Strana mail da LIBEROnews

[Topesque]

Ho ricevuto questa mail dalla newsletter di Libero, che francamente mi sa tanto di bufala, oppure un maldestro tentativo della concorrenza per incrinare il successo che ha avuto Google :

VIRUS INFORMATICO COLPISCE TUTTI I VISITATORI DEL FAMOSO MOTORE DI RICERCA 'GOOGLE'

Inquietante scoperta dello staff tecnico addetto alla sicurezza del portale GOOGLE:
ignoti pirati informatici sono riusciti ad installare decine di migliaia di
Active Internet Content (una sorta di virus) nei servers di GOOGLE che,
nel momento stesso in cui l'utente accede alla HOME PAGE,
riescono a catturare e spedire verso servers anonimi la posta elettronica
archiviata nella cartella "Posta in arrivo" dell'ignaro visitatore,
forse per ricavarne indirizzi email per fini pubblicitari.

Poiché i programmi pirata si annidano nei sistemi operativi dei servers,
la loro rimozione comporterebbe settimane di laboriose installazioni e riconfigurazioni,
durante le quali il portale resterebbe off-line per diverse ore al giorno,
con ingenti perdite nelle sponsorizzazioni.
Si sta quindi cercando di realizzare urgentemente una patch per riparare
i sistemi operativi dei centinaia di servers coinvolti.

Purtroppo le particolari caratteristiche dei subdoli programmi invasivi
impediscono la loro rilevazione da parte dei più comuni antivirus e firewall,
per cui al momento non esistono difese efficaci dal lato utente.

Chi ha utilizzato GOOGLE negli ultimi 2 mesi, pur avendo rischiato di
essere vittima dell' Active Internet Content non deve fare nulla:
il virus si annida solo nei servers, e colpisce i singoli PC degli
utenti solo nel corso del collegamento con il sito infetto.

Maggiori informazioni:
xxx


I motivi per cui ritengo che sia una bufala sono:
1) questa news è numerata "157", che invece era già uscita il 7 maggio, ed è già uscita la 158;
2) sull'elenco delle news nel sito di libero non vi è traccia di questa notizia;
3) i link suggeriti parlano si di sicurezza, ma non vi è menzione di questo specifico problema.

Qualcun altro di voi che è iscritto alle news di Libero l'ha ricevuta?

Ciao

[Dwarf]

E' sicuramente una bufala, sicuramente l'email NON è stata inviata di Libero.

[Michele Facchin]

Non è una bufala, è una grande cazzata!

..il virus si annida solo nei servers, e colpisce i singoli PC degli
utenti solo nel corso del collegamento con il sito infetto.

Sicuramente chi ha scritto questa cosa, non sà nemmeno come funzioni un server

E poi il plurale di server al italiano rimane inalterato, propio come firewall.

Non credo che chi scriva ste news non sappia queste regole grammaticali

Saluti :metallica

[innovatel]

per curiosità ... butta uno sguardo agli header della mail

[Topesque]

Originariamente inviato da innovatel
per curiosità ... butta uno sguardo agli header della mail

Hai ragione, l'ho confrontato con un precedente messaggio delle newsletter e mi sembra ci siano dei passaggi in più:

Return-Path: <Newsletter@iol.it>
Received: from smtp5.libero.it (193.70.192.55) by ims3c.libero.it (7.0.012)
id 3EA429740080C3FC; Sun, 18 May 2003 08:23:06 +0200
Received: from iol.it (219.116.64.29) by smtp5.libero.it (7.0.012)
id 3EBBE14200CA7FE4; Sun, 18 May 2003 08:22:06 +0200
Received: from mmx09.tilkbans.com ([37.223.42.69])
by smtp.mixedthings.net with esmtp; Sun, 18 May 2003 07:33:24 -0200
Message-ID: <99aa01c31cef$a4591990$377624b8@fxtqg>
Reply-To: <Newsletter@iol.it>
Wrom: BXFGGMEPYOQKEDOTWFA
To: Newsletter@iol.it
Subject: Virus informatico colpisce 'GOOGLE'
Date: Sat, 17 May 2003 21:43:27 -0600
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_490_393E_33975E35.37AE253E"
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200

Ciao

[Dwarf]

- Dominio dell'email utilizzata come drop-box (header From: NON DEFINITO

- Percorso eseguito dall'email:

1) L'utente "mmx09.tilkbans.com" (37.223.42.69) ha inviato l'email a smtp.mixedthings.net
2) "iol.it" (219.116.64.29) ha inviato l'email a smtp5.libero.it
3) "smtp5.libero.it" (193.70.192.55) ha inviato l'email a ims3c.libero.it


- Schema dei server attraversati (1):

SPAMMER --> smtp.mixedthings.net --> smtp5.libero.it --> ims3c.libero.it --> CASELLA LOCALE


- Server utilizzato per inviare l'email (2) (5): smtp.mixedthings.net

- Server presente in blacklist: vedi openrbl

- Indirizzo IP dello spammer (3): 37.223.42.69

- NS Lookup dell'ip dello spammer (37.223.42.69): NON ESISTENTE

- IP Block a cui appartiene 37.223.42.69: vedi database RIPE


NOTE:
(1): Vengono considerati tutti gli header dell'email. Potrebbero però essercene alcuni falsificati e quindi l'analisi non sarebbe più valida. Accertarsi sempre che non ci siano intestazioni false.
(2): Dato che questo messaggio non è stato ricevuto dal nostro server l'informazione potrebbe non essere attendibile. Infatti nel caso in cui il tuo provider registri negli header dei passaggi a server interni, l'email potrebbe sembrare aver avuto origine dal tuo stesso provider. Se è così , più probabilmente si tratta di un caso di spam Direct-to-MX.
(3): In alcuni casi questo IP potrebbe non essere realmente quello dello spammer ma quello di un proxy aperto che non lascia traccia negli header. Lo si potrebbe verificare attraverso openrbl.

(5): Se l'email è partita localmente da un mailserver (ex. localhost o 127.0.0.1), quest'informazione potrebbe non essere attendibile. In questo caso il server utilizzato per inviare l'email è direttamente l'IP dello spammer.

CONCLUSIONE

Il messaggio di spamming con oggetto "Virus informatico colpisce 'GOOGLE'" è stato inviatoda un utente che si è presentato come "mmx09.tilkbans.com" al server smtp.mixedthings.net (vedere (1) e (2)).
Il server utilizzato per inviare il messaggio è smtp.mixedthings.net. Sarebbe opportuno innanzi tutto verificare se si tratta o meno di un relay aperto attraverso openrbl (cioè se accetta di inviare email da parte di chiunque invece che accettarle solo dai proprio utenti) e, in tal caso, è necessario avvisare il postmaster in modo tale che possa correggere il problema. In entrambi i casi è opportuno inviare a postmaster@mixedthings.net gli header dell'email di spamming ricevuta. (sempre tenendo conto di (5) e di (2))
L'indirizzo IP dello spammer è 37.223.42.69 (vedi (3)). Questo è molto importante dato che proprio grazie a questo IP può essere rintracciato.
Purtroppo l'ip 37.223.42.69 non ha un corrispondente nome, cosa che ci poteva facilitare notevolmente la ricerca del provider di appartenenza dello spammer.
E' comunque possibile consultare il database del RIPE per scoprire a chi appartiene l'IP block in questione e contattare quindi i responsabili dello stesso.
Spam Analyser v.1.02 created by Veneziano Davide. Analisi Effettute: 29860

[Al è qui]

Ho eliminato i siti indicati non perchè fossero vietati ma perchè siti che mandano spam (l'ho ricevuta).

Gli spammer mi stanno sulle balle. Topesque se vuoi lamentarti di questa mia azione e rimettere i link manda una mail all'amministratore di html.

[jop]

Anch'io l'ho ricevuta e vedo che è gia stata passata ai raggi x del forum.
Certo che se non era per voi, ora sarei meno tranquillo, anche perchè col programma di libero non posso controllare gli header...e non mi sarei accorto di nulla.
Forse è il caso di dare maggior enfasi a questa info.
Grazie

[Topesque]

Originariamente inviato da Al è qui
Ho eliminato i siti indicati non perchè fossero vietati ma perchè siti che mandano spam (l'ho ricevuta).

Gli spammer mi stanno sulle balle. Topesque se vuoi lamentarti di questa mia azione e rimettere i link manda una mail all'amministratore di html.

No no che non mi lamento, hai fatto benissimo a toglierli;
io l'avevo ingenuamente inseriti perchè erano nel corpo del messaggio, se l'avessi saputo (o forse se avessi riflettuto prima ... ehm) l'avrei perlomeno coperti con delle x.

Ciao e scusa

[scimmietta]

E' una bufala.... vedere
http://www.attivissimo.net/antibufala/google_virus.htm