W95/Klez.H@mm hinnavaatlusest :: Hinnavaatluse Foorumid

meesmetsast · HV veteran liitunud: 22.06.2002

Tere mehed
Sain natukene aega tagasi ühe emaili ,milles attachmendina kaasas demo.exe 91,5kb ja lopez.jpg 6kb, milles f-proti väitel asub W95/Klez.H@mm
Võtsin siis maili properties lahti, et näha kellega tegu ja võilaa, kiri on HV kasutaja clon poolt saadetud,kellega mul pole nagu üldse pistmist olnud. Andsin ka talle endale teada, eks näis ei tahaks uskuda, et see oli meelega saadetud

Ootaks teie kommentaare

PROPERTIES
Received: from MX1.estpak.ee [194.126.101.123] by email.ee with ESMTP
(SMTPD32-6.06) id A9D63E2F00BE; Tue, 10 Dec 2002 15:19:18 +0200
Received: from Yvao (adsl816.estpak.ee [213.168.23.54])
by MX1.estpak.ee (Postfix) with SMTP id 53C0E88892
for <tarmo13@email.ee>; Tue, 10 Dec 2002 15:18:17 +0200 (EET)
From: laza <laza@hot.ee>
To: tarmo13@email.ee
Subject: A new game
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=Xk2a647bJI3do62gf2S630f0049bT764
Message-Id: <20021210131817.53C0E88892@MX1.estpak.ee>
Date: Tue, 10 Dec 2002 15:18:17 +0200 (EET)
X-RCPT-TO: <tarmo13@email.ee>
X-UIDL: 335318363
Status: U

--Xk2a647bJI3do62gf2S630f0049bT764
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>

<FONT>This is a special new game<br>
This game is my first work.<br>
You're the first player.<br>
I hope you would enjoy it.</FONT></BODY></HTML>

--Xk2a647bJI3do62gf2S630f0049bT764
Content-Type: application/octet-stream;
name=demo.exe
Content-Transfer-Encoding: base64
Content-ID: <In3wS5690kh65164bt>

XYZ · HV Guru liitunud: 05.11.2001

See worm tüüpi viirus ju levitab end ise ilma arvuti omaniku aktiivse kaasabita, seega CLON peab oma masinat kontrollima nakkuse suhtes.

meesmetsast · HV veteran liitunud: 22.06.2002

Aga kuidas ta need maili aadressid välja ajab, pole nagu sm clon-iga maile kunagi vahetanud omateada

lammas · HV veteran liitunud: 05.01.2002

ehee. Ma sain kah ükspäev väga tuntud HV mehe käest kirja millepeale mu norton antiviirus kisama hakkas. @hotmail.com oli lõpus

Hiid · HV Guru liitunud: 23.03.2002

Ma sain ka ANDIUMi käest kirja, mille pealkirjaks oli SOS, kuid kirja sisu puudus.
Kiri ise oli 120kb suur, aga attatsmenti millegipärast ei näidanud!?
Järelepärimiele kahjuks ei vastatud....

clon · HV kasutaja liitunud: 20.05.2002

nonii .. kommentaarid mustalt lambalt

.. tõmban just F-proti, ei AVP ega NAV2003 ei tee miskit häält, full scanni tegisn just (NAV2003 vurab koguaeg). Kardan pidem et hoti accounti on sisse murtud .. tundub väga kahtlane see estpak ja adsl värk seal sources .. kasutan starmani mu masin tundub praegu küll puhas olevat, vaatab veel mis F-prot ka ütleb ...

To: meesmetsast: me EI OLE päris kindlasti maile vahetanud ja minu süsteemis su mailiaadressi päris kindlasti olla ei saa

Kust see viirus selle võtta tahab..

Mulle tundub et tegemist on mõne pahatahtliku tegelisnskiga kes on minu mail accounti kurjast ära kasutanud .. eesmärgiga mind mustata .. võibolla mõni õrnahingeline kes siin mõnest mu sõnavõtust solvus (niipalju kui ma siin ka kirjutan). HEh! Vaat kus sõbralikku foorumit

Koostöö hot.ee-ga lõppeb nüüd küll igaveseks

Mu masinas ei tohiks ka ühtegi trojanit olla mis mu accounti murda aitaks, selle eest hoolitseb TDS-3, ilmselt mõni siinne foorumlane kellel on vajalikud oskused (sidemed(?) ) hot accounti tungmimiseks.

Igatahes: from Yvao (adsl816.estpak.ee [213.168.23.54]) see tõestab et mail pole minu arvutist pärit

Asijaga tegelevad edasi vastavad institutsioonid

To: meesmetsast: loodan et see meist nüüd päris vaenlasi ei tee ...

tnx selle kirja source eest .. on abiks selle sitapea tabamiseks

[/b]

meesmetsast · HV veteran liitunud: 22.06.2002

lammas · HV veteran liitunud: 05.01.2002

ratMin · HV vaatleja liitunud: 17.10.2002

klez ja tema modifikatsioonid on sellised viirused, mis genereerivad saaja ja saatija aadressid suvaliste paaridena. st. saatija aadress "from" real ei ole sugugi mitte see tegelik. enamus viirusetõrjet tegevaid mailiservereid peavad seda ka silmas, ning viirusehoiatust välja ei saada. kirja headeritest väõid järgi vaadata milliselt IP'lt kiri algselt tulnud on, seda niilihtsalt feikida ei õnnestu. sama "nippi" kasutavaid viiruseid on teisigi.

clon · HV kasutaja liitunud: 20.05.2002

Tomek · HV kasutaja liitunud: 07.11.2001

Augustis/septembris sain 17 e-maili KLEZ-ga. Saatjateks erinevad ...@mail.ru kliendid. Tegelikult tulid need e-mailid enamuses Tartu Ülikooli võrgust ...@ut.ee. Õnnetuseks sain hilja jaole ja Ülikooli sysadmin ei viitsinud enam arhiveeritud logidega jamada.

erx · Kreisi kasutaja liitunud: 29.12.2001

mul oli ka mingi 3sellise viirusega nakatunud faili...

meesmetsast · HV veteran liitunud: 22.06.2002

Veel üks W95/Klez.E@mm ja seekord juba firma emaili aadressilt
tigma@tigma.ee wazzup

siiber juba neist ussikestest
Received: from saturn.zzz.ee [194.204.30.230] by email.ee with ESMTP
(SMTPD32-6.06) id A52E607027A; Thu, 19 Dec 2002 01:30:54 +0200
Received: from Fjva (80-235-124-26-tln.edu.estpak.ee [80.235.124.26])
by saturn.zzz.ee (8.9.3/8.9.3) with SMTP id BAA00314
for <tarmo13@email.ee>; Thu, 19 Dec 2002 01:30:51 +0200 (EET)
Date: Thu, 19 Dec 2002 01:30:51 +0200 (EET)
Message-Id: <200212182330.BAA00314@saturn.zzz.ee>
From: tigma <tigma@tigma.ee>
To: tarmo13@email.ee
Subject: Introduction on ADSL
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=VtPm7dG554bd69b0
X-RCPT-TO: <tarmo13@email.ee>
X-UIDL: 335318367
Status: U

--VtPm7dG554bd69b0
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:H490JCoQa27 height=3D0 width=3D0>
</iframe>
<FONT></FONT></BODY></HTML>

--VtPm7dG554bd69b0
Content-Type: audio/x-wav;
name=Sbubh.exe
Content-Transfer-Encoding: base64
Content-ID: <H490JCoQa27>

Deep Fury · Kreisi kasutaja liitunud: 13.12.2001

80-235-124-26-tln.edu.estpak.ee aadressil on vähe Tigmaga pistmist. Tegemist on ikka Tallinna 32. keskkooliga, kust meil pärit on. Jälle 1 viiruse ohver, kellel Tigma meiliaadress lihtsalt address book'is oli.

erx · Kreisi kasutaja liitunud: 29.12.2001

mul oli sääne pull,et koduvõrgus on ühel 4klez'i sees.. panin ühele kaustale full share'i peale.. oli mõnda aega niisama ja siis oli sinna kausta tekkinud mingi taoline fail nagu neti.ee.rar ... sees oli sääne fail nagu setup.exe.. jne... viirusetõrje muidugi hakkas kohe mõlisema..

Surnu · HV kasutaja liitunud: 30.01.2002

Kommenteeriks nii palju et, ega clon ei pidanutki seda saatma kuna replay aadressi saab igaüks panna selle mille ise tahab, siis näidatakse ka seda, on ainult näha kindla tegelase ip aadress. Peale selle kas see klez mitte addressbookist ei võtnud suvalise aadressi ja ei saatnud suvalise addressbookis oleva aadressi replayga edasi ?

A_Armonk · HV kasutaja liitunud: 23.03.2002

klez võtab nakatunud masinas Windowsi aadressraamatust suvalise aadressi ja kirjutab selle From-väljale, peites nii oma lähtekohta. Klez otsib oma võimete piirides seejärel kogu masina läbi, et leida sealt veel aadresse, mida ta samuti kasutab.

Nii et, noojah...

meesmetsast · HV veteran liitunud: 22.06.2002

angerjas · Kreisi kasutaja liitunud: 31.05.2002