[opensuse-es] [OT] Correos infectados con virus
Hola compañer@s, les escribo pidiendo consejo. Desde hace un mes más o menos vengo recibiendo en la cuenta de correo del trabajo correos infectados con un virus llamado Worm.Bagle. Aproximadamente son dos o tres diarios. El sistema antivirus del servidor los detecta y elimina, mandando una alerta. He contactado con el remitente, una empresa, y con su administrador de sistemas quien me informo de que ellos no habían enviado los correos y que por supuesto no están infectados con ningún virus. La cuestión es que me preocupa y me resulta molesto, no se que puedo hacer o a quien recurrir, por eso les escribo a ustedes por si pueden orientarme. Aqui les pongo las cabeceras del ultimo recibido por si ayudan.
From virusalert@servidoresdns.net Wed Jul 29 08:56:06 2009 Return-Path:
Received: from llsb565-a02.servidoresdns.net (llsb565-a02.servidoresdns.net [82.223.190.167]) by llce458-z.servidoresdns.net (Cyrus v2.3.7-Invoca-RPM-2.3.7-2.el5) with LMTPA; Wed, 29 Jul 2009 08:56:06 +0200 X-Sieve: CMU Sieve 2.3 Received: from localhost (localhost.localdomain [127.0.0.1]) by llsb565-a02.servidoresdns.net (Postfix) with ESMTP id 451F57DC028 for <"miusuario"@lmtp."midominio".com>; Wed, 29 Jul 2009 08:56:06 +0200 (CEST) Received: from llce458-z.servidoresdns.net (llce458-z.servidoresdns.net [82.223.199.155]) by llsb565-a02.servidoresdns.net (Postfix) with ESMTP id 14C377DDBD9 for <"miusuario"@"midominio".com>; Wed, 29 Jul 2009 08:56:02 +0200 (CEST) Received: by llce458-z.servidoresdns.net (Postfix, from userid 76) id 05FCDE095B; Wed, 29 Jul 2009 08:56:02 +0200 (CEST) Received: from llsa796-a02.servidoresdns.net (llsa796-a02.servidoresdns.net [82.223.190.162]) by llce458-z.servidoresdns.net (Cyrus v2.3.7-Invoca-RPM-2.3.7-2.el5) with LMTPA; Wed, 29 Jul 2009 08:56:01 +0200 X-Sieve: CMU Sieve 2.3 Received: from localhost (localhost.localdomain [127.0.0.1]) by llsa796-a02.servidoresdns.net (Postfix) with ESMTP id AE2CF111315 for "miusuario"@lmtp."midominio".com; Wed, 29 Jul 2009 08:56:01 +0200 (CEST) Content-Type: text/plain; charset="iso-8859-1" Content-Disposition: inline Content-Transfer-Encoding: 7bit MIME-Version: 1.0 Date: Wed, 29 Jul 2009 08:56:00 +0200 (CEST) From: "Content-filter at localhost.localdomain" Subject: VIRUS (Worm.Bagle.GV) in mail TO YOU from To: <"miusuario"@lmtp."midominio".com> Message-ID: X-Virus-Scanned: by amavisd-new
VIRUS ALERT
Our content checker found
virus: Worm.Bagle.GV
in an email to you from unknown sender:
?@189.Red-88-7-50.staticIP.rima-tde.net
claiming to be:
El 2009-07-29 a las 15:32 +0200, David Moreno escribió:
Hola compañer@s, les escribo pidiendo consejo. Desde hace un mes más o menos vengo recibiendo en la cuenta de correo del trabajo correos infectados con un virus llamado Worm.Bagle. Aproximadamente son dos o tres diarios. El sistema antivirus del servidor los detecta y elimina, mandando una alerta. He contactado con el remitente, una empresa, y con su administrador de sistemas quien me informo de que ellos no habían enviado los correos y que por supuesto no están infectados con ningún virus. La cuestión es que me preocupa y me resulta molesto, no se que puedo hacer o a quien recurrir, por eso les escribo a ustedes por si pueden orientarme. Aqui les pongo las cabeceras del ultimo recibido por si ayudan.
No hagas ni caso de esos mensajes. Elimínalos cuando lleguen o pon un filtro para que lo haga automáticamente. Algún usuario de Telefónica con esa ip estará enviando los mensajes con virus. Contacta con el servicio Nemesys de Telefónica y ponles en aviso. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-07-29 a las 15:32 +0200, David Moreno escribió:
Hola compañer@s, les escribo pidiendo consejo. Desde hace un mes más o menos vengo recibiendo en la cuenta de correo del trabajo correos infectados con un virus llamado Worm.Bagle. Aproximadamente son dos o tres diarios. El sistema antivirus del servidor los detecta y elimina, mandando una alerta. He contactado con el remitente, una empresa,
Y... ¿como sabes que son ellos? ¿Te fías de la dirección que pone en un correo con virus?
y con su administrador de sistemas quien me informo de que ellos no habían enviado los correos y que por supuesto no están infectados con ningún virus. La cuestión es que me preocupa y me resulta molesto, no se que puedo hacer
Nada.
o a quien recurrir,
A nadie.
por eso les escribo a ustedes por si pueden orientarme. Aqui les pongo las cabeceras del ultimo recibido por si ayudan.
Los filtras y los tiras a la basura. Igual que se matan las moscas y mosquitos, son cosas que pasan. Los matas y a otra cosa.
From virusalert@servidoresdns.net Wed Jul 29 08:56:06 2009 Return-Path:
Received: from llsb565-a02.servidoresdns.net
Esas no son las cabeceras del virus, sino las cabeceras del antivirus. No sirven de nada, a efectos del análisis.
VIRUS ALERT
Our content checker found virus: Worm.Bagle.GV
in an email to you from unknown sender: ?@189.Red-88-7-50.staticIP.rima-tde.net claiming to be:
Our internal reference code for your message is 17734-01/BqWaLF203+AH
First upstream SMTP client IP address: [212.87.192.200] dns1.grupotaya.com According to a 'Received:' trace, the message originated at: [88.7.50.189], [192.168.1.4] (unverified [88.7.50.189])
Return-Path:
Message-ID: Subject: price 29-Jul-2009 Not quarantined. Please contact your system administrator for details.
Lo que puedes hacer es, si siempre se originan desde la misma IP (verificada) es bloquearla - si no pertenece a ningún cliente potencial (y si lo es, le avisas). Ojo, y digo la verdadera IP de origen, no la dirección del remite de la que dice venir. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkpwWjYACgkQtTMYHG2NR9VUpQCfb+L6M85Ai69wqPzYd+ymIS7U EYYAnisRQvQZmPZvcfSIZXS0ffEtCzu6 =7WDt -----END PGP SIGNATURE-----
Gracias por vuestros consejos. Saludos :) -- "El cielo es para los dragones lo que el agua es para las ninfas" -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (3)
-
Camaleón
-
Carlos E. R.
-
David Moreno