netsky virus

[imitatio]

netsky virus

אני משתמש בשרת EXCHGE 2000 על WINDOWS 2000 SERVER. על שרת זה מותקן גם norton AVF (antivirus+filtering) למרות שהמערכת מדווחת שאין וירוסים, משתמשים בחברה מקבלים וירוסים כמו "your document, your letter וכו,,,) שנוצרים ע"י netsky לגירסותיו. על כל הודעה כזו, נכנסת הודעה מטעם שרת אנטיוירוס, שאומר שהוא מצא וירוס, אבל ההודעה המקורית ממשיכה להגיע. נוצר מצב בו על כל הודעת וירוס, נכנסות 2 הודעות: המקורית וההודעה של השרת. תכפילו בעשות כאלו ביום, וקיבלתם כאב ראש. ואם זה לא מספיק, אני מקבל הודעות מכל מיני שרתי AV בעולם שאומרים לי ששלחתי להם וירוס (באותו פורמט ששלחו לי). מיותר לציין שלא שלחתי אלא הוירוס משתמש בכתובת המייל שלי. יש תרופה?

 

[asciikiller]

פתרון חלקי - מי ייתן וכולם יישמו

נתחיל מכאב הראש של המשתמשים שלך, יש לך אפשרות בתוכנת האנטי וירוס לבטל את הalert שנשלח ליוזר, בכך חסכת את המייל השני. החלק השני, כשכל מנהלי הרשת בעולם יבינו סוף סוף שרוב הוירוסים בעולם מגיעים מspoffed email addresses, יש סיכוי שהתעבורה העולמית תסתם רק מוירוסים, בלי הreply משרתים סובלים. צירפתי בסוף לינק מעניין בנושא. והסיום, אולי יום אחד יבינו שם בחברות האנטי וירוס למעלה שבימינו רוב הוירוסים כותבים את כל ההודעה ולא נשלחים כמצורפים להודעה אוטנטית ולכן מן הראוי היה למחוק אותם ישר עם הגילוי (או לדחוף לקווראנטין - בידוד) ולא להחליף את הקובץ בטקסט. סה"כ די נמאס מיוזרים שמיללים שהמיילבוקס שלהם מפוצץ בהודעות מוזרות.

 

[imitatio]

תגובה

תודה על התגובה. אצלי הבעיה נובעת (כנראה) גם מהמוצר עצמו: הרי מה קורה... מגיעה הודעה עם וירוס. נורטון במצב זה מתבקש (ע"פ הPOLICY שבניתי לו) למחוק את ההודעה. פשוט לא? מה הוא עושה בפועל? שולח לממילבוקס את ההודעה שהכילה את הוירוס, שולח בטובו הודעה מטעמו בו הוא מספר לי איזה וירוס הוא גילה, ומה הוא היה אמור לעשות איתו (למחוק אותו). במילים אחרות- הוא פשוט לא מבצע את הPOLICY. דיברתי עם SYMANTEC באירלנד וסיפרתי על הבעיה. הם אומרים שאכן, לפפעמים לנורטון יש בעיה לעבוד מול EXCHNAGE. למה? אאוטלוק משתמש ב-VSAPI 2.0 , דבר שמגביל את היכולת של נורטון לעשות את עבודתו. הם הציעו לי לשדרג את הEXCHANGE ל2003 ולשדרג את נורטון לכלי שנקרא SMSMSE4 (symanetc mail security for Exchange) אמרתי: וזה יעזור? אמרו :זה ישפר. אולי צריך לבחון את TREND MICRO השאלה שלי היא כזו, מכל הבאלאגן הזה, למה אני שולח מייל זבל (הרי שרתים מהעולם באים אלי בטענות )? נורטון מראה לי שהרשת שלי נקייה, אז איך אני מצטרף למאמץ העולמי ולפחות מונע את שליחת הדואר בשמי?

 

[asciikiller]

לא קראת את הלינק המצורף?

הסיבה שאתה מקבל מיילים כאלו היא מאוד פשוטה ולא קשורה אליך בכלל. ניקח שלוש כתובות מייל: [email protected] [email protected] [email protected] נניח והמחשב שבו מוגדר קליינט מייל שמשתמש ב[email protected] נדבק בוירוס. נניח שבספר הכתובות שלו יש את שתי כתובות המייל האחרות. הווירוס שולח את הווירוס ל[email protected] כשהsource mail address היא [email protected]. מנהל הרשת של a.com הוא מנהל רשת סביר ולכן יש אנטי וירוס מעודכן שרץ על שרת הדואר שלו ותופס את הוירוס. מאחר והוא לא השקיע בעניין יותר מדי מחשבה הוא השאיר את הגדרת ברירת המחדל ששולחת הודעה חזרה שהקבלה הודעה שמכילה וירוס. מאחר ומקור ההודעה מופיע כ[email protected] ההודעה נשלחת אליו. כמובן שגם מנהל הרשת בc.com הוא בחור אחראי עם אנטי וירוס ולכן הוא לא מבין מה a.com רוצה ומעלה הודעה לפורום. מאחר והאינטרנט מלא במנהלי רשת בדמותו של a.com, כולנו מקבלים מבול של הודעות זבל כאלו, וכך תומכים מנהלי רשת לא מיומנים במאבקם (הצודק?) של כותבי הוירוסים.