Hvordan finder jeg afsender/den smittede?

højer klik på e-mailen. tilføj afsender i adresse kartotek. og send din besked..

Du kan ikke en gang være sikker på at den adresse der står i headeren er den den oprindelig kommer fra! - så jeg vil mene, uden dog at være hundrede procent sikker, at det ikke er lige til at finde! - men ellers send en mail til alle adresse du har liggende og gør der igennem opmærksom på problemet!

kop: Hehe, nej desværre. Så let er det desværre ikke.

De afsendes fra fx. "postmaster@fupA.post.tele.dk" eller "james@<mit domain>" eller "admin@<mit domain>". Dvs. alle mulige konti der ikke eksistere...

som regel ligger den under Return-Path: dog er det ikke 100% sikkert

mc_goblen: Det vil jeg nødig... Der ligger næsten 200 kontakter... Afsender må være en der har mig i sin addresse bog. Sandsynligheden for at jeg har vedkommende i min er selvfølgelig høj men ikke 100%. Problemet er ikke alvorlig nok til at jeg vil bryde alm. netikette...

/cdc: Desværre er den også forkert. Her er lige en header til fri misbrug :-)

Microsoft Mail Internet Headers Version 2.0
Received: from <intern mailscanner> by <intern mailserver> with Microsoft SMTPSVC(5.0.2195.6713);
    Mon, 19 Jan 2004 04:41:05 +0100
Received: from 195.41.53.68 by <intern mailscanner> (InterScan E-Mail VirusWall NT); Mon, 19 Jan 2004 04:41:04 +0100
Received: from localhost (unknown [61.11.32.86])
    by fupA.post.tele.dk (Postfix) with SMTP id D41D1C08F
    for <min e-mail>; Mon, 19 Jan 2004 04:40:26 +0100 (CET)
From: admin@<mit domain>
To: <min e-mail>
Reply-To: admin@<mit domain>
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account                        fapfrfwr
MIME-Version: 1.0
Message-Id: <20040119034026.D41D1C08F@fupA.post.tele.dk>
Date: Mon, 19 Jan 2004 04:40:26 +0100 (CET)
Content-Type: multipart/mixed; boundary="----------2C25037E00047FE"
Return-Path: admin@<mit domain>
X-OriginalArrivalTime: 19 Jan 2004 03:41:05.0457 (UTC) FILETIME=[11359A10:01C3DE3E]
<info om attachments slettet>

195.41.53.68 = fupA.post.tele.dk
61.11.32.86 = ? en traceroute siger dog bl.a. "...singtel.com" der er et stort teleselskab i Asien (Singapore). Men jeg tror da ikke jeg kender nogen i Singapore???

synes du skal prøve at skrive til det firma der ejer 61.11.32.86 og fortælle dem om problemet.

Jeg har haft nøjagtig samme problem med W32.SWEN. Jeg fandt så ud af, at mails blev sendt til en falsk mail-adresse, jeg har opgivet i nyhedsgrupper. Jeg er ret sikker på, at ingen har tilføjet den adresse til deres adressekartotek, da den for det første er falsk, og jeg har kun brugt den i ng's i et par uger.

Men hvem "ejer" det IP nummer? Hvordan finder man ud af det? Jeg har bare taget en tracert og Singtel var det sidste navn den kunne resolve..

I det her tilfelde er det umulig dat ormen har sendt sig selv udfra en tilfeldig adresse i vedkommendes adressekartote.
Den kan fise rundt på nettet, og smittet mange, men som det ser ud her skal du igang med det store detektiv arbejde, og i samarbejde med din udbyder osv. og det gidder de ikke så det er bare at glemme den

Vil det sige at man ikke engang kan spore den SMTP server den er sendt fra? Surt...

den færste er vel dig: http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=195.41.53.68&do_search=Search

den anden:
http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=61.11.32.86&do_search=Search

Det skal nok også nævnes, at en del vira efterhånden videresender sig til andet end dem der står i adressekartoteket. Det er også blevet populært at gennembladre de lokalt cachede websider for email-adresser, og så sende til dem. Det er nok det riversen har været udsat for. Altså en person der har været på samme nyhedsgruppe, læst dit indlæg, og da siden stadig ligger cachet lokalt hos en der er inficeret, bliver du et af ofrene fra hans/hendes maskine. Altså er der slet ingen garanti for at den pågældende virus kommer fra en man kender. :-(

Jeg har tre e-mail adresser. En hotmail som bruges i flæng og kun simpel skjulning i nyhedsgrupper samt til registrering på diverse sider. Min næste addresse er lidt mere privat da den kun bruges til venner og bekendte samt nyhedsmails fra "troværdige" medier. Til sidst har jeg min firma e-mail som jeg forsøger at holde så skjult så muligt. Jeg har ALDRIG fået spam på den, men jeg er altså begyndt at få disse virus e-mails. Jeg er overbevist om at det må være fra en jeg kender...

Desuden mener jeg at TDC filtrere alle e-mails fra klez familien fra. Er der noget om det? I givet fald må jeg modtage den fra en bruger på vores LAN! Er der en måde jeg kan tjekke det? (Ja, alle på domainet skal have anti-virus med automatisk opdatering, men det må jo så mangle et sted...)

Lukker