[linux] Re: Virus aanval

Kees Theunissen theuniss op rijnh.nl
Wo mei 18 22:37:01 CEST 2005 

On Wed, 18 May 2005, Daniel C. von Asmuth wrote:

>Aldus schreef Erik van der Meulen op Wed, May 18, 2005 at 08:15:44PM +0200:
>> On Wed, May 18, 2005 at 06:16:58PM +0200, Paul Slootman wrote:
>>
>> > Haal je je mail op met fetchmail? Hoe levert fetchmail de mail af aan
>> > het lokale systeem?
>>
>> Paul, bedankt voor jouw reactie.
>> Ik haal mijn mail op met uucp. Deze levert af aan sendmail.
>> HTH.
>
>En sendmail pijpt het dan weer door procmail?


Zover komt het waarschijnlijk niet.
Het ging om een rapport dat mailscanner een bericht onderschept had
met een attachment met een .pif extention. Dat moet bijna zeker een
virus zijn geweest; daar heb je geen virusscanner voor nodig.
Voor zover ik mailscanner ken (ik gebruik het niet, maar heb er laatst
wel naar gekeken) plukt die berichten uit de (in dit geval) sendmail
queue en zet die na goedkeuring (spam en virus scanning, nog wat andere
tests) in een tweede queue waarna een ander sendmail proces het werder
afwerkt.

Afgekeurde berichten kunnen afhankelijk van de instellingen direct
worden weg gegooid, in quarantaine worden gezet, of worden 'gebounced'.

Als ik dan kijk naar onderstaand citaat uit het oorspronkelijk mailtje
van Erik dan denk ik heel erg aan een 'double bounce'. Een bounce
rapport dat zelf ook weer bounced en dan in laatste instantie maar
naar de postmaster wordt gestuurd omdat sendmail het ergens wil
afleveren; kan het niet bij de geadresserde en ook niet bij de
oorspronkelijke afzender dan moet postmaster en maar naar kijken.

<stukje uit eerste mail van Erik>

Full headers are:

 Return-Path: <~Ag>
 Received: from souterrain.avondel.nl (localhost.a2000.nl [127.0.0.1])
        by souterrain.avondel.nl (8.13.4/8.13.4/Debian-1) with ESMTP id
j4IAm830002184
        for <postmaster op souterrain.avondel.nl>; Wed, 18 May 2005 12:48:08
+0200
 Received: from localhost (localhost)
        by souterrain.avondel.nl (8.13.4/8.13.4/Submit) id j4IAm8P2002182;
        Wed, 18 May 2005 12:48:08 +0200
 Date: Wed, 18 May 2005 12:48:08 +0200
 From: Mail Delivery Subsystem <MAILER-DAEMON op souterrain.avondel.nl>
 Message-Id: <200505181048.j4IAm8P2002182 op souterrain.avondel.nl>
 To: postmaster op souterrain.avondel.nl
 MIME-Version: 1.0
 Content-Type: multipart/report; report-type=delivery-status;
        boundary="j4IAm8P2002182.1116413288/souterrain.avondel.nl"
 Subject: Postmaster notify: see transcript for details
 Auto-Submitted: auto-generated (postmaster-notification)

</stukje uit eerste mail van Erik>

Zo op het oog zijn dit inderdaad de headers van een 'double bounce'
rapport. Maar om dat zeker te weten moet je de message body kunnen
zien.

Er van uit gaande dat een attachment met een .pif extentie onderschept
is denk ik aan het volgende:

-- Er komt een mailtje binnen met een virus.
-- Virus wordt gedetecteerd en er gaat een bounce rapport naar
   de vermeende afzender. Het bounce rapport bevat het complete
   oorspronkelijke mailtje inclusief het virus, of ten minste
   het begin van het virus-attachment.
-- Bounce rapport kan niet worden afgeleverd (niet bestaand adres,
   of geweigerd door de andere partij, of direct weer onderschept
   door je eigen mail scanner, of ...).
-- Tenslotte wordt er een 'double bounce' gegenereerd en die wordt
   ook direct onderschept door je eigen mail scanner.

(  Dit zou kunnen resulteren in een nieuwe double bounce die zelf
   ook weer bounced etc. Je schreef dat er heel veel virussen
   binnen komen. Dat kan een loop zijn van geneste bounces als je
   software niet goed is geconfigureerd.  )

Met een zo'n rapportje uit zijn verband gelicht blijft het speculeren,
maar er moet iets aan de hand zijn wat lijkt op dat wat ik hier
beschreef.

Stuur je berichten naar de vermeende afzenders van virussen?
Zet dat om te beginnen dan eens uit.
Het is zonder meer een onzalig idee om de "afzenders" van virussen
te verwittigen want bijna alle moderne virussen gebruiken een vals
afzender adres. Je valt er alleen maar de verkeerde personen mee
lastig.


Groeten,

Kees.

-- 
Kees Theunissen
F.O.M.-Instituut voor Plasmafysica "Rijnhuizen", Nieuwegein
E-mail: theuniss op rijnh.nl,     Tel: 030-6096724,     Fax: 030-6031204

More information about the Linux mailing list