📰 Artículos

El virus del HI = red colapsada

MurdockDj 28 enero 2004 11:48

⋮

En las últimas horas he recibido en los distintos servidores que administro, aproximadamente unos 20.000 correos infectados del dichoso virus.
Como tal no me preocupa el virus, lo que si me preocupa es el colapso que está causando en las redes, y la repercusión en consumos que puede llegar a tener.
Hasta la fecha el único patrón entre los correos que entran, ha sido el tamaño aproximadamente entre 24 kB y 64 kB.
Por ahora voy baneando las ip's que envian mas de 5 correos de este tipo, pero es una medida un poco drástica y engorrosa, alguien tiene algún tipo de regla para sendmail, que pueda filtrar este tipo de correos ?
Alguien sabe cuando caduca el virus ?

Saludos, Salva Gregori

Actualización: Más informacion en: vsantivirus.com/mydoom-a.htm

💬 Comentarios

undertow 28 enero 2004 11:51

⋮

creo que podrias preguntarlo en el foro de linux, seguro que alguien te da la solucion para tu MTA.

✖

undertow 28 enero 2004 12:03

⋮

aqui salen muchos resultados que yo creo que pueden ser utiles.

ya nos contaras.

✖

MurdockDj 28 enero 2004 12:12

⋮

Ya habia mirado algo asi, pero fue una sarta de problemas y no consegui hacerlo funcionar con normalidad.
X eso pregunte aqui, a ver si alguien tenia algo ya listo.
Mientras tanto sigo con el tema.

Gracias.

✖

LoRdShAn 28 enero 2004 13:42

⋮

Yo tambien estoy recibiendo los mails en mis servidores pero directamente al analizarlos los descarta y reenvia a sus emisores.

Saludos.

✖

BocaDePez 28 enero 2004 15:23

⋮

este virus camufla los remitentes, de tal forma que no son los verdaderos. De tal forma qu no solo estas creanmdo trafico innecesario (que viene fatal ahora msmo a efectos de saturacion) sino que ademas, puede que estes infectando a gente que no lo estaba.

✖

LoRdShAn 28 enero 2004 16:58

⋮

TuxRulez 28 enero 2004 13:45

⋮

En primer lugar, no es bueno que uses sendmail, aparte de tener un historial bastante grande bugs (y los sigue teniendo) es poco flexible para lo que hacen hoy en dia otros programas como Postfix o Qmail.

Yo con Postfix puedo restringir mensajes por subject, o alguna cadena contenida en el cuerpo del mensaje. En mi caso, no dejo pasar cualquier cosa que sea ejecutable en win, aparte de restringir los mensajes que lleven alguna cabecera x-ms-download. Con la llegada de este virus he añadido una cabecera más para filtrar los mensajes que lleven de subject "Server Report", hay más subjects pero algunos podrían confundirse con los 'reports' que me llegan de los demás programas.

De momento no puedo decirte el número exacto de virus que ha descartado el servidor, pero se que no está llegando ninguno a los clientes. Voy a mirar los logs :)

✖

BocaDePez 28 enero 2004 14:01

⋮

Saludos.

Si trais el tema del virus Mydoom.A deciros que tiene previsto que cese sobre el 12 y 13 de Febrero.

Lo suyo es eliminar cuanto antes el virus si uno es infectado, ya que asi evitamos que se propague mas.

Propicios Dias ;=)

✖

Stendall 28 enero 2004 15:15

⋮

Una vez que lo has cogido ya has contribuido a extenderlo.
Lo suyo seria no infectarse, para evitar la propagación.

-= Un saludo =-

✖

semeolvido 28 enero 2004 16:38

⋮

Por una vez, deja que se infecten y propaguen el virus a gusto.

Greetings m8.

✖

Stendall 28 enero 2004 16:47

⋮

Sí, ya se que el virus efectua un ataque de negacion de servicio a nuestro odiado SCO, pero que mas quieren ellos para decir que todos los usuarios de linux son unos terroristas.
Además, ¿que !#@ haces posteando todavia desde casa¿, ya te estás viniendo, que te van a dar las uvas.

-= Un saludo =-

✖

BocaDePez 28 enero 2004 21:50

⋮

rezvendous 28 enero 2004 21:40

⋮

Por mi q les den por el ano a los de SCO pero este tipo de chorradas, aparte de jodernos nuestra pobres conexiones con timofonica que bastante pena dan ya, dañan mucho la imagen de la comunidad del software libre.

✖

semeolvido 28 enero 2004 22:14

⋮

joeuser 29 enero 2004 11:24

⋮

no es bueno que uses sendmail es poco flexible para lo que hacen hoy en dia otros programas como Postfix o Qmail.

JAJJAAJJA OTRO EXPERTO, POCO FLEXIBLE DICE, JAJAJAJA, SENDMAIL TRANSPORTA EL 80% DEL CORREO DEL PLANETA Y DICE QUE NO ES BUENO QUE LO USE JAJAJAJJAA

✖

undertow 29 enero 2004 14:52

⋮

duda 1:cual es el motivo por el que te ocultas?
duda 2: que sea le mas usado le transforma en el mejor?

✖

BocaDePez 29 enero 2004 15:48

⋮

pues yo uso el hotmail :P

---burbujaaa--- siento el intento de chiste, no lo pude evitar

BocaDePez 29 enero 2004 18:37

⋮

Aquí nadie se oculta. Que manía. ¿Qué pasa que si alguien se registra ya no es anónimo? ¿Conociendo el nick ya lo sabes todo (nombre, dni, direccion...) de una persona? Registrarse puede registrarse cualquiera. Parece que hay una conspiración contra los bocadepez por parte de algunos nicks registrados...

✖

BocaDePez 29 enero 2004 19:22

⋮

Cuando no estas registrado, sale BocaDePez y parte de la IP.

Cuando estas registrado y quieres aparecer como anonimo, sale simplemente BocaDePez

;)

Un saludo.

undertow 29 enero 2004 19:41

⋮

quien esta registrado y se oculta sale como bocadepez sin direccion ip.
Quien no esta registrado sale como bocadepez y parte de su direccion, por lo tanto si, si se oculta.
conspiracion?? ninguna.

joeuser 30 enero 2004 03:11

⋮

1.- Me oculto porque quiero parecer misterioso y enigmático si te parece. Vamos, que qué más te da, con mi nick tampoco ibas a tener ni pajolera idea de quién soy (ni que fuera el rey posteando de incógnito o algo así...)

2.- Me rio de que alguien diga que Postfix y Qmail son más flexibles que Sendmail, eso solo lo puede decir alguien que no sabe qué puede hacer sendmail. Hay una corriente de opinión, una especie de meme, que dice que sendmail es por definición inseguro y dificil de configurar, pero eso no implica de ninguna manera que sea poco flexible o poco capaz. Si no te da la gana de aprender como funciona a fondo para explotar su potencia es tú problema.

3.- Es el más usado porque es el más flexible precisamente. Pero francamente, no sé cómo has deducido de mis palabras que sea el mejor por ser el más usado, eso no es consecuencia de lo que yo he dicho, es conclusión tuya.

✖

Stendall 30 enero 2004 15:45

⋮

Ya sé quien eres... Alan Cox de incognito XD.

-= Un saludo =-

✖

joeuser 30 enero 2004 17:32

⋮

✖

Stendall 30 enero 2004 17:46

⋮

✖

joeuser 31 enero 2004 01:47

⋮

joeuser 31 enero 2004 13:37

⋮

✖

undertow 31 enero 2004 13:48

⋮

semeolvido 31 enero 2004 14:42

⋮

Stendall 31 enero 2004 16:42

⋮

✖

joeuser 31 enero 2004 23:03

⋮

✖

Stendall 31 enero 2004 23:36

⋮

✖

joeuser 1 febrero 2004 03:17

⋮

✖

Stendall 1 febrero 2004 14:18

⋮

✖

joeuser 2 febrero 2004 12:51

⋮

✖

Stendall 2 febrero 2004 15:23

⋮

✖

joeuser 3 febrero 2004 10:07

⋮

✖

Stendall 3 febrero 2004 13:42

⋮

✖

joeuser 3 febrero 2004 21:17

⋮

✖

DrMuehehe 3 febrero 2004 23:15

⋮

✖

Stendall 3 febrero 2004 23:35

⋮

✖

DrMuehehe 4 febrero 2004 00:33

⋮

✖

Stendall 4 febrero 2004 00:46

⋮

Stendall 3 febrero 2004 23:28

⋮

Stendall 3 febrero 2004 23:32

⋮

joeuser 1 febrero 2004 03:25

⋮

✖

Stendall 3 febrero 2004 14:14

⋮

✖

joeuser 3 febrero 2004 21:21

⋮

✖

Stendall 3 febrero 2004 23:43

⋮

martinico 28 enero 2004 14:44

⋮

Creo que nunca fui a la biblioteca aqui en mallorca...deberia ser una buena señal. Puede ser que mi PC este enviando emails ? O habra atacado a mi cuenta en lycos.es ?

*** AVIS DE SEGURETAT***

El servidor de correu del Consorci de Informatica Local
ha detectat que el missatge que heu enviat a:

conté algun fitxer adjunt que pot ser un potencial virus.

Per tant, aquest missatge ha estat rebutjat per raons de
seguretat i no arribarà mai al seu destinatari.

---------------------------------------

REPORT: Fitxer adjunt bloquejat: "message.scr"
REPORT: Not a document, or already poisoned by filename. Not scanned for macros.
STATUS: Message quarantined, not delivered to recipient.

------------------------------------------

✖

jlop 28 enero 2004 15:07

⋮

Buenas, yo también administro un servidor que entre otras cosas proporciona correo, y he observado que el virus se envía desde los ordenadores infectados con remitentes "al azar".
Digo al azar entre comillas porque lo que hace es usar el nombre del dominio y adjuntarle un nombre de usuario "típico": anna@dominio, george@dominio, john@dominio, etc etc.
Así que los servidores remotos suelen bloquear el mensaje y si tienes la mala suerte de que cuentas con esos nombres existen en tu servidor, te llega un mensaje que dice que tu mensaje (que desde luego no es tuyo) ha sido bloqueado. Posiblemente sea esto, o puede que tengas el virus, pero ya digo que eso es lo que yo he observado en el servidor que llevo (que por cierto, usa qmail y como combinación un tal "qmfilt", que no me convence demasiado, pero cumple).
Un saludín

fidojones 28 enero 2004 15:47

⋮

Solo digo que yo tengo Qmail + Clamav Antivirus que se actualiza el antivirus todas las noches. Y no me entra ni una mosca :D desde hace muuucho tiempo :D

BocaDePez 28 enero 2004 17:58

⋮

Tras los últimos 400.000 virus y gusanos que utilizan estos formatos para transmitirse... ¿Puede quedar en este planeta tanta gente tan borrega como para abrir un adjunto *.pif después de que las últimas 70 infecciones provenían de archivos .pif en correo electrónico?
Manda huevos. El hombre (y la mujer tb) es el único ser vivo que tropieza 70 veces con la misma piedra. Próximamente 71. Y después 72.

BocaDePez 28 enero 2004 18:05

⋮

Por el virus evidentemente....

Sobrecarga en el servidorEn estos momentos existe una sobrecarga en el servidor. Por favor, inténtelo más tarde.
Disculpe las molestias.Para más información, contacte con nuestra central de reservas telefónicas.Server busyWe're sorry for any inconvenience caused, but right now our server is busy. Please try again in a few moments.For further information, contact our telephone reservations center.Server nicht verfügbarWir bitten, die Unannehmlichkeiten zu entschuldigen, aber unser Server ist momentan leider nicht verfügbar. Bitte versuchen Sie es in ein paar Minuten noch einmal.In der Zwischenzeit können Sie sich auch gerne telefonisch an unsere Reservierungszentralen wenden.

overpeer 29 enero 2004 04:05

⋮

NETCRAFT

Un saludo.

✖

TuxRulez 29 enero 2004 09:21

⋮

Si miras al final del la página dice que no han usado su propio sistema operativo desde...¡el 13 de agosto de 2002! aunque tampoco me extraña, conociendo las características de (a)SCO puedo decir que es un sistema horrible y de administración complicada y farragosa. Es lógico que (a)SCO quiera conseguir algo de notoriedad atacando estúpidamente a linux, ya se sabe aquello de: "lo importante es que haben de ti, aunque sea mal" aunque en este caso parece que sea una maniobra destinada a morder la mano que les da de comer.

Lo que no entiendo es porque aun existen muchas empresas que consideran los sistemas de (a)SCO como un estándar (si, conozco empresas que solo certifican su software sobre esta misería de plataforma y se niegan a hacerlo sobre linux). Como si ahora las ratas fueran las últimas en abandonar el barco que se hunde.

Vegetto1 29 enero 2004 13:08

⋮

Vivir para ver...

(link roto)

Otra de sus particularidades es que ataca "dos blancos de primer plano del universo del programa libre" -Kazaa y SCO, el propietario de Unix/Linux-, anunció por su parte el editor de programas antivirus Network Associates.

Por favor que alguien melosplique ;)

✖

BocaDePez 29 enero 2004 21:48

⋮

Ademas la foto no tiene desperdicio xDDDDDDDDDDDDDDD

Un saludo.

✖

undertow 29 enero 2004 21:58

⋮

un backdoor??
:P

✖

BocaDePez 29 enero 2004 22:48

⋮

Pues parece el que escribio la noticia que se cago encima cuando se dio cuenta de la gilipollez que habia puesto con eso de que SCO es propietaria de Unix/Linux y va para el WC x'D

Un saludo.

✖

Stendall 30 enero 2004 15:52

⋮

rigodon 30 enero 2004 20:22

⋮

Tengo una pregunta que hacerte: ¿Por que abriste el fichero adjunto? Porque, entre nosotros, este virus no es nada sofisticado en su método de propagación, ya que requiere intervención humana. Yo recibí 3 copias del virus en mi dirección del curro, y al ver un mensaje de error en inglés y un .zip adjunto pensé: Esto es un virus... mensajes borrados y en paz.

De verdad que no pretendo dármelas de listo ni nada parecido. Sólo quiero saber por qué lo abriste...

✖

JokMontoya 31 enero 2004 23:06

⋮

Acabo de gritarle a mi novia para salvar mis maquinas del maldito virus.

Ella es profesora de filologia Inglesa, de informatica conoce el word y yyy... para lo demás los ordenadores que llenan mi sala de trabajo son mis "juguetes". Estaba leyendo su correo y esperando algunos emails importantes de entidades extranjeras y algun congreso. Asi que aparecio un email con algo que decia report o algo asi y ya iba a picar para leer el documento adjunto, que es como ella y sus compañeros/as gustan de mandar los archivos que escriben en word (pdf y ppt los mas avanzados). Suerte que lo vi de reojo y por poco la dejo sorda, porque el puntero del raton iba directo al enlace.

El virus lo propaga todo aquel al que le dices mandame un email a esta dirección y escriben la dirección en la barra de direcciones del navegador. O aquellos que te dicen que tienen el antivirus Kerio o aquellos que no saben lo que es un fichero adjunto, un pif, un ejecutable.

Para cualquier no iniciado un mensaje en el que ponga Server Report suena a algo serio, y tiene una opcion/link para ver que importante mensaje de error me ha llegado.... y zás

Te lo digo yo, que me considero incapaz de enseñar a alguien informatica desde 0, porque no se ponerme a su nivel, a los 30 segundos de empezar estoy alterado porque "es tan facil..."

Y por el camino que vamos, hemos pasado del puesto 5 al 10 en Europa en e-goverment y a la mayoria de los votantes les importa un pimiento el atraso tecnológico que arrastramos. Lo acabo de leer en esta noticia: (link roto)

✖

BocaDePez 3 febrero 2004 08:26

⋮

porfavor a quien le llegue el virus mydoom enviarlo a minita_rica2003@hotmail.com

se los agradecere mucho de verdad una abrazo desde chile