Taky mě serou lidi, kteří v době kdy antivirový sw stojí 350 kč vč. dph nemají základní pudy sebezáchovy a svůj zasraný počítač neudržují a zbytečně jiným lidem přidávají práci. I my jsme patřili mezi postižené, když vám do pošty přijde od jednoho zmrda denně 4000 vygenerovaných automatických odpovědí o viru tak nad tím začnete uvažovat. Pokud to trvá 3 týdny hledáte řešení. Jak na ně? je to celkem jednoduché. Nejprve si stáhneme poslední aktualizaci (servispacky woken) a update antiviru, odpojíme se od sítě, nainstalujeme a provedeme kompletní test svého pc at nejsme za voly.
předpokládám že používáte outlok expres nebo jiného poštovního klienta. V něm musíme nastavit, at uchovává kopii zpráv na serveru a hlavně ty maily nesmíme mazat. Potom vezmeme seznam chybových hlášení o viru a dáme je do jiné složky at v tom máme pořádek, pak se podíváme, která zpráva má přílohu. Toto je důležité, protože pokud máme zprávu bez přílohy nedovíme se nic, pokud má přílohu je v ní většinou zabalena hlavička původního mailu. Pokud není, taky se nic nedozvíme.
Normální hlavička mailu vypadá třeba takto :
Return-Path: <pc@zesilovace.cz>
Delivered-To: info@zesilovace.cz
Received: (qmail 8907 invoked from network); 8 Sep 2003 09:32:51 -0000
Received: from unknown (HELO in.smtp.cz) (81.95.97.116)
by master.smtp.cz with DES-CBC3-SHA encrypted SMTP; 8 Sep 2003 09:32:51 -0000
Received: (qmail 15090 invoked from network); 8 Sep 2003 09:32:50 -0000
Received: from unknown (HELO out.smtp.cz) (81.95.97.117)
by in.smtp.cz with DES-CBC3-SHA encrypted SMTP; 8 Sep 2003 09:32:50 -0000
Received: (qmail 19069 invoked from network); 8 Sep 2003 09:32:50 -0000
Received: from unknown (HELO lw) (pc@zesilovace.cz@212.47.19.198)
by out.smtp.cz with SMTP; 8 Sep 2003 09:32:50 -0000
Message-ID: <006901c375ec$ed271900$0a14a8c0@eei.cz>
From: „SEWECOM s.r.o.“ <pc@zesilovace.cz>
To: <info@zesilovace.cz>
Subject: test na viry
hlavička se čte od spodu, tzn. odesílatel je pc@zesilovace.cz a 1 server přes který to šlo je lw s IP 212.47.19.198 – veřejné IP, jehož majitele zjistíme z www.ripe.net oddělení who is db. kde zadáme ip a necháme vyhledat.
v tomto konkrétním případě nám vyjede
inetnum: 212.47.19.128 – 212.47.19.255
netname: EEI-NET
descr: Elektro engineering, s.r.o.
country: CZ
admin-c: PG694-RIPE
tech-c: PG694-RIPE
status: ASSIGNED PA
mnt-by: GTSCZ-MNT
changed: Roman.Honek@gtsgroup.cz 20001204
source: RIPE
není problém napsat dotyčnému mail s adresou pro zaslání dobré lahve – v tomto případě ještě musíme nejprve zjistit mail na danou firmu, v tomto případě elektro engineering s.r.o. , chlap co má dole napsaný mail za to nemůže. pokud to nepomůže ja vhodné navštívit oddělení policie a podat trestní oznámení, není to scifi, jenom se nesmíte nechat odbýt, jsou povinni to sepsat, a dát vám vědět jak to dopadlo, v Frýdku-Místku a v Rakovníku to dokonce už znají. Sranda začíná v okamžiku kdy se jedná o telekomunisty nebo jiného poskytovatele internetu, oni mají povinost vést informace o tom kdy kdo se kam připojil. V případě že někdo používá vlastní mailový server tak je jeho ip začínající 10.xxx nebo 192.xxx v tom případě nás zajímá druhý řádek.
hlavička toho co chodí mě, může to vypadat i jinak.
Reporting-MTA: dns; fialka.svkos.cz
Arrival-Date: Wed, 20 Aug 2003 14:26:49 +0200 (MET DST)
Final-Recipient: rfc822; hrazdil@svkos.cz
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host 195.113.148.75[195.113.148.75] said: 550
content rejected
u quicku to vypadá takto
Reporting-MTA: dns;ims-2.iol.cz (tcp-daemon)
Original-recipient: rfc822;kuratka@quick.cz
Final-recipient: rfc822;kuratka@quick.cz
Action: failed
Status: 5.0.0 (SMTP transmission failure has occurred)
Remote-MTA: dns;smarthost.quick.cz (TCP|192.168.100.110|33135|194.228.2.71|25)
(smtp-out2.iol.cz ESMTP server [Internet on Line])
Diagnostic-code: smtp;550 Error: Rejected,
probably sent by a W32.HLLW.Mankx virus
podotýkám, pokud hlavičku přečtete špatně, můžete nadávat úplně cizím a nevinným lidem.