hehe.
no ładnie, a ktoś sobie właśnie botneta kolekcjonuje.

mail wysylany z host-ip17-78.crowley.pl (host-ip17-78.crowley.pl [85.128.78.17])

Siema, tez dostalem dzis ten badziew aczkolwiek thunderbird zapytal sie czy aby napewno chce otworzyc link z adresem ktory jednak mi sie nie spodobal...

chociaż mogli byście usunąć z zrzutu ekranu adres ;-)

Proponuje przywrocic system do stanu sprzed uruchomienia pliku .exe (po przywroceniu nie bedzie wpisow w rejestrze sprzed uruchomienia.... jak i rowniez plikow .exe).. pozniej skan antywirusem.
Wirus to: Backdoor Agent.crh (PE_Patch.UPX) czyli Trojan Downloader powodujacy dopiero po uruchomieniu wgranie z internetu wlasciwego pliku - wirusa.

Rozwiazaniem jest firewall z opcja powiadamiania o probach dostepu do internetu aplikacji niepowolanych lub nowych. Wyskakuje okienko, ze program zada dostepu do internetu... nie znamy - nie pozwalamy - usuwamy.

Tresc naglowka - dla tych co lubia drazyc...

Return-Path:
Delivered-To: xxxxx-sisco-pl-xxxxxxxxxx_(at)_xxxxx.sisco.pl<br/> ;Received: (BlinkMail invoked by user); 13 Nov 2007 19:29:25 +0100
Delivered-To: xxxxxxxxxxxxx_(at)_sisco.pl
Received: (BlinkMail invoked by user); 13 Nov 2007 19:29:25 +0100
Received: from 81.161.206.251 by mail-3 (envelope-from ) with BlinkAntiMailAbuse; 13 Nov 2007 19:29:25 +0100
Received: from unknown (HELO host206-251.kaskada.net) (81.161.206.251)
by mail-3.blink.com.pl with SMTP; 13 Nov 2007 19:29:25 +0100
Message-ID:
From: "Fotka.pl"
To:
Bcc: ,
,
,
,<br/> ; ,
,

Subject: Uzytkownik przesyla ci wiadomosc (Fotka.pl)
Date: Tue, 13 Nov 2007 19:29:38 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipar t/alternative";
boundary="- ---=_NextPart_000_0022_01C8262B.87AADC30"< ;br/>X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Blk-Attach-Descr-1: c:2,ft:x.gif
X-Spam: Unsure, spamicity=0.500000

Też dostałem tego linka. O! Wirus? Hmm... nie zauważyłem. Aha, no tak. Nie używam IE i system czysty jak łza :) Kolejny argument, że IE to ZŁO.

To zamiast wyliczac kto co dostal, sprawdzac whois i wysylac maila do abuse@dostawca... poblokuje sie troche za glupich cwaniakow i bedzie spokoj.

P.S. Na sluzbowy e-mail przychodzi ze na konto firmowe fotki wysyla mi ktos wiadomosc? hehehehe... nie wiedzialem ze nasza firma jest na fotce :P

Dostałem to cuś, rzuciłem pobieżnie okiem, kliknąłem i dostałem info od firefoksa o możliwym oszustwie.
"Jaja ko" doświadczony użytkownik się nie złapałem. Ale na pewno kupa narodu dała się nabrać. Dlatego przewiduję w najbliższej przyszłości parę podobnych akcji celowanych na polskiego użyszkodnika

Wszyscy tacy doświadczeni użytkownicy a jednak klikneli na link. Jednak to nie same wirusy są groźne tylko użytkownicy. Róbcie po najprostszą rzecz - usuń nie otwierając tego badziewia. Nie wiem od kogo to nie otwieram.

>Ciekaw jestem kto bedzie ddosowany, bo zdaje sie ze bedzie to cos polskiego.

Może fotka.pl :P

Naciałem sie na to G narazie walcze, to smiec do spamowawnia bo wysyala emiale, a czemu sie nacialem?? bo mi ostanio flash cos kulal to mowie zainstaluje siobie super ...... i teraz mam pelne rece roboty :( jak ktos sie naciag i wie jak usunac to prosze o info

wlasnie to dzis dostalem na o2.pl !! mogliby admini serwerow pocztowych na wszelki wypadek "sciac takie adresy na wejsciu" na jakis czas tak jak sie robi na irc'u ban'y jak gosc przesadza :) dzieki tej informacji przeczytanej 20 min przed @ nie mialem przyjemnosci widziec u siebie tego vira :)

$ host kdiwr0.hk
kdiwr0.hk has address 60.209.122.34
$ host kdiwr5.hk
kdiwr5.hk has address 60.209.122.34
$ whois 60.209.122.34
inetnum: 60.208.0.0 - 60.217.255.255
netname: CNCGROUP-SD
descr: CNCGROUP Shandong province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
(...)

$ whois kdiwr0.hk
Domain Name: KDIWR0.HK
Contract Version: HKDNR latest version

Registrant Contact Information:

Holder English Name (It should be the same as your legal name on your HKID card or other relevant documents): BOBBY DENNINGTON
Holder Chinese Name:
Email: luisjovel22_(at)_yahoo.com
Domain Name Commencement Date: 13-11-2007
Country: US
Expiry Date: 13-11-2008
Re-registration Status: Complete
Name of Registrar: HKDNR
Account Name: HK2000705T
(...)

A więc, jeśli "ddosować", to louisajouvela22 vel Bobby'ego Denningtona...

a ja dostałem z Francji dla odmiany;)

A swoją drogą to nie wiem DLACZEGO WE WSZYSTKICH PRZEGLĄDARKACH PASEK STATUSU JEST NIEWIDOCZNY domyślnie po zainstalowaniu? Dla mnie to pierwsza rzecz którą robię. Konta na fotce nie mam, na ebayu i paypalu też :] więc jak dostaję tego typu maile to od razu widać że coś jest nie tak, niemniej jednak zawsze jak klikam link niewiadomego pochodzenia to najpierw najeżdżam na niego i/lub "łapię" w razie wątpliwości (wiadomo, javascriptem można przewałować) - zwykle widać jakiś syfiasty adres i już sprawa jasna.

Przepraszam za KRZYK ale to naprawdę jedna z podstawowych i zarazem skutecznych kwestii bezpieczeństwa, a żaden (przynajmniej tak jest w wypadku IE/FF/Opery) producent przeglądarek nie nie włącza domyślnie statusbara, a powinien to robić i w tutorialach odnośnie bezpiecznego przeglądania powinno się o tym pisać. Luknięcie na adres w pasku statusu to ćwierć sekundy ;]