Header di posta ...

[Fra]

Ho ricevuto un'email contenente un virus.
Esaminando l'header cosa si può sapere ? (il mio indirizzo di posta è webfra@wappi.com)
(copro gli indirizzi di posta scritti nell'header, tranne il mio, con delle 'x' ... credo che sia meglio così)
-------------------------------------------------------
Return-Path: <xxxxxx_xxxxxxxxxx@libero.it>
Delivered-To: webfra@wappi.com
Received: (qmail 14821 invoked from network); 5 Oct 2002 17:51:04 -0000
Received: from hoppy.virtex (HELO hoppy.virtex.it) (192.168.0.43)
by barney.virtex with SMTP; 5 Oct 2002 17:51:04 -0000
Received: (qmail 27127 invoked by uid 555); 5 Oct 2002 15:47:00 -0000
Date: 5 Oct 2002 15:47:00 -0000
Message-ID: <20021005154700.27126.qmail@hoppy.virtex.it>
Received: (qmail 26712 invoked from network); 5 Oct 2002 15:46:38 -0000
Received: from smtp2.libero.it (193.70.192.52)
by hoppy.virtex.it with SMTP; 5 Oct 2002 15:46:38 -0000
Received: from Xxs (151.28.150.136) by smtp2.libero.it (6.5.028)
id 3D9DBC0800064430 for webfra@wappi.com; Sat, 5 Oct 2002 17:46:38 +0200
From: x.xxxx <x.xxxx@tin.it>
To: webfra@wappi.com
Subject: Questionnaire
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=HEcuY198v8i1
-------------------------------------------------------------------

... ho capito solo (dal primo Received) che l'host del server mittente (XXs) non corrisponde all'ip (151.28.150.136) che invece corrisponde a LIBERO. Quindi presumo che l'indirizzo di posta del mittente (x.xxxx@tin.it) è fasullo (o cmq non è il vero mittente).
Inoltre return-path mi segnala un'indirizzo di posta (xxxxxx_xxxxxxxxxx@libero.it) ... forse è questo il vero mittente ?

[cikabooM]

Da un header di una mail ricevuta puoi risalire all'indirizzo ip del mittente.
Una volta ottenuto questo allora potrai consultarti con un database (tipo www.ripe.net cliccando su wois db)e ricavare le informazioni riguardo a quell'indirizzo .
IL problema pero' l in questo caso è il fatto che per mezzo di questa mail ti è stato inviato un virus.
Naturalmente il pirata informatico , nn sara' stato cosi' idiota da lasciarti vedere il suo ip .
Questo per vari motivi :
primo il virus non ti è sicuramente stato inviato via telnet (dove rimane l'ip del mittente anche se l'indirizzo è fake [da fakemail = falsa e-mail])
Secondo , se il lamer avesse utilizzato un tool su un sito internet , non ti apparira' sicuramente l'ip della persona che ti ha inviato il virus , inquanto , avra' sicuramente navigato la pagina contenente il tool per inviare virus con un proxy , o addirittura con un incatenamento di proxy server.
terzo, la persona che ha commesso quest'atto , se ti avesse dato l'ip sarebbe da ricoverare di urgenza in una clinica psikiatrica(questo perche' sarebbe querelabile).

Da quanto ho soprascritto potrai dedurre che risalire all'identita' di un lamer che ti ha inviato un virus no è per nulla semplice , in quanto i dati che vedi tu nell'header sono falsi .

Anche se non ti ho portato una buona notizia spero di esserti stato utile :-)

Saluti.

[cikabooM]

>return-path mi segnala un'indirizzo di posta (xxxxxx_xxxxxxxxxx@libero.it) ... forse è questo il vero mittente ?

assolutamente no.
Questo perche' , come ti ripeto , il lamer non ti avra' di sikuro inviato il virus dal suo vero account .
Quindi , il fatto che possa apparire il suo vero ind e-mail è totalmente fuori discussione.

Saluti.

[Fra]

Le tue informazioni sono utili.
Ma non credo che tutti i lamer, o presunti tali, siano così furbi da nascondere il proprio ip. Voglio dire ... oggi con le informazioni che si trovano in rete chiunque è in grado di inviare un'email contenente un virus .... ma non tutti prendono le giuste precauzioni.
Quindi secondo te è inutile, a priori, provare a rintracciare il mittente di fake-mail?

[cikabooM]

Originariamente inviato da Fra
Le tue informazioni sono utili.
Ma non credo che tutti i lamer, o presunti tali, siano così furbi da nascondere il proprio ip. Voglio dire ... oggi con le informazioni che si trovano in rete chiunque è in grado di inviare un'email contenente un virus .... ma non tutti prendono le giuste precauzioni.
Quindi secondo te è inutile, a priori, provare a rintracciare il mittente di fake-mail?

Quello che hai detto è anche esatto.
Magari molte persone che inviano virus sanno appena cosa sia un proxy, o un concatenamento di proxy , o cose simili, ma magari le info necessarie le trovano gia' scritte sulla pagina internet che usano per lamerare :-).
Molte volte la' mi sembra che si trovi gia' scritto :"per maggiore sicurezza naviga con questo proxy [mettendoti a disposizione un tool proxy]la presente pagina ecc.....)"

>secondo te è inutile, a priori, provare a rintracciare il mittente di fake-mail

ma nooo , non è ke lo escludo a priori , ma reputo comunque questo una cosa che non serve al 99% dei casi :-(
Comunque , tu prova a fare un ripe whis db e un tracer route dell'ip ke t'appare e posta i risultati .
Poi se vedra' :-)

Saluti.

[Al è qui]

Ricordo che quasi tutti i virus ormai utilizzano la mail per propagarsi all'insaputa delle vittime. E' probabile che anche in questo caso il vero mittente non esista. I worm ultimi utilizzano mittenti e destinatari in modo casuale e del tutto diversi dai reali.

Che una persona invii volontariamente un virus è una cosa poco probabile.

[cikabooM]

>Ricordo che quasi tutti i virus ormai utilizzano la mail per propagarsi all'insaputa delle vittime. E' probabile che anche in questo caso il vero mittente non esista. I worm ultimi utilizzano mittenti e destinatari in modo casuale e del tutto diversi dai reali.

Ragionissima al .
Come infatti ho gia' detto a fra , o per un motivo o per un altro è molto improbabile riuscire a risalire al lamer che ha inviato un virus .

>Che una persona invii volontariamente un virus è una cosa poco probabile

nella maggior parte dei casi hai ragione tu , ma molte volte , quando una persona viene "presa di mira" , i lamer cercano in tutti i modi di inviargli virus , tropjan rat o di sfruttare vulnerabilita' tipo il netbios con microsoft oppure ancora i demoni di servizio specialmente con linux, e percio' , in questo caso una o piu' persone va a inviare un virus ad un'altra :-)

Saluti.

[Al è qui]

Originariamente inviato da cikabooM

Ragionissima al .
Come infatti ho gia' detto a fra , o per un motivo o per un altro è molto improbabile riuscire a risalire al lamer che ha inviato un virus .

...

nella maggior parte dei casi hai ragione tu , ma molte volte , quando una persona viene "presa di mira" , i lamer cercano in tutti i modi di inviargli virus , tropjan rat o di sfruttare vulnerabilita' tipo il netbios con microsoft oppure ancora i demoni di servizio specialmente con linux, e percio' , in questo caso una o piu' persone va a inviare un virus ad un'altra :-)

Saluti.

Mi dai ragione ma affermi il contrario. Se è un virus non è un lamer.

...

Bè certo se uno ha qualche nemico è chiaro che possono tentare anche quello, ma non penso. Comunque è facile discriminare se una mail è da virus o da attacker. Per quanto riguarda linux è ancora più inefficace e difficile. I virus neanche a parlarne, i demoni di servizio hanno un comportamento molto diverso, su workstation, dai server.

[Lancill]

bè, forse se Fra ci dicesse qual è il virus che gli hanno spedito forse si risolve qualche "arcano mistero" in più

Dal subject mi sembra sia il Klez.H, ma non sono sicurissimo... nel caso fosse klez, bè il mittente, come diceva AL, viene scelto in maniera casuale tra gli indirizzi della rubrica della macchina infettata.

[Fra]

Purtroppo non mi sono scritto il nome del virus ...

Ma dopo aver fatto una scansione (dopo aver aggiornato l'antivirus) ho trovato due virus ... uno era KLEZ.h (una sua variante).

Cmq mi sono posto il problema di rintracciare il vero mittente perchè ultimamente ricevo anche 2-3 e-mail la settimana contenenti virus (tutto normale ?).