Karst B. Smit <KarstB.Smit@webspeed.dk> wrote:
> Er der nogen som kan fortælle mig hvad der forgår? Er det spam? Kan jeg
> gøre noget ved det?
Sakset fra
<
http://sikkerhed.tdconline.dk/artikel.php?dogtag=sikkerhed-arkiv&id=595
10>:
-----------------------------------------
Pas på falske mails
Netsky benytter nye tricks for at få dig til at installere virus. Lad
dig ikke lokke, selvom mailen ser ægte ud.
Af Erik Jon Sloth // 2004-03-23
Orme-krigen gløder endnu, og det skorter ikke på opfindsomhed hos
producenterne.
Der er dog ikke meget nytænkning i måden ormene spredes på. Det foregår
fortsat ved at narre uforsigtige brugere til at åbne vedhæftede filer -
men den seneste variant af Netsky lader som om den er en mail, du selv
har sendt, og skjuler den vedhæftede virus bag et tilforladeligt link.
Vær på vagt
Det bedste råd er fortsat, at du er yderst påpasselig med at åbne
vedhæftede filer. Du skal også være opmærksom hvis din computer
pludselig spørger om du vil åbne filen eller gemme den på computeren.
Lad for alt i verden være med at "åbne" den, og "gem" den kun hvis du er
helt sikker på at der ikke er tale om en virus.
Hvis du modtager en mail og er i tvivl, kan du altid kontakte TDC Online
via punktet "kontakt" som du finder nederst på alle sider på
tdconline.dk.
Eksempel:
En bruger modtog denne virus-mail:
From: freeagin_1@hotmail.com
To: bruger <bruger@mail.dk>
Subject: Mail Delivery (failure bruger@mail.dk)
If the message will not displayed automatically,
follow the link to read the delivered message.
Received message is available at:
www.mail.dk/inbox/bruger/read.php?sessionid-15229
Her forsøger ormen at få dig til at tro, at det er en fejlbesked, du får
tilbage på en mail, du selv tidligere har sendt. Linket i bunden ligner
et link til en hjemmeside, men inde bagved er det i virkeligheden den
vedhæftede orme-fil.
Indholdet i mailen er naturligvis det pure opspind, og computeren
inficeres hvis den vedhæftede fil aktiveres.
Orme-mailens opbygning
Mails med Netsky.P kan lade som om de kommer fra en tilfældig bruger,
for eksempel en af dine mail-kontakter.
Emnet på mailen kan f.eks. være:
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
Mail Delivery (failure <din adresse>)
Indholdet i mailen er de sædvanlige generelle tekster, som skal få dig
til at tro at mailen er fra din bedste ven - eksempler er
"I found this document about you. "
"I have attached it to this mail. "
"Waiting for authentification. "
"Please confirm! "
"Protected message is available "
"Do not visit this illegal websites! "
"Here is my phone number. "
"I cannot believe that. "
"Your file is attached. "
"For further details see that attachment. "
"Congratulations!, your best friend. "
"Greetings from france, your friend. "
"If the message will not displayed automatically, follow the link to
read the delivered message.
Received message is available at:
(falskt link. ) "
Den vedhæftede fil vil normalt have efternavnet ZIP. Selve filnavnet er
et af følgende:
websites(tilfældigt tal).zip
document(tilfældigt tal).zip
your_document.zip
part(tilfældigt tal).zip
message.doc.scr
message.zip
document.zip
old_photos.txt.pif
postcard_.(tilfældigt tal)..zip
details(tilfældigt tal).zip
Hvad gør Netsky.P
Når den vedhæftede fil bliver startet, emailer ormen sig selv til
adresser, som den stjæler fra den inficerede computer. Den forandrer
fra-feltet til en af adresserne.
Ormen spreder sig også via fildelingstjenester, som f.eks. Kazaa,
Bearshare, eDonkey med videre, ved at lægge sig i de mapper på
computeren, som benyttes til fildeling. Her kalder den sig selv
spændende navne som for eksempel:
"Adobe Photoshop 10 crack.exe"
"Britney Spears and Eminem porn.jpg.exe"
"Clone DVD 6.exe"
"Harry Potter 1-6 book.txt.exe"
"Matrix.mpg.exe"
"Microsoft Office 2003 Crack best.exe"
"MS Service Pack 6.exe"
"Norton Antivirus 2005 beta.exe"
samt diverse andre opfindsomme navne, som skal lokke brugere til at
hente den.
-----------------------------------------------
/Preben
--
http://www.ravnekrogen.dk/gallery/salg
preben AT ravnekrogen.dk . ICQ 138052172 . AIM prebenbodker