ATTENZIONE VIRUS

[Costas]

Qualche idiota si diverte ad inviare email spacciandosi per me, alle quali è
allegato un file EXE che cerca di reindirizzare la connesione ad internet.
Questo è il testo e l'header del messagio arrivato ad uno dei tanti:

**************************************************************
Return-Path: <Costantin...@torreguelfa.it>
Received: from smtp4.libero.it (193.70.192.54) by ims8a.libero.it (7.0.012)
id 3EDE7FD70001EE5B; Thu, 5 Jun 2003 12:29:00 +0200
Received: from alfa.fastwebnet.it (213.140.2.42) by smtp4.libero.it
(7.0.012)
id 3EBBDF1C02DE47E9; Thu, 5 Jun 2003 12:28:59 +0200
Received: from Andrea (1.4.113.40) by alfa.fastwebnet.it (6.7.016)
id 3ED29E9B0014C9A2; Thu, 5 Jun 2003 11:56:10 +0200
Date: Thu, 5 Jun 2003 11:56:10 +0200 (added by postm...@fastwebnet.it)
Message-ID: <3ED29E9B...@alfa.mail.fw> (added by
postm...@fastwebnet.it)
From: <Costantin...@torreguelfa.it>
Subject: materiale costruzione artificiali
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----------STSYMPTT5SUHEXI"

Mi sono dimenticato di dirtelo oggi, io ed Americo (l'apostolo di
frosinone) stiamo considerando l'idea di ordinare del materiale per la
costruzione degli aritficiali da una ditta canadese. E' fornitissima e
ci
si trovano delle cose impensabili in italia, visto che ho scaricato il
catalogo da internet, se pu

***********************************************************************

Il file allegato e' "LYFY.EXE".
E' un programmino che agisce da server e cerca di connettersi a
Internet.

NOn so se il testo cambi da persona a persona.
Ovviamente il demente non sa che luremaking non spedisce in italia e che
americo non si è mai interessato di acquisti per autocostruzione da
spinning.
Potrebbe anche trattarsi di un virus che abbia ripescato parte del testo di
qualche vecchissima email rimasta nel computer di un malcapitato, dal quale
ha rilevato anche gli indirizzi contenuti nella rubrica, usandoli per
l'invio multiplo.

Ciao
Costas

--------------------------------
Inviato via http://usenet.libero.it

[The Old Vic]

Costas <d...@l.it> wrote in message
213Z45Z53Z130Y1...@usenet.libero.it...

> Qualche idiota si diverte ad inviare email spacciandosi per me, alle
quali è
> allegato un file EXE che cerca di reindirizzare la connesione ad
internet.
> Questo è il testo e l'header del messagio arrivato ad uno dei tanti:

(gigacut)

La stessa merda sta arrivando da decine di persone, non solo da te.
Quindi escluderei il dolo, probabilmente sarà qualche trojan o qualche
worm che utilizza la rubrica altrui.........

Vic AdS

[Costas]

Il 05 Giu 2003, 17:46, "The Old Vic" <theo...@libero.it> ha scritto:
>
>
> La stessa merda sta arrivando da decine di persone, non solo da te.
> Quindi escluderei il dolo, probabilmente sarà qualche trojan o qualche
> worm che utilizza la rubrica altrui.........

Avevo scritto l'email prima di leggere che la cosa era capitata anche ad
altri.
Si tratta probabilmente di un worm.

[ActosŽ]

"Costas" <d...@l.it> ha scritto nel messaggio
news:213Z45Z53Z130Y1...@usenet.libero.it...

> Qualche idiota si diverte ad inviare email spacciandosi per me, alle quali
è
> allegato un file EXE che cerca di reindirizzare la connesione ad internet.
> Questo è il testo e l'header del messagio arrivato ad uno dei tanti:
>

### io sono uno di quelli e stavo giusto per mandarti una mail, ma tu hai
già chiarito.

>
>
> Il file allegato e' "LYFY.EXE".
> E' un programmino che agisce da server e cerca di connettersi a
> Internet.

### Il mio era "a.pps.exe" subito isolato da Norton.

> NOn so se il testo cambi da persona a persona.

### Il mio era tale e quale

> Ovviamente il demente non sa che luremaking non spedisce in italia e che
> americo non si è mai interessato di acquisti per autocostruzione da
> spinning.
> Potrebbe anche trattarsi di un virus che abbia ripescato parte del testo
di
> qualche vecchissima email rimasta nel computer di un malcapitato, dal
quale
> ha rilevato anche gli indirizzi contenuti nella rubrica, usandoli per
> l'invio multiplo.

### Si ma l'indirizzo @torreguelfa.it da dove arriva visto che il relativo
sito esiste e io stamani gli ho risposto senza avere nessun messaggio di
errore quindi la mail è arrivata a destinazione?
Sugli header mi sono permesso di fare un confronto e ho trovato questo:

**HEADER MAIL RICEVUTA**

X-Message-Info: yilqo4+6kc64AXpUCzRAW30W84h6gtv8
Received: from alfa.fastwebnet.it ([213.140.2.42]) by
mc10-f34.bay6.hotmail.com with Microsoft SMTPSVC(5.0.2195.5600);
Thu, 5 Jun 2003 02:59:16 -0700

Received: from Andrea (1.4.113.40) by alfa.fastwebnet.it (6.7.016)
id 3ED29E9B0014C9A2; Thu, 5 Jun 2003 11:56:10 +0200
Date: Thu, 5 Jun 2003 11:56:10 +0200 (added by postm...@fastwebnet.it)
Message-ID: <3ED29E9B...@alfa.mail.fw> (added by
postm...@fastwebnet.it)
From: <Costantin...@torreguelfa.it>
Subject: materiale costruzione artificiali
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----------STSYMPTT5SUHEXI"

Bcc:
Return-Path: Costantin...@torreguelfa.it
X-OriginalArrivalTime: 05 Jun 2003 09:59:16.0834 (UTC)
FILETIME=[2023F420:01C32B49]

**HEADER MSG SU IHP**

Path: uni-berlin.de!fu-berlin.de!bofh.it!tornado.fastwebnet.it!not-for-mail
From: XXXXXXXXXXXXXXXX
Newsgroups: it.hobby.pescare
Subject: Re: Un bel we di pesca
Message-ID: <3fepdvc7sde249vi9...@4ax.com>
References: <140Z164Z61Z60Y1...@usenet.libero.it>
X-Newsreader: Forte Free Agent 1.93/32.576 Italiano
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Lines: 19
Date: Tue, 03 Jun 2003 17:12:19 +0200
NNTP-Posting-Host: 1.4.113.40
X-Complaints-To: newsm...@fastweb.it
X-Trace: tornado.fastwebnet.it 1054653113 1.4.113.40 (Tue, 03 Jun 2003
17:11:53 MET DST)
NNTP-Posting-Date: Tue, 03 Jun 2003 17:11:53 MET DST
Xref: uni-berlin.de it.hobby.pescare:106793

Le XXX sul from del 2° header le ho messe io, però ci sono degli IP che
corrispondono nel Received del primo head e nel NNTP-Posting-Host del second
head.
Le mie conoscenze informatiche si fermano qui.

--
Ciao
Claudio

togli le XXX per ripondere

[The Old Vic]

Costas <d...@l.it> wrote in message
213Z45Z53Z130Y1...@usenet.libero.it...

> Si tratta probabilmente di un worm.

Il mio antivirus oggi ha ammazzato W32.Klez.H@mm. Sarà lui?

Vic AdS

[Aber Rock]

"Costas" <d...@l.it> ha scritto nel messaggio
news:213Z45Z53Z130Y1...@usenet.libero.it...

> Qualche idiota si diverte ad inviare email spacciandosi per me, alle quali

č

> allegato un file EXE che cerca di reindirizzare la connesione ad internet.

> Questo č il testo e l'header del messagio arrivato ad uno dei tanti:

Ne stanno arrivando anche a me, l'antivirus finora non l'ha beccato. E' il
solito worm rompipalle.

[DocGiggi AdS]

"Costas" <d...@l.it> ha scritto nel messaggio
news:213Z45Z53Z130Y1...@usenet.libero.it...

> Qualche idiota si diverte ad inviare email spacciandosi per me, alle quali

č

> allegato un file EXE che cerca di reindirizzare la connesione ad internet.

> Questo č il testo e l'header del messagio arrivato ad uno dei tanti:
>

ciao Costas,

oggi ho "disinfettato" il picci e ho ripulito sia nimda che klez ...

Ecchepalleeeeeeeee ...

Ciao
DocGiggi AdS

[fib]

è arrivato anche a me, per fortuna filtrato e cancellato dal sever

ch sia questo?:
http://www.repubblica.it/online/scienza_e_tecnologia/viruspalm/bugbear/bugbear.html

Ciao
Fib

accaldato dello spinning

[andrea rumualdi]

"Costas" <d...@l.it> ha scritto nel messaggio
news:213Z45Z53Z130Y1...@usenet.libero.it...

> Il 05 Giu 2003, 17:46, "The Old Vic" <theo...@libero.it> ha scritto:
> >
> >
> > La stessa merda sta arrivando da decine di persone, non solo da te.

> > Quindi escluderei il dolo, probabilmente sarą qualche trojan o qualche

> > worm che utilizza la rubrica altrui.........
>
> Avevo scritto l'email prima di leggere che la cosa era capitata anche ad
> altri.
> Si tratta probabilmente di un worm.
>
> Costas
>

Ca@@o!!! ci sono caduto come uno scemo!!!

Anche a me č arrivata!!

AndreaR AdS