Hulvattomasti virus-spammia

[Markku Huttu-Hiltunen]

Johan pomppas. Viimeisen 13 tunnin aikana on postilaatikkoon kilahtanut
164 - eiku 166 mailia (tuli just 2 lisää, ja varmaan lisääntyy ennenkuin
ehdin lähettää tän postin), joista roskapostia n. 150, ja virusroskapostia
n. 110 kpl.

Tää alkaa olla jo kapasiteetin rajua väärinkäyttöä. Taitaa miljardit
viruspämmit liikkua nyt verkoissa. Eikö jossain ala jo kello kilkattaa?

MHH

[Petri Rahikkala]

Vaikka aloittaisit siitä että feikkaat emailosoitteesi. Helpottaa nimittäin
kummasti.

Rahi

"Markku Huttu-Hiltunen" <mhut...@pp.htv.fi> wrote in message
news:tcBab.879$1l5...@reader1.news.jippii.net...

[Timo Pietilä]

Petri Rahikkala wrote:

> Vaikka aloittaisit siitä että feikkaat emailosoitteesi. Helpottaa nimittäin
> kummasti.

Ei auta virusposteihin. Riittää, että siihen on suora linkki jossakin
webbisivulla tai sattumoisin vain sattuu olemaan riittävän aktiivinen
s-posteilija.

Harvempi virus haarukoi osoitteitaan newsseistä, ja Reply-To: kentän
väärentäminen normaaliin s-postiin on jo turhan paranoidia IMO.

Timo Pietilä

--
A(2.9.3) DI(>) "Wanderer" DP L:43 DL:2200' A+ R+ Sp+ w:Ulmo/BoChaos
A(2.9.3) Comp "Ufthak" hoRa L:50 DL:4000' A++ R+ S+ w:LBowEM(17,18)(1)
A/S L/W/D H- D+ c-- f PV+ s-(+) TT? d(+) P++ M+
C-- S+ I-(++) So+ B++ ac GHB- SQ RQ++ V+ F:S Rod Stacking

[Mika Iisakkila]

Timo Pietilä <timo.p...@helsinki.fi> writes:
> Harvempi virus haarukoi osoitteitaan newsseistä, ja Reply-To: kentän
> väärentäminen normaaliin s-postiin on jo turhan paranoidia IMO.

Tämä nimenomainen virus kylläkin haarukoi. Puoliltapäivin 200.
"turvapäivityksen" ja 28 megatavun kohdalla kypsyin ja poistin vanhan
nyyssikäytössä olleen postialiaksen kokonaan, virusten tulo (perille)
loppui siihen. Lienee pakko nyt pitää oikeasti sotkettua siihen asti
että ääliöt saavat koneensa korjattua ja tuosta päästään jossain
määrin eroon, sillä nuohan tukkivat kohta koko röörin.
--
http://www.hut.fi/u/iisakkil/ --Foo.

[Mika Iisakkila]

Timo Pietilä <timo.p...@helsinki.fi> writes:
> Harvempi virus haarukoi osoitteitaan newsseistä, ja Reply-To: kentän
> väärentäminen normaaliin s-postiin on jo turhan paranoidia IMO.

Tämä nimenomainen virus kylläkin haarukoi. Puoliltapäivin 200.

[Timo Pietilä]

Mika Iisakkila wrote:

> Timo Pietilä <timo.p...@helsinki.fi> writes:
>
>>Harvempi virus haarukoi osoitteitaan newsseistä, ja Reply-To: kentän
>>väärentäminen normaaliin s-postiin on jo turhan paranoidia IMO.
>
> Tämä nimenomainen virus kylläkin haarukoi. Puoliltapäivin 200.

Juu. Voi olla, että minäkin joudun tarkistamaan omaa näkemystäni siitä
kannattaako pitää sotkematonta s-postiosoitetta newsseissä jos tuo
NNTP-haarukointi yleistyy viruksissa. Spammia ja viruksia vain ei ole
paljoa tullut aikaisemmin (paitsi Sobig.F:ää jota tuli jonkin aikaa ihan
järjettömästi).

[Timo Voipio]

Markku Huttu-Hiltunen wrote:
> Johan pomppas. Viimeisen 13 tunnin aikana on postilaatikkoon kilahtanut
> 164 - eiku 166 mailia (tuli just 2 lisää, ja varmaan lisääntyy ennenkuin
> ehdin lähettää tän postin), joista roskapostia n. 150, ja virusroskapostia
> n. 110 kpl.

Ei valiteta siellä. Kahdeksalta tyhjensin laatikon, viideltä tulin kotiin,
sillä välillä kertynyt 558 viruspostia, kaksi vihjeettömän virusskannerin
bumerangia ja yksi asiallinen meili. Vittu.

-Timo

--
Timo Voipio | Helsinki, Finland | ICBM at: 60 11.800 N 024 52.760 E
GeekCode ver 3: GU>CC d s-: a--- C++ UL(+)$>+++$ P+>+++ L++(+) E- W++ N++
o? K? w O M- V- PS PE Y+ PGP+ t 5++ X R tv- b++(++++) DI+ D G e- h! r !y
Remove +newsharvested to e-mail me | Poista +newsharvested jos meilaat

[Timo Pietilä]

Timo Voipio wrote:

> kotiin, sillä välillä kertynyt 558 viruspostia, kaksi vihjeettömän
> virusskannerin bumerangia ja yksi asiallinen meili.

Vain kaksi? Sinun lähiympäristössähän on fiksuja ylläpitäjiä ;-)

[Timo Voipio]

Timo Pietilä wrote:

> Vain kaksi? Sinun lähiympäristössähän on fiksuja ylläpitäjiä ;-)

Lähiympäristö? Toinen bounce tuli singaporesta (pacific.net.sg) ja toinen
kait jenkkilästä (cv.net).

Ja tässä vaiheessa vuorokauden ajalta saldo on 855 viestiä, aivan liian
monta megaa... (nimim. selviäpä tässä sitten 5 megan quotalla).

[Antti Tolamo]

Timo Pietilä wrote:

>> Tämä nimenomainen virus kylläkin haarukoi. Puoliltapäivin 200.
>
> Juu. Voi olla, että minäkin joudun tarkistamaan omaa näkemystäni siitä
> kannattaako pitää sotkematonta s-postiosoitetta newsseissä jos tuo
> NNTP-haarukointi yleistyy viruksissa. Spammia ja viruksia vain ei ole
> paljoa tullut aikaisemmin (paitsi Sobig.F:ää jota tuli jonkin aikaa ihan
> järjettömästi).
>
> Timo Pietilä

Ei tullut minulle edes sitä, vaikka kauan erityistö nyyssiosoitetta
olinkin käyttänyt. Mutta nyt tuli tuota MS/network/security etc.
updatea useampi kappale kerralla siihen. Joten heitin kaikki
nyyssiosoitteetseen tulevat postit /dev/nulliin. Logien perusteella
niitä viestejä tulisi vieläkin. Tosin en ole ihan varma onko
syy newseissä, vai yhdessä sposti listassa jota on pommiteltu spämmillä
ja ilmeisesti sieltä ehkä kerätäänkin noita osoitteita. Postasin
juuri toissapäinä siihen samalla osoitteella.

En tiedä liittyykö asiaan, mutta eilen 18:n aikaan sain isohkon
määrän yrityksiä arvailla spostiosoitteita spostipalvelimella.

Antti

[Markku Huttu-Hiltunen]

"Timo Voipio" <tvoipio+ne...@iki.fi> kirjoitti
viestissä:bkf6cj$14gvr$2...@ID-106564.news.uni-berlin.de...

> Ja tässä vaiheessa vuorokauden ajalta saldo on 855 viestiä, aivan liian
> monta megaa... (nimim. selviäpä tässä sitten 5 megan quotalla).

Mulla 20 tunnissa vasta jotain päälle 230. Huhhuh, mullahan menee hyvin.

MHH

[R.P.A]

"Markku Huttu-Hiltunen" <mhut...@pp.htv.fi> kirjoitti viestissä
news:wzGab.1026

> Mulla 20 tunnissa vasta jotain päälle 230. Huhhuh, mullahan menee hyvin.

Kiinnostaisi tietää mikä on lähettäjän osoite, onko sama vai vaihtuuko.
Vai näkyykö kuten minulla aina netmail.net
--
R.P.A
viilaa.PO...@suomi24.fi

[Markku Huttu-Hiltunen]

"R.P.A" <viilaa.PO...@suomi24.fi> kirjoitti
viestissä:bkfh1b$ode$1...@news1.songnet.fi...

>
> "Markku Huttu-Hiltunen" <mhut...@pp.htv.fi> kirjoitti viestissä
> news:wzGab.1026
>
> > Mulla 20 tunnissa vasta jotain päälle 230. Huhhuh, mullahan menee hyvin.
>
> Kiinnostaisi tietää mikä on lähettäjän osoite, onko sama vai vaihtuuko.
> Vai näkyykö kuten minulla aina netmail.net
> --

microsoft.com
netmail.net
america.com
yahoo.com
freemail.com
puremail.net
confidence.msd
technet.m
rocketmail.com
jne.

Nyt tipahtelee 2 minuutissa. Jos tätä vauhtia jatkuu niin vuorokaudessa
tulee 2880. Mutta, tahti näyttää kiihtyvän. En tiedä kuinka paljon verkkojen
kapasiteetit ovat, mutta jos vauhti vain kiihtyy ja kiihtyy joka paikassa,
luulen ei mene montaa päivää kun alkaa yhteydet tökkiä.

En tiedä mikä on HTV:n postilaatikon kapasiteetti, mutta ei ois kiva parin
vuorokauden poissaolon jälkeen huomata että postissa on 100.000 viestiä.
Aika selaaminen että onko siellä seassa oikeaa postia.

MHH

[Whiski]

Markku Huttu-Hiltunen wrote:
>
> microsoft.com
> netmail.net
> america.com
> yahoo.com
> freemail.com
> puremail.net
> confidence.msd
> technet.m
> rocketmail.com
> jne.
>
>

Nyt selvisi miksi minulle ei ole tullut kuin reilut parisataa virusta
tänään! Tai siis en ole niitä nähnyt! MailWhasserissa on varmaan nuo
melkein kaikki tappolistalla, joten ei ole noita ainakaan tarvinnut
nähdä! Kun aukaisin iltapäivällä koneen, niin reilusti toistasataa
virusviestiä odotti minua ja sillin paukkuin viesti per minuutti
vauhtia, mutta kun olen nyt tylysti pisätnyt kaikki, paitsi ystäviksi
merkatut killiin, niin siinäpä paukuttavat en pahemin enää häiriinny
viruksista...

--
Wanha wirttynyt Whiski

Jollet tiedä, ymmärrä tai osaa ole edes hauska tekemällä itsesi
naurettavaksi

[Ari Saastamoinen]

Antti Tolamo <use...@linux.tola.org> writes:

> updatea useampi kappale kerralla siihen. Joten heitin kaikki
> nyyssiosoitteetseen tulevat postit /dev/nulliin. Logien perusteella

Mä laitoin siten, että jos on nyyssiosoitteeseen tullut, ja SUBJECT:
on huutamalla, niin sitten menee hukkaan, ja noita tulee enää vain
muutamia läpi (Ikävä keksiä tolle procmailiruleja, kun noi postit
vaihtelee ärsyttävästi)

--
Arzka oh3mqu+...@vip.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje

[Juuso Heimonen]

In the announcement <news:tcBab.879$1l5...@reader1.news.jippii.net> Führer
Markku Huttu-Hiltunen spoke out:

: Johan pomppas. Viimeisen 13 tunnin aikana on postilaatikkoon kilahtanut

: 164 - eiku 166 mailia (tuli just 2 lisää, ja varmaan lisääntyy ennenkuin
: ehdin lähettää tän postin), joista roskapostia n. 150, ja virusroskapostia
: n. 110 kpl.

Näistä "turvallisuuspäivityksistä" pääsee ainakin suurimmalta osalta eroon
kun tekee vain säännön, että kaikki mailit, joissa lähettäjänä on MS,
Microsoft tai Inet Delivery System ym. tuhotaan serveriltä niitä lataamatta

--
Juuso Heimonen \ juuso.h...@villarock.com

[Pekka Pietikainen]

On 20 Sep 2003 14:53:11 +0300, Ari Saastamoinen wrote:
> Antti Tolamo <use...@linux.tola.org> writes:
>
>> updatea useampi kappale kerralla siihen. Joten heitin kaikki
>> nyyssiosoitteetseen tulevat postit /dev/nulliin. Logien perusteella
>
> Mä laitoin siten, että jos on nyyssiosoitteeseen tullut, ja SUBJECT:
> on huutamalla, niin sitten menee hukkaan, ja noita tulee enää vain
> muutamia läpi (Ikävä keksiä tolle procmailiruleja, kun noi postit
> vaihtelee ärsyttävästi)

Kludge-sääntö, joka toimii:

:0
* > 130000
* < 160000
* B ?? VGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
spam

Eli 130-160k oleva posti jossa on "This program cannot be run in DOS mode"
base64-koodattuna (etuna tuossa stringissä on se, että se pysyy vakiopaikassa,
joten se on myös aina samalla rivillä kokonaisuudessaan)

Jos joku keksii paremman, niin ehdotuksia otetaan mielellään vastaan :-)

--
Pekka Pietikainen

[Timo Salmi]

Pekka Pietikainen <p...@netppl.fi> wrote:
> Kludge-sääntö, joka toimii:
> :0
> * > 130000
> * < 160000
> * B ?? VGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
> spam

> Jos joku keksii paremman, niin ehdotuksia otetaan mielellään vastaan :-)

Jos kysymys oli nyt nimenomaan Swen madosta, kokeilen parhaillaan
seuraavaa:

# Delete Swen worm
:0
* ^From:.*(MS|Microsoft|Corporation|Program|Internet|Network|Security|Division|Section|Department|Center|Technical|Public|Customer|Bulletin|Services|Assistance|Support)
* ^From:.*(\.com|\.net)
* ^To:.*(Commercial|MS|Microsoft|Corporation|Customer|User|Partner|Consumer|Client)
* ^Subject:.*(Current|Newest|Last|New|Latest|Net|Network|Microsoft|Internet|Critical|Security|Patch|Update|Pack|Upgrade)
{
:0
{ RULE="Delete Swen worm" }
:0
/dev/null
}

Saa sitten nähdä. Tuota viestiä tulee nyt sitä tahtia, että se
tavallaan helpottaa testaamistilannetta.

All the best, Timo

--
Prof. Timo Salmi ftp & http://garbo.uwasa.fi/ archives 193.166.120.5
Department of Accounting and Business Finance ; University of Vaasa
mailto:t...@uwasa.fi <http://www.uwasa.fi/~ts/> ; FIN-65101, Finland
Timo's procmail tips at http://www.uwasa.fi/~ts/info/proctips.html

[Anssi Saari]

t...@UWasa.Fi (Timo Salmi) writes:

> Jos kysymys oli nyt nimenomaan Swen madosta, kokeilen parhaillaan
> seuraavaa:

Eräs huomio oli että virusmaileissa on otsikko SUBJECT: eikä Subject.
Procmailiksi siis

:0 HD
* ^SUBJECT:
/dev/null

Tuntuu ainakin täällä toimivan mutta onhan se vähän riskaapeli.