:
IP : 212.16.197.16

Дополнение от 15 июля 2005 года!
Вирус : Net-Worm.Win32.Mytob.bt
Адресат:
IP : 212.17.0.81

не порядочный чел с

80.73.86.9
80.73.86.12
80.73.86.37
80.73.86.22
80.73.90.206
рассылает вирус Lovesan

А как определить ip адрес отправляющего мне вирусы.

А как определить ip адрес отправляющего мне вирусы.

Заголовки писем читай (свойства)

Но скорее всего будет аноним

Заголовки писем читай (свойства)

Но скорее всего будет аноним
А при анониме возможно вычеслить ip.

нет конечно - там и прокси могут быть

Ну это я понимаю получаеся что при анониме я могу вычеслить только ip почтового сервера.

ни всегда

можно например отправить в обход сервера отправителя напрямки на сервак получателя - да и то от другого имени(соответственно через анонимку) и тогда все шансы вычислить равны нулю

Выход один - настраивать спам фильтр и неоткрывать писем от незнакомцев (читай одни заголовки с сервера)

8/1/2005 12:21:38 AM Your computer has been attacked from 80.73.83.222. Attack - Lovesan.
8/1/2005 9:31:05 PM Your computer has been attacked from 80.73.92.254. Attack - Lovesan.
8/1/2005 10:57:43 PM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/1/2005 11:24:06 PM Your computer has been attacked from 80.73.68.182. Attack - Lovesan.
8/1/2005 11:54:15 PM Your computer has been attacked from 80.73.68.182. Attack - Lovesan.
8/1/2005 11:55:01 PM Your computer has been attacked from 80.73.93.114. Attack - Lovesan.
8/2/2005 7:47:41 PM Your computer has been attacked from 80.73.93.126. Attack - Lovesan.
8/2/2005 8:29:22 PM Your computer has been attacked from 80.73.83.222. Attack - Lovesan.
8/2/2005 8:36:34 PM Your computer has been attacked from 80.73.90.66. Attack - Lovesan.
8/2/2005 9:03:13 PM Your computer has been attacked from 80.73.83.222. Attack - Lovesan.
8/2/2005 9:12:02 PM Your computer has been attacked from 80.73.87.246. Attack - Lovesan.
8/2/2005 9:43:48 PM Your computer has been attacked from 80.73.82.114. Attack - Lovesan.
8/2/2005 10:42:47 PM Your computer has been attacked from 80.73.68.182. Attack - Lovesan.
8/2/2005 11:02:33 PM Your computer has been attacked from 80.73.92.254. Attack - Lovesan.
8/2/2005 11:14:27 PM Your computer has been attacked from 80.73.94.138. Attack - Lovesan.
8/2/2005 11:39:36 PM Your computer has been attacked from 80.73.92.138. Attack - Lovesan.
8/2/2005 11:46:13 PM Your computer has been attacked from 80.73.87.246. Attack - Lovesan.
8/3/2005 12:12:56 AM Your computer has been attacked from 80.73.83.222. Attack - Lovesan.
8/3/2005 12:19:09 AM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/3/2005 12:25:47 AM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/3/2005 12:26:36 AM Your computer has been attacked from 80.73.86.234. Attack - Lovesan.
8/3/2005 12:59:33 AM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/3/2005 1:38:07 AM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/3/2005 1:42:18 AM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/3/2005 1:49:52 AM Your computer has been attacked from 80.73.83.170. Attack - Lovesan.
8/3/2005 2:00:38 AM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/3/2005 2:07:40 AM Your computer has been attacked from 80.73.68.42. Attack - Lovesan.
8/3/2005 8:05:47 PM Your computer has been attacked from 80.73.93.114. Attack - Lovesan.
8/3/2005 8:42:48 PM Your computer has been attacked from 80.73.68.34. Attack - Lovesan.
8/3/2005 9:06:53 PM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/3/2005 9:22:31 PM Your computer has been attacked from 80.73.87.246. Attack - Lovesan.
8/3/2005 9:23:23 PM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/3/2005 9:24:46 PM Your computer has been attacked from 80.73.87.246. Attack - Lovesan.
8/3/2005 9:28:47 PM Your computer has been attacked from 80.73.87.246. Attack - Lovesan.
8/4/2005 12:52:06 AM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/4/2005 1:23:57 AM Your computer has been attacked from 80.73.94.58. Attack - Lovesan.
8/4/2005 1:43:24 AM Your computer has been attacked from 80.73.68.42. Attack - Lovesan.
8/4/2005 8:19:49 PM Your computer has been attacked from 80.73.68.6. Attack - Lovesan. T
8/4/2005 8:56:01 PM Your computer has been attacked from 80.73.91.42. Attack - Lovesan.
8/4/2005 9:05:36 PM Your computer has been attacked from 80.73.83.222. Attack - Lovesan.
8/4/2005 9:18:03 PM Your computer has been attacked from 80.73.93.138. Attack - Lovesan.
8/4/2005 10:31:44 PM Your computer has been attacked from 80.73.83.222. Attack - Lovesan.
8/4/2005 10:46:24 PM Your computer has been attacked from 80.73.91.42. Attack - Lovesan.
8/5/2005 12:48:59 AM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/5/2005 2:25:31 AM Your computer has been attacked from 80.73.93.126. Attack - Lovesan.
8/5/2005 2:31:48 AM Your computer has been attacked from 80.73.86.234. Attack - Lovesan.
8/5/2005 11:57:34 PM Your computer has been attacked from 80.73.68.42. Attack - Lovesan.
8/6/2005 1:04:11 AM Your computer has been attacked from 80.73.83.222. Attack - Lovesan.
8/9/2005 7:10:36 PM Your computer has been attacked from 80.73.92.138. Attack - Lovesan.
8/9/2005 7:54:06 PM Your computer has been attacked from 80.73.93.98. Attack - Lovesan.
8/9/2005 8:36:05 PM Your computer has been attacked from 80.73.92.138. Attack - Lovesan.
8/9/2005 9:17:08 PM Your computer has been attacked from 80.73.91.142. Attack - Lovesan.
8/9/2005 11:04:55 PM Your computer has been attacked from 80.73.86.234. Attack - Lovesan.
8/10/2005 1:18:31 AM Your computer has been attacked from 80.73.83.170. Attack - Lovesan.
8/10/2005 7:35:50 PM Your computer has been attacked from 80.73.68.42. Attack - Lovesan.
8/10/2005 9:08:53 PM Your computer has been attacked from 80.73.87.246. Attack - Lovesan.
8/10/2005 9:16:53 PM Your computer has been attacked from 80.73.87.246. Attack - Lovesan.
8/10/2005 10:54:33 PM Your computer has been attacked from 80.73.86.234. Attack - Lovesan.
8/10/2005 11:00:29 PM Your computer has been attacked from 80.73.87.226. Attack - Lovesan.
8/10/2005 11:09:24 PM Your computer has been attacked from 80.73.86.222. Attack - Lovesan.
8/11/2005 12:00:24 AM Your computer has been attacked from 80.73.93.114. Attack - Lovesan.
8/11/2005 12:03:09 AM Your computer has been attacked from 80.73.94.238. Attack - Lovesan.
8/11/2005 12:38:59 AM Your computer has been attacked from 80.73.83.170. Attack - Lovesan.
8/11/2005 12:51:22 AM Your computer has been attacked from 80.73.93.114. Attack - Lovesan.
8/11/2005 1:13:32 AM Your computer has been attacked from 80.73.86.234. Attack - Lovesan.
8/11/2005 1:13:41 AM Your computer has been attacked from 80.73.93.114. Attack - Lovesan.

1) Анонимных мало! Т.ч. через них отправлять дороже отправителю станет по причине постоянной загрузке анонимных!
2) Как бы не передовали письма айпи отправителя постоянно фиксируется! Даже если он сидит на прокси то айпи его прокси а также внутренний айпи сети!
3) В заголовках фиксируеться весь путь! Если этого мало то можно запросить с первого сервака с которого пошла отсылка дополнительную инфу! При условии что вы воремя начали определять отправителя т.к. инфа временно т.е. имеет свой жизненный цикл, после чего уже не определишь!

2Dima
Впечатляет вот только алгоритм формирования айпи страдает, ну и конечно расхождения во времени!