Autor Tema: ¿que pensais de esto?  (Leído 5230 veces)

Desconectado w32.spybot

  • Member
  • ***
  • Mensajes: 478
¿que pensais de esto?
« en: 08 de Octubre de 2003, 01:24:41 am »
Esta tarde me han llegado estos mails, pongo una captura




El primero dice esto:

  A L E R T A   D E   V I R U S

Nuestro antivirus encontro

I-Worm.Klez.h\r

virus en su correo a los siguientes destinatarios:

-> [email protected]

el envio del correo se ha detenido!

Por favor chequee su sistema por virus,
o pregunte a su administrador que es lo que debe hacer


Para su informacion le adjuntamos las cabeceras de su correo:

From
------------------------- BEGIN HEADERS -----------------------------
Received: from eui4smtp.euskaltel.es
by mx04.in.mad.eresmas.com with esmtp (Exim 4.20)
id 1A6wFp-0005TB-V3
for [email protected]; Tue, 07 Oct 2003 20:08:14 +0200
Received: from Llrket () by eui4smtp.euskaltel.es
          (Netscape Messaging Server 4.15) with SMTP id HMEEAB00.153 for
          <[email protected]>; Tue, 7 Oct 2003 19:37:26 +0200
From: chum_chum1x_pa <[email protected]>
To: [email protected]
Subject: Background
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=X175Xe020jj8c5N2rH0uH1uK8
Message-Id: <[email protected]>
Date: Tue, 07 Oct 2003 20:08:14 +0200
X-eresmasldapuser: mail="[email protected]" mailMessageStore="/mbx/p/p05/w09/29/93/a_sjc-wanadoo.es/Maildir/" mailHost="mail.eresmas.com" mailQuota="50M" dn="[email protected],ou=wanadoo.es,o=correo"
-------------------------- END HEADERS ------------------------------

El tercero dice algo muy parecido o casi igual, el segundo parece ser de mi proveedor, no estoy seguro, ya veis por el tamaño que si es un virus y ademas el norton lo ha pillado y es el mismo del que hablan los otros dos mails, creo que si seria mi proveedor me lo manda por no haber podido localizar el mail del destinatario.
Después de esto me he puesto manos a la obra y he pasado el antivirus y no ha detectado nada en el pc, tampoco el ad-ware ni el spybot destroy.
A las direcciones de mails esas ni las conozco ni estan en mi libreta de direcciones. sobra decir que yo no los he mandado
He pensado en dos posibilidades, que los mails 1 y 3 sean falsos y al confiarme abriria el 2 que si es un virus.
Tambien en que alguien haya entrado en mi cuenta de correo y la haya usado para mandarlos, esta cuenta es la que da el proveedor de internet, no es de hotmail ni nada de eso, acabo de estar en esa cuenta y he modificado su pass, osea que si hubieran entrado no estaba cambiada la contraseña.
Me gustaria leer vuestra opinión y que me digais que si podria ser que alguien haya usado mi cuenta para mandar esos virus que deberia hacer, si consigo saber que es asi deberia ponerme en contacto con el proveedor de mi cuenta para preguntar si se han mandado mails desde otro pc que no sea este, tengo las ip desde donde se han mandado por si las tendría que daros para saber si son autenticos esos mensaje s o ha sido para colarme el virus

Perdonar que sea tan largo pero queria explicarlo bien y todo lo que habia hecho para dar las mayores pistas de que puede ser.



EDITADO

tampoco tengo ningun proceso raro abierto

Desconectado w32.spybot

  • Member
  • ***
  • Mensajes: 478
¿que pensais de esto?
« Respuesta #1 en: 08 de Octubre de 2003, 01:55:01 am »
buscando informacion de este virus he leido esto:

Al ser ejecutado realizará copias de si mismo en el direcorio Windows\System con el nombre WINK*.EXE, donde el * será una combinación aleatoria de caracteres. Después creará una entrada en el registro para ejecutarse automáticamente con cada reinicio:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
Wink*, "wink*.exe"

yo esa entrada en el registro no la tengo y buscando ese *.exe tampoco, o sea que desde mi pc no ha salido.

o me la querian liar :evil: o han entrado en la cuenta, personalmente lo dudo pero espero a ver lo que decis  ¿como puedo comprobar los dos mails de los  webmaster que son autenticos?

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15194
    • http://www.daboblog.com
¿que pensais de esto?
« Respuesta #2 en: 08 de Octubre de 2003, 03:23:32 am »
amigo
esos mensajes son tipicos de virus de autoreenvio con ese tipo de cabeceras los lees seguros, tranquilo por ese klez, a mi cuando estoy en Windows me quieren entrar a saco y el Norton se pone a currar, no creo que tengas el virus dentro, de todas formas date una vuelta por el Panda active scan o vete a www.bitdefender.com.es y bajate el parche para ese virus

a me cuentas ok???
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado w32.spybot

  • Member
  • ***
  • Mensajes: 478
¿que pensais de esto?
« Respuesta #3 en: 08 de Octubre de 2003, 03:30:14 am »
voy a pasarle el panda online pero ya le pase el norton y no detecto nada.
o sea que los dos mails que no llevaban virus que pone que yo he enviado eso que seria? para picar en el otro?
es que lo que me ha mosqueado es que  me lleguen esos diciendo que yo los he enviado

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15194
    • http://www.daboblog.com
¿que pensais de esto?
« Respuesta #4 en: 08 de Octubre de 2003, 03:40:40 am »
efectivamente, es un mensaje con texto "autorealizado" por un virus, estate tranquilo que por lo que veo tu antivirus lo ha pillado, por cierto.. veo que has borrado las IPs  :D

se nota el cambio no ??


junior team  :!:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado w32.spybot

  • Member
  • ***
  • Mensajes: 478
¿que pensais de esto?
« Respuesta #5 en: 08 de Octubre de 2003, 03:56:04 am »
no las he borrado, las tengo guardadas por si hacian falta para asegurarnos si eran verdaderos o falsos los mensajes. pero al ser un virus que se autoenvia igual ha llegado desde un pc que el dueño no tiene ni idea de que lo haya mandado, o sea que no lo ha hecho intencionadamente.


espera.....quieres decir que las he borrado en el post?  si, asi ha sido, la mia y desde donde ha llegado :D

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15194
    • http://www.daboblog.com
¿que pensais de esto?
« Respuesta #6 en: 08 de Octubre de 2003, 03:57:58 am »
me referia al post, se nota jeje, estamos en otra onda  :D
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado w32.spybot

  • Member
  • ***
  • Mensajes: 478
¿que pensais de esto?
« Respuesta #7 en: 08 de Octubre de 2003, 05:28:17 am »
bueno , he pasado el norton on line y el bit defender, no encuentran nada,esta todo
lo que me mosqueo fue como ya he dicho los dos mails sin virus y diciendo que yo habia mandado, como ya ha explicado dabo lo hace el mismo virus, nunca lo habia visto eso.

ah, el panda no lo he podido pasar, me da un problema al cargar el activex , no se por que puede ser por que nunca me habia pasado, igual la conexion hoy esta algo mal

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15194
    • http://www.daboblog.com
¿que pensais de esto?
« Respuesta #8 en: 08 de Octubre de 2003, 05:30:57 am »
pues si, coje el mail del destinatario y genera ese tipo de "asunto", ojito amigos :!:  puede parecer algo confiable o venir del mio si me infecto, desactiva la vista previa amigo y crea una primera entrada en la libreta con nombre 0000 por ejemplo y mail 00000 asi en caso de reenvio por infeccion al fallar el primer envio los demas no se enviaran
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado w32.spybot

  • Member
  • ***
  • Mensajes: 478
¿que pensais de esto?
« Respuesta #9 en: 08 de Octubre de 2003, 05:36:48 am »
gracias dabo por los consejos, eso de 0000 en la libreta de direcciones ya lo tenia puesto y la vista previa tambien desactivada, tambien en seguridad la casilla no permitir que se abran o guarden archivos adjuntos tambien la tengo marcada

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License