Al parecer se estan enviando automaticamente email con virus

[Jorge Luis]

Hola a todos

Al parecer se estan enviando automaticamente desde mi cuenta de correo de hotmail mensajes de correo electronico con archivos adjuntos infectados con virus, ya que he recibido en mi cuenta varios mensajes de Postmaster "System Anti-Virus Administrator <postmaster@canalrcn.com>" en donde me informan este suceso, sin mebargo jamas he enviado estos mensajes y mucho menos estos archivos adjuntos. He explorado con Norton Antivirus el cual tengo actualizado y al dia y este no ha detectado ningun virus o tro0yano. Para ampliar la informacion que expongo ahi les dejo un ejemplo de los mensajes que he estado recibiendo, los cuales ultimamente han sido mas de seis (6) y de diferentes postmaster (administradores de servidor).

El ejemplo:

De: System Anti-Virus Administrator <postmaster@canalrcn.com>

Enviado el: Friday, April 09, 2004 10:27:55 AM

Para: georglu@hotmail.com

Asunto: problem found in sent message "Mail Delivery (failure editorinternet@canalrcn.com)"



Attention: georglu@hotmail.com





A problem was found in an Email message you sent.

This Email scanner intercepted it and stopped the entire message

reaching its destination.



The problem was reported to be:



Worm.SomeFool.P





Please contact your IT support personnel with any queries regarding this

policy.





Your message was sent with the following envelope:



MAIL FROM: georglu@hotmail.com

RCPT TO: editorinternet@canalrcn.com



... and with the following headers:



---

MAILFROM: georglu@hotmail.com

Received: from tnt?pool?11984-184.etb.net.co (HELO canalrcn.com)

(200.119.84.184)

by canalrcn.com with SMTP; 9 Apr 2004 15:27:08 -0000

From: georglu@hotmail.com

To: editorinternet@canalrcn.com

Subject: Mail Delivery (failure editorinternet@canalrcn.com)

Date: Fri, 9 Apr 2004 10:27:02 -0500

MIME-Version: 1.0

Content-Type: multipart/related;

type="multipart/alternative";

boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"

X-Priority: 3

X-MSMail-Priority: Normal



NO SE EXACTAMENTE DE QUE SE TRATA POR FAVOR COLABORENME PARA DETERMINAR QUE PROBLEMA TIENE MI EQUIPO O MI CUENTA DE CORREO. ATTE JORGE LUIS COLOMBIA

[admin]

Solo piensa una cosa, por muchos virus q tengas en tu ordenador, no puedes enviar ficheros adjuntos en el nombre de hotmail, siempre y cuando no lo hagas tu expresamente

[msc hotline sat]

Aclaro la típica extrañeza de recibir mails devueltos por direccion incorrecta o por contener virus y devueltos al remitente )supuesto remitente, que no real)



Son miles las incidencias que recibimos como esta, y es debido a que los últimos virus "de moda", MyDoom, Bagle, Sober y especialmente el mas prolifico, el NetSky, falsean el remitente cuando envian mails a todas las direcciones encontradas en el ordenador, y ponen como rfemitente a una de dichas direcciones, a las que los robots, antivirus, e-plliance, y filtros de servidores de correo en general, devuelven los mails que detectan llevar fichero infectado, o incluso sin fichero anexado si en el cuerpo del mail lleva código HTML con exploit MIME, IFRAME, o similar.



Así mismo, como que muchas de las direcciones capturadas ya son obsoletas, cuando no se encuentra e destinatario Internet devuelve a "origen" el mail por DELIVERY FAILURE (fallo en la entrega), recibiendo la devolucion quien figura como remitente, aunque no lo sea realmente.



Justamente el SomeFOol que le indica uno de los mails retornados, es un alias del virus NetSky, el que con tanta profusión tienen actualmente la mayoria de usuarios con incidencias similares.



Moraleja: Un ordenador externo que tiene entre otras muchas su direccion electronica, está infectado con dicho virus y ha enviado miles de mails a todas las direcciones, habiendo usado la suya como falso remitente, por lo que aun sin estar infectado, recibirá muchos mails devueltos por direccion erronea y retornados como infectados presuntamente enviados por Vd. los cuales, justamente por figurar Vd como remitente, es quien lo los ha enviado, puesto que si estuviera Vd infectado con este virus, los estaría enviando en nombre de otro, que sería el que recibiría las broncas, sin tyener ninguna culpa, como Vd en este caso.



Es un trucio que utilizan los últimos virus para impedir que se avise al que está infectado y propagando virus, al no poderse saber quien es realmente, por poner un remitente falso.



saludos



ms, 14-04-2004

[xisca]

No paro de recibir mails devueltos a una de mis direcciones de correo, he pasado antivirus y nada de nada. ¿Qué puedo hacer?



Otra cosa, hoy he recibido un mail desde symantec a esa dirección donde recibo todos los mails devueltos. Precisamente de soport@symantec.com

por lo que lo he abierto y me decía lo siguiente:



-----Original Message-----

From: support@symantec.com [mailto:support@symantec.com]

Sent: 15 April 2004 09:22

To: .

Subject: Re: Submit a Virus Sample



The sample file you sent contains a new virus version of buppa.k. Please update your virus scanner with the attached dat file.



Best Regards,

Keria Reynolds



Por lo que he leído en internet, ese mail contagia el virus netsky, pero he mirado información y por lo visto no estoy infectada ya que explican que el virus se elimina con symantec y quitando un registro, no tengo dicho registro y symantec me ha dicho que de virus, na de na

¿sabes algo de eso?



Aquí te pego el acceso de dónde he leído q este mail contiene un virus

http://www.web-merchant.co.uk/news.asp





Saludos

Xisca

[xisca]

Es decir, entiendo q yo no estoy infectada pero quiero saber si hay alguna forma de dejar de recibir esos mails devueltos, ya que creen q la infectada soy yo, al ser un mail de empresa, es un problema.



Y sobre lo del mail que he recibido hoy sobre symantec, sólo quiero saber si sabeis algo de eso, por lo visto hay muchas webs inglesas q hacen referencia a ese mail.

[cañera]

xisca si usas hotmail(te hablo de este por que es el que yo uso) y tambien soy atacada por los mismos,bloquealos hay una opción para ello(justamente encima de la bandeja de correos dice,nuevo,eliminar

bloquear y tienes dos opciones o bloquear a los que te entran con nombre@direccion. ... o a todos los que aparezcan con @direccion. ...

tu eliges(me imagino que los demas correos tendran esa opción,pero no se como llegar a ellas)espero lo puedas resolver.

cuentanos como te fue.

[msc hotline sat]

Tal como ya hemos indicado repetidas veces, todos los NetSky se envian desde máquinas infectadas a todas las direcciones encontradas en dichas máquinas, pero el remitente de los mails es falso, escogido al azar entre las direcciones indicadas.



Cuabndo la dirección elegida como remitente es la de uno, como Vd en este caso, todas las devoluciones de los mails infectados enviados por la mñaquina infectada, tanto por detectarse virus en ellos, como por no existir el destinatario y ser devuelto por "Delivery failure" al remitente que figura en el mail, que resulta ser Vd, sin haberlo enviado, por lo indicado de que estos virus falsean el remitente.



Lo que indica nuestra cañera está muy bien para spams o mails publicitarios que se reciben del mismo remitente

o de un mismo dominio, para bloquear todos los que vengan de igual procedencia, pero lamentablemente no sirve en este caso (que mas quiisieramos), pues cada mail vendrá de diferente remitente a los que haya sido enviado por la máquina infectada, con lo que no puede saber el remitente a bloquear, por lo que deberá ser Vd la que cion ayuda del antivirus, filtre el correo entrante, como el que recibe normalmente por el cartero, del que escoge el que le interesa y la publicidad y demás lo descarta.



La picaresca de estos virus al poner como remitente una direccion falsa, además de importunar a quin no ha enviado el virus, como Vd, hace que no se pueda saber quien es el qiue realmente envía dicho virus, para poder avisarle y terminar infección de esta máquina y con ello la propagacion vírica por e-mail



Desde hace dos meses, entre el MuDoom, el Bagle, el Sober y ahora el NetSky, estamos bien servidos, pues todos utilizan este truco de falso remitente, pero el NetSky es el que más incidencias hemos tenido, y actualmente ya estamos en la variante V, que solo lo controlan hoy muy pocos antivirus. Al respecto nuestra utilidad ELINETSA v 2.9 disponible en esta web, ya lo controla y elimina.



saludos



ms, 16-04-2004

[xisca]

Sé que no tengo el virus yo, sólo quería saber si había alguna forma de dejar de recibir estos msgs o más importante aún, que no piense la gente que soy yo la que tengo el virus, veo q no hay solución para ello.



El programa para eliminar el netsky ya me lo bajé ayer, pero no tengo el virus.

He pasado varios antivirus y por lo visto sólo tengo uno que me lo encuentra únicamente el rav antivirus, el virus en cuestión es el porndialer, como no uso modem no me afecta pero me es imposible quitarlo ya que me dice que el archivo infectado esta dentro de downloaded programs del windows y ahí no tengo ningún archivo que se llame webrecomendada.dll.



En fin, eso era todo y muchas gracias a este foro que me ha sido de gran ayuda ya que al menos me he quedado tranquila al saber q yo no soy la infectada.

[msc hotline sat]

El porndialer no es un virus sino un troyano, por esto no te lo encuentran los virus, si bien algunos, como el McAfee, si se selecciona la busaqueda de aplicaciones peligrosas sí que lo detectan como lo que son.



Prueba de eliminarlo con el CWSHREDDER:



__________________________________________



Para eliminación de intrusos con páginas de inicio no restaurables, dialers, etc, puede utilizarse la utilidad encontrada por Maura63 en este foro:



http://www.softpedia.com/public/scripts/downloadhero/10-17-150/





y si hay problemas de acceso, se puede bajar en ZIP desde:



http://www.aluriasoftware.com/tools/cwshredder.zip

__________________________________________



saludos



ms, 16-04-2004