---

Har i også modtaget en virus fra Telmore, sammen med deres nyhedsbrev??

W32/Dumaru.a@MM virus.

Panda Antivirus has found the following viruses in the message:
Server : EDBSERVER

Sent by : Microsoft
Address : AØ2002 - Søren Bo Kaup
To : nyhedsbrev@mail.telmore.dk
Subject : Use this patch immediately !
Date : 04/09/2003 21:23:10

Næsgaard: Virus blev fundet i denne mail

File : patch.exe
Virus : W32/Dumaru - Desinfected


Mvh Sid

---

"Sid" <sls@FJERNsol.dk> skrev i en meddelelse
news:bj87em$14ko$1@news.cybercity.dk
> Har i også modtaget en virus fra Telmore, sammen med deres
> nyhedsbrev??

Jep

--
mvh Søren Nielsen
http://www.soerennielsen.dk/akvarie/
Jeg bruger ikke min hotmail, så skriv ikke til den

---

"Sid" <sls@FJERNsol.dk> skrev i en meddelelse
news:bj87em$14ko$1@news.cybercity.dk...

> Har i også modtaget en virus fra Telmore, sammen med deres nyhedsbrev??

Hej! Den virus er ikke sendt af telmore nødvendigvis, den kan være sendt af
en privat med den omtalte emailadresse i sit adresse kartotek.
Jeg har ikke selv modtaget den, men håber da på at Telmore ikke selv
udsender virus.

/ Jonas

---

Sid skrev:

>Har i også modtaget en virus fra Telmore, sammen med deres nyhedsbrev?

Blot fordi Telmore står som afsender, er de det ikke!

Enhver kan sende en mail med en anden som afsender (ligesom man kan
med et helt almindeligt brev). Dette benytter virusserne sig af. De
snupper hvad de kan finde af adresser i folks adressekartoteker, og
laver en god blanding af dette - bruger forskellige til/fra-adresser,
og sender så lystigt ud.

Når Telmore (eller hvem som helst anden) sender en mail, så opdager
virusen mailadressen nyhedsbrev@mail.telmore.dk - og bruger denne til
at lave mere ravage!

Lad os evt. se nogle flere headers, så kan vi se hvor virussen kommer
fra.

Venligst,
Lasse Hedegaard

--
http://www.simlock.dk/ - låsesmeden til din mobiltelefon.

---

"Lasse Hedegaard" <laxxe@nospam.dk> wrote in message
news:cj8flvciftjq2h6um7g455iskos4vf84vb@news.tele.dk...

> Lad os evt. se nogle flere headers, så kan vi se hvor virussen kommer
> fra.

Return-Path: <owner-nyhedsbrev@telmore.dk>
Original-Recipient: rfc822;****@worldonline.dk
Received: from mail.telmore.dk (213.237.180.162) by cpmail.dk.tiscali.com
(6.7.018)
id 3F4C8827000C8AA2; Thu, 4 Sep 2003 22:01:58 +0200
Received: by mail.telmore.dk (Postfix)
id 045482C5B7; Thu, 4 Sep 2003 21:56:22 +0200 (CEST)
Delivered-To: nyhedsbrev@mail.telmore.dk
Received: from SV-NT-DKAAR-02.bravida.dk (mx.semco.dk [194.239.121.8])
by mail.telmore.dk (Postfix) with ESMTP id 0E9E52B930
for <nyhedsbrev@mail.telmore.dk>; Thu, 4 Sep 2003 21:21:23 +0200 (CEST)
Received: by sv-nt-dkaar-02.bravida.dk with Internet Mail Service
(5.5.2653.19)
id <RX13CCNL>; Thu, 4 Sep 2003 21:21:22 +0200
Message-ID:
<03C69C75D899D411B63B00D0B7B90AC80350D8B0@sv-nt-dkaar-03.bravida.dk>
From: #SystemMail - ANTIGEN_SV-NT-DKAAR-02
<ANTIGEN_SV-NT-DKAAR-02@bravida.dk>
To: "'nyhedsbrev@mail.telmore.dk'" <nyhedsbrev@mail.telmore.dk>
Subject: =?iso-8859-1?Q?Filen_patch=2Eexe_er_sat_i_karant=E6ne/The_file?=
=?iso-8859-1?Q?_patch=2Eexe_has_been_qurantined?=
Date: Thu, 4 Sep 2003 21:21:20 +0200
MIME-Version: 1.0
X-Mailer: Internet Mail Service (5.5.2653.19)
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable



>
> Venligst,
> Lasse Hedegaard

*=min mailadresse

Det jeg undrer mig over, er at det er mig/os der får advarslerne om, at
firmaerne har slettet virusfilen. Burde den information ikke sendes til
Telmore?

Nicolai

---

Lasse Hedegaard wrote:
> Når Telmore (eller hvem som helst anden) sender en mail, så opdager
> virusen mailadressen nyhedsbrev@mail.telmore.dk - og bruger denne til
> at lave mere ravage!
>
> Lad os evt. se nogle flere headers, så kan vi se hvor virussen kommer
> fra.

Umiddelbart ser det ud til, at virussen i første omgang er sendt til
adressen nyhedsbrev@telmore.dk og på den måde videresendt til abonnenterne
på nyhedsbrevet.
Adskillige firmaer abonnerer på nyhedsbrevet og deres mailsystemer scanner
automatisk for virus og sender en fejlmeddelelse retur. Denne ryger til
nyhedsbrev@telmore.dk og forklarer, at alle abonnenter pludselig modtager
mails fra diverse firmaer.

Hvis ovenstående er korrekt ligger en stor del af fejlen i at Telmore
har sat deres system op, så alle kan sende til nyhedsbrevets abonnenter
blot ved at maile til nyhedsbrev@telmore.dk.

--
Per H. Nielsen <phn@dkscan.dkx>
My Danish Scanner Pages: http://www.dkscan.dk
To reply to this change .dkx to .dk in my address.

---

"Per H. Nielsen" <phn@dkscan.dkx> wrote in message
news:3f57a4c6$0$48897$edfadb0f@dtext02.news.tele.dk...

> Hvis ovenstående er korrekt ligger en stor del af fejlen i at Telmore
> har sat deres system op, så alle kan sende til nyhedsbrevets abonnenter
> blot ved at maile til nyhedsbrev@telmore.dk.

Og hvis det forholder sig sådan, er det jo under al kritik. Jeg vil i hvert
fald starte med at afmelde nyhedsbrevet. Ikke fordi det har gjort den store
skade, jeg har ikke fået inficeret min computer, men det er da for svagt,
hvis det forholder sig om Telmore's system, som du beskriver. Og den slags
bliver jeg sgu irriteret over.

>
> --
> Per H. Nielsen <phn@dkscan.dkx>
> My Danish Scanner Pages: http://www.dkscan.dk
> To reply to this change .dkx to .dk in my address.
>

Nicolai

---

Nicolai Larsen skrev:

>Og hvis det forholder sig sådan, er det jo under al kritik.

Ja, men det forholder sig med stor sandsynlighed IKKE sådan...
Virusserne er drilske, og man kan ikke stole en dyt på hvad der står i
From: og To:-felterne i nogen mails overhovedet.

>Jeg vil i hvert fald starte med at afmelde nyhedsbrevet. Ikke fordi det har gjort den store
>skade, jeg har ikke fået inficeret min computer, men det er da for svagt,
>hvis det forholder sig om Telmore's system, som du beskriver. Og den slags
>bliver jeg sgu irriteret over.

Enig, men det er med stor sandsynlighed heller ikke tilfældet. Jeg kan
ikke forestille mig Telmore have sådan et hul.

Venligst,
Lasse Hedegaard

--
http://www.simlock.dk/ - låsesmeden til din mobiltelefon.

---

"Lasse Hedegaard" <laxxe@nospam.dk> wrote in message
news:kk9flv4sdhn19cpnkb18un6obs1rufjtr3@news.tele.dk...

> Ja, men det forholder sig med stor sandsynlighed IKKE sådan...
> Virusserne er drilske, og man kan ikke stole en dyt på hvad der står i
> From: og To:-felterne i nogen mails overhovedet.

Ja, men den må jo starte et sted, og har man ingen mulighed for at finde det
så?

> Enig, men det er med stor sandsynlighed heller ikke tilfældet. Jeg kan
> ikke forestille mig Telmore have sådan et hul.

Nej, det skulle man ikke tro i disse tider. Men altså, der findes jo andre
nyhedsbreve og jeg har ikke i forbindelse med andre nyhedsbreve oplevet
dette. Man må jo tro, at hvis nyhedsbrevet har ramt en virusinficeret
computer, at det så også ville kunne ske ved andre nyhedsbreve. Så mon ikke
det kunne tænkes, at et eller andet ikke stemmer omkring Telmore's
nyhedsbrev?

>
> Venligst,
> Lasse Hedegaard

Nicolai

---

Nicolai Larsen skrev:

>Ja, men den må jo starte et sted, og har man ingen mulighed for at finde det
>så?

Jo, man kan kigge headers - og se hvilken IP-adresse skidtet stammer
fra.


>> Enig, men det er med stor sandsynlighed heller ikke tilfældet. Jeg kan
>> ikke forestille mig Telmore have sådan et hul.
>
>Nej, det skulle man ikke tro i disse tider. Men altså, der findes jo andre
>nyhedsbreve og jeg har ikke i forbindelse med andre nyhedsbreve oplevet
>dette. Man må jo tro, at hvis nyhedsbrevet har ramt en virusinficeret
>computer, at det så også ville kunne ske ved andre nyhedsbreve. Så mon ikke
>det kunne tænkes, at et eller andet ikke stemmer omkring Telmore's
>nyhedsbrev?

Det tror jeg ikke er tilfældet. Jeg har ikke selv modtager de omtalte
mails (og jeg har fået Telmores nyhedsbrev på til alle mine tilmeldte
mailadresser).

Flere her i gruppen har hinandens mailadresser i deres system, og hvis
en får virus, så sendes denne til de andre. Når vi/I alle modtager
mailen fra Telmore, så snupper virussen mailadressen og bruger som
afsender/modtager, sammen med de andre mails i adressekartotekene på
de inficerede maskiner.

X-FUT: dk.edb.sikkerhed.virus - snakken har ikke så meget om
mobiltelefoni at gøre.

Venligst,
Lasse Hedegaard

--
http://www.simlock.dk/ - låsesmeden til din mobiltelefon.

---

Lasse Hedegaard wrote:
> Ja, men det forholder sig med stor sandsynlighed IKKE sådan...
> Virusserne er drilske, og man kan ikke stole en dyt på hvad der står i
> From: og To:-felterne i nogen mails overhovedet.

Nej men ud fra Received-headerne ser de omtalte mails klart ud til at
have været en tur forbi Telmore og være sendt til nyhedsbrev@telmore.dk.

--
Per H. Nielsen <phn@dkscan.dkx>
My Danish Scanner Pages: http://www.dkscan.dk
To reply to this change .dkx to .dk in my address.

---

Per H. Nielsen skrev:

>Nej men ud fra Received-headerne ser de omtalte mails klart ud til at
>have været en tur forbi Telmore og være sendt til nyhedsbrev@telmore.dk.

Har du forstand på at læse headers? Virusser (og spammere) kan godt
finde på at sætte "falske" headers ind.

For mig ser det ud til, at bravida.dk/semco.dk kunne have noget med
virussen at gøre.

Lad os fortsætte i news:dk.edb.sikkerhed.virus - hvor der sikkert også
sidder folk med forstand på den slags.

X-FUT: dk.edb.sikkerhed.virus

Venligst,
Lasse Hedegaard

--
http://www.simlock.dk/ - låsesmeden til din mobiltelefon.

---

Per H. Nielsen skrev:

>Umiddelbart ser det ud til, at virussen i første omgang er sendt til
>adressen nyhedsbrev@telmore.dk og på den måde videresendt til abonnenterne
>på nyhedsbrevet.

Det tror jeg ikke - forhåbentlig er der beskyttelse på, så alle og
enhver ikke kan sende sådan en mail.

>Adskillige firmaer abonnerer på nyhedsbrevet og deres mailsystemer scanner
>automatisk for virus og sender en fejlmeddelelse retur. Denne ryger til
>nyhedsbrev@telmore.dk og forklarer, at alle abonnenter pludselig modtager
>mails fra diverse firmaer.

Jeg har ikke modtaget noget i denne omgang (altså "Telmore"-virussen).

>Hvis ovenstående er korrekt ligger en stor del af fejlen i at Telmore
>har sat deres system op, så alle kan sende til nyhedsbrevets abonnenter
>blot ved at maile til nyhedsbrev@telmore.dk.

Og det er jeg ret sikker på ikke er tilfældet.

Virusser er lumske, de sender sig til alt og alle, og FRA alt og alle.
Antivirusprogrammerne er også dumme (mange af dem), de bør ikke sende
sådanne mails ud.

Mange antivirusprogrammer kan sende to slags mails ud:

Eksempel 1: "Du har modtaget en virus fra ..@.."
- Nej! ..@.. behøver ikke være afsenderen af virussen, da virussen
skriver alle mulige på som afsendere. Mange skriver til ..@.. og siger
"Du har sendt mig en virus, lad være med det", og ..@.. undrer sig.

Eksempel 2: "Du har sendt en virus til ..@.."
- Nej! Du behøver ikke være afsenderen af virussen, da virussen
skriver alle mulige på som afsendere.

Argf - hvorfor kan antivirusproducenterne ikke få fikset det problem!

X-FUT: dk.edb.sikkerhed.virus

Venligst,
Lasse Hedegaard

--
http://www.simlock.dk/ - låsesmeden til din mobiltelefon.

---

Lasse Hedegaard wrote:
> Per H. Nielsen skrev:
>
>> Umiddelbart ser det ud til, at virussen i første omgang er sendt til
>> adressen nyhedsbrev@telmore.dk og på den måde videresendt til
>> abonnenterne på nyhedsbrevet.
>
> Det tror jeg ikke - forhåbentlig er der beskyttelse på, så alle og
> enhver ikke kan sende sådan en mail.

Den beskyttelse var glippet:
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=20561


--
Per H. Nielsen <phn@dkscan.dkx>
My Danish Scanner Pages: http://www.dkscan.dk
To reply to this change .dkx to .dk in my address.

---

In article <bj87em$14ko$1@news.cybercity.dk>, Sid wrote:
> Har i også modtaget en virus fra Telmore, sammen med deres nyhedsbrev??

I en kort periode i går aftes var det muligt at sende mails gennem en af
vores mail servere, og det var der desværre en computer med virus, som
brugte. Det betyder at op til 400 kunder modtog en mail med virus, som
var sendt igennem en af vores mail servere.

De pågældende kunder har i dag modtaget en email fra os, be
beskrivelse af, hvordan de sikrer sig, at de ikke har fået inficereret
deres computer.

--
Lars Jakobsen, IT-chef
TELMORE

---

"TELMORE - Lars Jakobsen" <ljnews@telmore.dk> skrev i en meddelelse
news:slrnblhb8f.1se0.ljnews@uranus.renoz.dk...
> In article <bj87em$14ko$1@news.cybercity.dk>, Sid wrote:
> > Har i også modtaget en virus fra Telmore, sammen med deres nyhedsbrev??
>
> I en kort periode i går aftes var det muligt at sende mails gennem en af
> vores mail servere, og det var der desværre en computer med virus, som
> brugte. Det betyder at op til 400 kunder modtog en mail med virus, som
> var sendt igennem en af vores mail servere.
>
> De pågældende kunder har i dag modtaget en email fra os, be
> beskrivelse af, hvordan de sikrer sig, at de ikke har fået inficereret
> deres computer.

Den har jeg så ikke fået men vidste godt i forvejen hvad der skulle gøres.
Desuden var der INGEN vedhæftede filer men blot en advarsel fra
en server om at der var blevet sendt en mail med virus til Telmore via
nyhedsbrevsadressen.

Nu er der jo mange af de virusser der er aktive for øjeblikket der spoofer
afsenderadressen
så den kan jo komme fra enhver maskine der har nyhedsbrev@telmore.dk i
adressebogen eller blot liggende
ukrypteret i en hvilken som helst fil. Det benytter den i øjeblikket aktive
Sobig.F sig bl.a. af.

I praksis betyder det jo at afsenderen kun kan kortlægges ved ISP'ens hjælp
altså ved at se
op ip-adressen og afsendelses / modtagelsestidspunktet. Ved at kende de to
ting kan ISP'en gå tilbage
i deres log over hvem der har været forbundet på f.eks.
afsendelsestidspunktet og se hvilket brugernavn og
kode der er blevet logget på med. Med den viden vil de kunne finde ud af
hvem der eksakt har været logget på samt hvorfra
i verden det er sket. Men det er en tidskrævende og kostelig afære som de
fleste ISP'er nok kun ville bruge i reelle datakriminalitetssager. Altså
hvor man har decideret hacket sig ind og måske lavet noget om eller har
stjålet noget.

I virussager plejer den slags jo at fortage sig rimeligt hurtigt af sig
selv.

Steven.

--
Motorola Flare, Nokia 2110i, Alcatel One Touch Easy HF, Alcatel One Touch
Com, Nokia 9000, Nokia 9110 og nu Nokia 7650.
Så jo - jeg ved hvad jeg snakker om.

---

"Steven Nybo Andersen" <steven@1977privat.dk> wrote in message
news:3f59460c$0$97227$edfadb0f@dread12.news.tele.dk...

> Den har jeg så ikke fået men vidste godt i forvejen hvad der skulle gøres.
> Desuden var der INGEN vedhæftede filer

Den fik jeg da.

> men blot en advarsel fra
> en server om at der var blevet sendt en mail med virus til Telmore via
> nyhedsbrevsadressen.

Du mener, "en advarsel fra en server, om at der var blevet sendt en mail med
virus _fra_ Telmore via nyhedsbrevsadressen"? Det stod der i mine 8 mails
fra fremmede servere.

> Nu er der jo mange af de virusser der er aktive for øjeblikket der spoofer
> afsenderadressen
> så den kan jo komme fra enhver maskine der har nyhedsbrev@telmore.dk i
> adressebogen eller blot liggende

Jo, men nu har der jo været indrømmelser:

http://www.computerworld.dk/default.asp?Mode=2&ArticleID=20561

> I virussager plejer den slags jo at fortage sig rimeligt hurtigt af sig
> selv.

Ja, Telmore har foretaget ændringer af systemet/arbejdsgangen.

>
> Steven.
>

Nicolai

---

"Nicolai Larsen" <g-l-a-d@sol.dk> skrev i en meddelelse
news:ekg6b.65703$Kb2.3012860@news010.worldonline.dk...
>
> "Steven Nybo Andersen" <steven@1977privat.dk> wrote in message
> news:3f59460c$0$97227$edfadb0f@dread12.news.tele.dk...
>
> > Den har jeg så ikke fået men vidste godt i forvejen hvad der skulle
gøres.
> > Desuden var der INGEN vedhæftede filer
>
> Den fik jeg da.
>
> > men blot en advarsel fra
> > en server om at der var blevet sendt en mail med virus til Telmore via
> > nyhedsbrevsadressen.
>
> Du mener, "en advarsel fra en server, om at der var blevet sendt en mail
med
> virus _fra_ Telmore via nyhedsbrevsadressen"? Det stod der i mine 8 mails
> fra fremmede servere.

Ja selvfølgelig.

Citat PCWorld "En stor del af disse e-mails var dog autosvar fra andre
kunder, der sendte en advarsel om virussen retur via Telmores mailserver og
videre ud til kunderne, oplyser selskabet" Citat slut.

Det er selvfølgelig den jeg har fået

Har også fået et par stykker fra Fotokritik.dk af samme slags. Hver bruger
har sin egen mail-adresse derinde bestående af bruger@fotokritik.dk og det
er den virussen har set og spoofed adressen på så den sender i en anden
brugers navn.
på den måde sker lidt af det samme som skete i Telmore-eksemplet dog ikke
lige så centralt.

> > Nu er der jo mange af de virusser der er aktive for øjeblikket der
spoofer
> > afsenderadressen
> > så den kan jo komme fra enhver maskine der har nyhedsbrev@telmore.dk i
> > adressebogen eller blot liggende
>
> Jo, men nu har der jo været indrømmelser:
>
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=20561

Ja det må siges at være et sammentræf af den mere uheldige type men hvis
folk ellers har haft deres virusberedskab iorden (hvilket alle bør have) så
sker der ikke nnoget ved det.

Steven

--
Motorola Flare, Nokia 2110i, Alcatel One Touch Easy HF, Alcatel One Touch
Com, Nokia 9000, Nokia 9110 og nu Nokia 7650.
Så jo - jeg ved hvad jeg snakker om.