[GaryD]

Мне регулярно раз-два в ДЕнь(1) приходят сообщения с ящика user@mysite.ru с вирусами внутри.
Где user@mysite.ru это мной же открытый ящик на моем же сайте. Так с нексольких мэйл боксов с него идут мэйлы о недоставке и т.п.. AVG слава богу отсекает, но что это может быть? Раньше такого не было.
Я переехал с одного хостинга на другой и началось!
Кто и каким образом от моих имен (п\ящиков) рассылет мерзость эту? Как боороться.
Попутно: со старым провайдером разошлись без уведомления с моей стороны (они досталти в свое время меня), однако user@mysite.ru открыт остался у них по прежнему (через HTML форму), как и на новой площадке! То есть одно сообщение я читать могу на новом хосте и устарого прова. Как такое могет быть и не месть ли это провайдера старого -рассылка дряни этой? И разве компании не сносят ящики ушедших юзеров? И нет конфликтов в этом случае софта серверного? Как и туда и туда идет расслыка? Кто ее форвардит ( смоего нового что ли хостинга)? Извините конечно за мальчишеские предположения. Но я вижу в это какую-то систему и просто болезнь а как это пролечить не понятно.
Спасибо!

[Greyman]

GaryD
Заголовок рассылаемых писем смотрел? Вероятно это подставка обратного адреса, а это делают многие вирусы, использующие адресную книгу. Вероятно где-то заражет компьютер (или несколько), на котором "засветился" и твой адрес. Нужно разбираться с заголовком.

Цитата:

со старым провайдером разошлись без уведомления с моей стороны (они досталти в свое время меня), однако user@mysite.ru открыт остался у них по прежнему (через HTML форму), как и на новой площадке! То есть одно сообщение я читать могу на новом хосте и устарого прова. Как такое могет быть

Что ты поменял в рез-те смены провайдера? Только размещение сервера (имя осталось, изменился IP)? Смена имени, при размещении сервера на старом месте (IP осталось, сменилось имя)? Изменилось и то и другое?

[GaryD]

вот что в теле письма:
---------------------------------------------
X-EMS: wait 10s
Return-path: <postmaster@strel-ka.ru>
Envelope-to: lena@strel-ka.ru
Delivery-date: Wed, 29 Jun 2005 05:11:31 +0400
Received: from [82.117.161.10] (helo=strel-ka.ru)
by sr3.myhostnet.net with esmtp (Exim 4.44)
id 1DnR6b-0000U7-An
for lena@strel-ka.ru; Wed, 29 Jun 2005 05:11:31 +0400
From: "MAILER-DAEMON" <postmaster@strel-ka.ru>
To: lena@strel-ka.ru
Subject: Delivery reports about your e-mail
Date: Wed, 29 Jun 2005 08:10:51 +0700
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Antivirus: AVG for E-mail 7.0.323 [267.8.1]
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0014_815D224D.C0DB6981"

------=_NextPart_000_0014_815D224D.C0DB6981
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit

The original message was received at Wed, 29 Jun 2005 08:10:51 +0700
from strel-ka.ru [167.88.236.5]

----- The following addresses had permanent fatal errors -----
lena@strel-ka.ru

------=_NextPart_000_0014_815D224D.C0DB6981
Content-Type: text/plain; x-avg=cert; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline
Content-Description: "AVG certification"

Viruses found in the attached files.
The file file.zip: Virus identified I-Worm/Mydoom.O. The attachment was mov=
ed to the virus vault.

Checked by AVG Anti-Virus.
Version: 7.0.323 / Virus Database: 267.8.1/28 - Release Date: 24.06.2005

------=_NextPart_000_0014_815D224D.C0DB6981--
----------------------------------------------------------------
При смене провайдера имя ессно сайта осталось (я владелец). IP? - сменился думаю, они же не коллеги -Х-провайдеры.

Спасибо!

[hasherfrog]

Вирус, звонящий по модему на разные междугородние номера (для установки связи с сервером на этом номере) - кто в последний раз про такое слышал? Насколько я понимаю, вирус то ли устанавливает прямое соединение комп - комп, то ли "выходит в интернет" таком образом, используя номер, по которому звонит, как "провайдера". Тут нужно проконсультировать человека, а я в последний раз слышал про такое давным-давно, когда какой-то наш вирусописатель написал бяку, звонившую 02 :]

Вопрос срочный.

[Greyman]

hasherfrog
Пстоянно такие сыпятся. Если смотреть, например, DrWeb, то у него такой класс вирусов в описаниях к базам (*.txt), помечен как "Dialer". Есть те, к-ые действительно звонят для получения доступа на управление зараженным компом к одному из ранее зараженных ("зомби", на свой комп только кретин может такой дозвон делать). Значительно больше тех, к-ые с аналогичной целью (получение контроля) звонят на интернет-шлюзы. Но подавляющее большинство (ИМХО около 90% или больше) - это "накрутчики". Они звонят на различные платные ресурсы, в результате чего с пользователя снимается плата за звонки (как правило - международные). Такие вирусы очень выгодны владельцам этих ресурсов, т. к. по соглашениям с телефонными компаниями они получают определенный процент с таких звонков. Среди специалистов ИБ распространено мнение, что практически все такие вирусы - "заказуха" либо плоды работы "вирусных конструкторов".

[hasherfrog]

Greyman, спасибо, понял.

[Greyman]

Да и еще, хотя наверное уже и не актуально, но поправится все же стоит.

В последнее время в связи с ростом "моды" да фишинг, когичество вирус-диалеров в этом направлении тоже увеличилось. Т. е. щас становится заметным количество вирусов, которые звонят не для накрутки, а для потключения к интернет провайдеру или "зомби", но не для установки контроля над вирусованой машиной, а для более скрытной отправки получателю собраных с компьютера данных. Хотя фишинг-вирусов-диалеров гораздо меньше, чем фишинг-вирусов отсылающих данные по ЭП или на какой-либо вэб-ресурс непосредственно с вирусованой машины, но заметно больше, чем вирусов-диалеров для установления контроля над ПК. Фишеры иногда используют дозвон с целью увеличения гарантии доставки собранной информации, т. к. информация, отсылаемая по существующим каналам, м/б заблокирована на шлюзовых серверах (ЭП, МЭ, IDP и др.) плюс возможность многофакторной идентификации доступа к сетевым ресурсам (ввод пароля "вручную", ключи доступа, биометрические считыватели и т. п.), при которой информация может не успеть уйти в максимально сжатые сроки или вообще оказатся неотправленной...

[hasherfrog]

Я боюсь, уже не выяснить, "что это было". Программа от Зайцева (скачанная, кстати, отсюда из софт-раздела) нашла два каких-то трояна. Касперский нашёл потом ещё хвост от одного из троянов. и всё. В определениях троянов (по выданным ремувером) именам либо ничего нет про звонки, либо разновидностей подобных троянов очень много. Да я уже даже не пытаюсь детально разобраться, что это было... Надежда на то только, что оставленный касперский хотя бы полгодика ещё сдержит оборону...

[Ronald]

А дистрибутивы у тебя вирус не хавал? Может он у тебя в дистрибе сидит, и когда ты очередной раз ставишь систему и проги он у тебя активируется. Советую снять винт, пойти к товарищу и там проверить весь винт на вирусы.

[IgorK]

Храните дистрибутивы на CD, или на FTP, который писать не можете.