TOP80.PL

Ja dostalem maila od Martini_Martineza ale wcale nie musialo to od niego wyjsc bo w zrodle maila jest CHERRY

The email attachment details.pif within your_details.zip is infected with the W32.Sobig.E@mm virus.

Return-Path:
Received: from mx3.go2.pl (mx2.go2.pl [212.126.20.6])
   by box6.go2.pl SERVER; Sat, 28 Jun 2003 04:30:46 +0200
X-mf: first3.pl v0.6
Received: by mx3.go2.pl (Postfix)
   id BA58E448DD; Sat, 28 Jun 2003 04:30:46 +0200 (CEST)
Delivered-To: pitras@go2.pl
Received: from CHERRY (m090.tel147.petrotel.pl [81.15.147.90])
   by mx3.go2.pl (Postfix) with ESMTP id ABB1A4487D
   for ; Sat, 28 Jun 2003 04:30:31 +0200 (CEST)
From:
To:
Subject: Re: Movie
Date: Sat, 28 Jun 2003 4:30:36 +0200
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
   boundary="CSmtpMsgPart123X456_000_0003D090"
Message-Id:

Ja to samo dostalem ale od wizart'a :


Return-Path:
Received: from mx2.go2.pl (mx2.go2.pl [212.126.20.6])
   by box3.go2.pl SERVER; Sat, 28 Jun 2003 04:26:33 +0200
X-mf: first3.pl v0.5
Received: by mx2.go2.pl (Postfix)
   id 0616BF36FB; Sat, 28 Jun 2003 04:31:23 +0200 (CEST)
Delivered-To: thomasero@tlen.pl
Received: from CHERRY (m090.tel147.petrotel.pl [81.15.147.90])
   by mx2.go2.pl (Postfix) with ESMTP id EFDBAF3C6D
   for ; Sat, 28 Jun 2003 04:31:07 +0200 (CEST)
From:
To:
Subject: Re: Movie
Date: Sat, 28 Jun 2003 4:31:12 +0200
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0

ja to tez mialem,ale wcale nie otwieralem

A ja dostaję codziennie prośby od królów , książąt i innej maści władców propozycję wypompowania miliona dolarów gdzieś z okolic Kamerunu czy Zimbabwe , a co jeden post to lepszy( czyt. durniejszy od poprzedniego ) wprawdzie nie zawierają wirusów jak w wątku ale same są jak wirusy :-))))))

Pozdrawiam
Edmund Dantes

Podaję co piszą o nim na http://www.mks.com.pl

Baza wirusów - Sobig.E
26 czerwca 2003

Również znany jako: Worm.Sobig.E
Typ: robak
Długość: 82195
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Sobig.E jest kolejną wersją znanego robaka internetowego, którego działanie polega na rozsyłaniu swoich kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: [jeden z poniższych]

Re: Application
Re: Movie
Re: Movies
Re: Submitted
Re: ScRe:ensaver
Re: Documents
Re: Re: Application ref 003644
Re: Re: Document
Your application
Application.pif
Applications.pif
movie.pif
Screensaver.scr
submited.pif
new document.pif
Re: document.pif
004448554.pif
Referer.pif

Treść: See the attached file for details.

Załącznik: [jeden z poniższych]

your_details.zip (contains details.pif)
application.zip (contains application.pif)
document.zip (contains document.pif)
screensaver.zip (contains sky.world.scr)
movie.zip (contains Movie.pif)

Uwaga ! adres nadawcy wiadomości zawierającej robaka wybierany jest losowo przez robaka, podobnie jak adres odbiorcy. Zatem otrzymanie listu z robakiem nie oznacza bynajmniej, że adres znajdujący się w polu nadawcy należy do zainfekowanego użytkownika.

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku winssk32.exe oraz modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie systemu Windows. Dodatkowo robak tworzy plik pomocniczy msrrf.dat.

W kolejnym etapie swego działanie robak rozprzestrzenia się w sieci lokalnej starając się stworzyć swoje kopie na innych komputerach w następujących katalogach, jeżeli są dostępne do zapisu:


c:\\Windows\\All Users\\Start Menu\\Programs\\StartUp
c:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup

Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znalezionych w plikach z rozszerzeniami wab, dbx, htm, html, eml, txt.

Zapewniam, ze nie mam z tym wirusem NIC WSPOLNEGO! Co wiecej - w mojej poczcie wychodzacej tez nie ma nic ponad to, co wysylalem swiadomie (a z pewnoscia nie byl to wirus). Pewnie znow jakies cholerstwo sie przypaletalo nie wiadomo skad i mysli, ze uda mu sie cos za infekowac.....

a ja dostałem dzisiaj coś takiego "spam trojan viruses" ale nie odpakowałem tego i od razu poszło do kosza

a ja dostałem dzisiaj coś takiego "spam trojan viruses" ale nie odpakowałem tego i od razu poszło do kosza

Ja tez dostalem podejrzany plik *.zip. Ale NAV 2003 od razu wykrył w spakowanym archiwum wirusa i automatycznie zrobilem Shift+Delete.
Takich gówien w sieci jest masa. Najlepiej w ogole tego nie dotykac tylko od razu kasowac a jesli to prawdziwy załacznik od kogos to lepiej sie wczesniej upewnic skanujac Antywirusem lub zapytac nadawcy czy cos takiego wysylal.

Pozdrawiam
Hypnotic

W adresie nadawcy byl Wolander, ale to nie ma żadnego znaczenia - bo ten wirus samoczynnie podszywa się po losowo wybrane adresy. Szkoda,że ktoś znow próbuje mieszać .

Ja tez dostałem ten plik, ale mój PC Cillin wykrył go od razu i od razu nastapiła kasacja.

Witam wszystkich. Faktycznie do mnie dotarł też mail ( od nikogo z Was tutaj piszących, ale od osoby z tego forum), też go nie otwierałem.
A tak na marginesie robiłem modernizację kompa i dopiero od 2 dni  jestem w sieci, a post do mnie był wysłany 26.06. tegoż roku.
Ciekawi mnie Pitras data maila do Ciebie z moim userem. Dzisiaj tzn. 28.06. dopiero skonfigurowałem pocztę, a przez ostatnie 4 dni nic nie wysyłałem do nikogo.
Do mnie przyszedł zip. z treścią "Please see the attached zip file for details.".
Pozdrawiam Panowie, gdzie JEST MATRIX:)

Mnie też nie ominelo dostalem maila z tematem Re: Movie wyszlo to ze skrzynki werth@mail.uni-mainz.de.

ja dostalem to samo ale nikt z mafi mi tego nie podeslal
a tak swoja droga co jakis czas pojawia sie ten wirus na skrzynce "MOVIE" czy jakos tak  z ta trescia "Please see the attached zip file for details.". to jest niemal cykliczne co trzy miesiace

w wersji zip.
Postanowiłem sprawdzić. To cwany programik, odpala WSSK.exe na kompie, a ten łączy sie z internetem i zasysa na waszego kompa  WORM32. Na szczęście Norton AntiVirus 2003 mnie ocalił hehe.

Na poczatek lektura z strony www.mks.com.pl  (zwlaszcza uwage na koncu) :

Baza wirusów - Sobig.E
Również znany jako: Worm.Sobig.E
Typ: robak
Długość: 82195
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Sobig.E jest kolejną wersją znanego robaka internetowego, którego działanie polega na rozsyłaniu swoich kopii za pomocą poczty elektronicznej.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:


Temat: [jeden z poniższych]
Re: Application
Re: Movie
Re: Movies
Re: Submitted
Re: ScRe:ensaver
Re: Documents
Re: Re: Application ref 003644
Re: Re: Document
Your application
Application.pif
Applications.pif
movie.pif
Screensaver.scr
submited.pif
new document.pif
Re: document.pif
004448554.pif
Referer.pif

Treść: See the attached file for details.

Załącznik: [jeden z poniższych]

your_details.zip (contains details.pif)
application.zip (contains application.pif)
document.zip (contains document.pif)
screensaver.zip (contains sky.world.scr)
movie.zip (contains Movie.pif)

Uwaga ! adres nadawcy wiadomości zawierającej robaka wybierany jest losowo przez robaka, podobnie jak adres odbiorcy. Zatem otrzymanie listu z robakiem nie oznacza bynajmniej, że adres znajdujący się w polu nadawcy należy do zainfekowanego użytkownika.

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku winssk32.exe oraz modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie systemu Windows. Dodatkowo robak tworzy plik pomocniczy msrrf.dat.

W kolejnym etapie swego działanie robak rozprzestrzenia się w sieci lokalnej starając się stworzyć swoje kopie na innych komputerach w następujących katalogach, jeżeli są dostępne do zapisu:


c:\\Windows\\All Users\\Start Menu\\Programs\\StartUp
c:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup
Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znalezionych w plikach z rozszerzeniami wab, dbx, htm, html, eml, txt.



Po drugie: uzywam The Bat-a do poczty, ktory ma domyslnie wlaczone blokowanie wszystkich wykonywalnych plikow

Po trzecie: jesli otrzymales z data nadania: piatek wieczorem, sobota lub dzis rano - to zaprawde powiadam;), ze w tym czasie bylem w okolicach, z ktorych Adam uciekl i sila rzeczy bylem offline (do dziewczyny sie nie jezdzi po to, zeby i u niej w inecie grzebac ????)

Poza tym - patrzac na opis dzialania to piszac, ze dostales ode mnie nie pokazujac dowodu w postaci naglowka maila.... przeciez to mogl byc kazdy, kto ma mnie w ksiazce adresowej ....

Tak miedzy nami ostatnio otrzymalem tez ten list - nie uruchomil sie ten pif (blokady + mks_vir ;)) oto jego naglowek + tresc:

Received: from lisek.if.uj.edu.pl ([149.156.64.67]:41989 "EHLO LISEK")
       by ps2.test.onet.pl with ESMTP id ;
       Thu, 26 Jun 2003 13:36:16 +0200
From:  
To:    
Subject: Re: Movie
Date:   Thu, 26 Jun 2003 13:36:17 +0200
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
       boundary="CSmtpMsgPart123X456_000_10A8ACF9"
Message-Id:
X-OrigFrom: Sophie.Laloux@cec.eu.int
Status:  O


Please see the attached zip file for details.


Czy aby na pewno nadawca jest ten z pola FROM ???? - wystarczy spojrzec jaki adres serwera SMTP i porownac z dostepnymi mailami

Nikogo nie obwiniam, ale z hukiem bije sie w piers, ze nie odpalilem tego zalacznika

Pozdrawiam

List jeszcze jeden raz:

Received: from lisek.if.uj.edu.pl ([149.156.64.67]:41989 "EHLO LISEK")
       by ps2.test.onet.pl with ESMTP id <S855591AbTFZLgQ>;
       Thu, 26 Jun 2003 13:36:16 +0200
From:   <Sophie.Laloux@cec.eu.int>
To:     <kon_kord@poczta.onet.pl>
Subject: Re: Movie
Date:   Thu, 26 Jun 2003 13:36:17 +0200
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
       boundary="CSmtpMsgPart123X456_000_10A8ACF9"
Message-Id: <20030626113627Z855591-402+207840@ps2.test.onet.pl>
X-OrigFrom: Sophie.Laloux@cec.eu.int
Status:  O


Please see the attached zip file for details.

Wirus losowo dobiera sobie osoba jaka wysyla maila wiec prawdziwym nadawca bedzie pewni ktos inny....

nirarbel@yifan.net z tego adresu ktos probowal mi przeslac wirusa

Dawno mnie tu nie było więc jak już jestem to korzystam z okazji i pozdrawiam wszystkich italo fanatyków!

Dawno mnie tu nie było więc jak już jestem to korzystam z okazji i pozdrawiam wszystkich italo fanatyków!

poprostu w nagłówku Od: był twój adres email
jako że nie miałem twego adresu w książce , więc wszedłem na forum i w users porównałem adresy. To że nie musiał wyjść bezpośrednio od ciebie to wiem, wystarczy że zagnieździ się u kogoś kto ma w książce wpisany twój adres.Pewnie to ktoś z naszego grona bo wirus krąży po naszej mafii :))))))))))))))))).

Ja dostałem dzisiaj takie 2 maile jak ty, Pitras. Jednego spod adresu topsolo@wp.pl, co wskazywałoby na Pawła z Top One, natomiast drugi spod adresu nbm@FreeBSD.org. Niestety, ten niby od Pawła uruchomiłem. No i teraz skanuję MKSem, który właśnie przed momentem wykrył mi plik o którym wspomniał Konkord - winssk32.exe. Całe szczęście że gnida nie jest groźna, ale strach jednak pozostał

Ja dostałem takich maili z tym robactwem 3 sztuki ale za każdym razem norton oznajmił mi żebym nie otwierał załacznika, także proponuje panowie zaistalujcie Sobie Norton Antyvirus (ja mam 2002) i bedzie po kłopocie :-)
pozdr.