---

Hejsa

En person er begyndt at bruge mit domane navn til udsendelse af spam
mail. Hvad gør man?

Her er nogle data jeg har fundet frem til.:
***
Received: from [80.63.53.30] by vmail1.wannafind.dk [80.63.53.30] with
SmartMax MailMax for nenad@dragic.com; Wed, 12 Nov 2003 21:44:21 +0100
Return-Path: <john@dragic.com>
Received: FROM backup-mx.wannafind.net BY vmail1.wannafind.dk ; Wed
Nov 12 21:44:20 2003 +0100
Received: from localhost (D40A6EA5.rev.stofanet.dk [212.10.110.165])
   by backup-mx.wannafind.net (Postfix) with SMTP id B77F0218520
   for <nenad@dragic.com>; Wed, 12 Nov 2003 21:43:07 +0100 (CET)
From: john@dragic.com
To: Nenad <nenad@dragic.com>
Reply-To: john@dragic.com
Message-Id: <20031112204307.B77F0218520@backup-mx.wannafind.net>
Date: Wed, 12 Nov 2003 21:43:07 +0100 (CET)
***

Mit domaine er dragic.com og han har ikke en email adr. oprettet.
Skal jeg have fat på stofanet?


På forhånd tak
Nenad

---

"Nenad Dragic" <newsgroup@dragic.com> wrote in message
news:ko85rvkfj3f9hicu72lmbmch681lo4tohl@4ax.com...
>
> Mit domaine er dragic.com og han har ikke en email adr. oprettet.
> Skal jeg have fat på stofanet?
>

Du skal nok nærmere have fat i en virus scanner...

http://www.f-secure.com/v-descs/mimail_g.shtml

<Quote>
4. The worm spreads itself in the following message:
From:
john@<domain of the recipient>

Subject:
don't be late! <some random characters>

Body:
Will meet tonight as we agreed, because on Wednesday I don't think I'll
make it,

so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.

<some random characters>

Attachment:
readnow.zip

The attachment is a ZIP archive that contains the worm's executable file
with READNOW.DOC.SCR name.
</Quote>

Jeg har fået flere og de er alle fanget som virus i min postserver...

-- Søren

---

Hmm..

Tilsyneladende er der forskellige informationer vedrørende den samme orm
fra forskellige antivirus fabrikanter, de har alle forskellige sites som
DDOS'es af ormen og selve "orm"-programmet hedder også noget
forskelligt. Spookey...

-- Søren

---

On Wed, 12 Nov 2003 23:24:25 +0100, "Soren Rathje"
<soren%lolle.org@spam.me> wrote:

>Hmm..
>
>Tilsyneladende er der forskellige informationer vedrørende den samme orm
>fra forskellige antivirus fabrikanter, de har alle forskellige sites som
>DDOS'es af ormen og selve "orm"-programmet hedder også noget
>forskelligt. Spookey...

Hejsa

Men jeg modtager ingen tekst, jeg for bare en overskrift og intet
andet. Tror I at stofanet kan finde frem til kunden og fortælle ham at
han elle rhun har et problem?

På forhånd tak
Nenad

---

"Nenad Dragic" <newsgroup@dragic.com> wrote in message
news:1ed5rvc6cusmlk7katup5bvlklfotjkc7t@4ax.com...
>
> Men jeg modtager ingen tekst, jeg for bare en overskrift og intet
> andet. Tror I at stofanet kan finde frem til kunden og fortælle ham at
> han elle rhun har et problem?
>

Send den fulde header samt evt indhold til abuse@stofanet.dk jævnfør
nedenstående, men du skal ikke nære de store forhåbninger om at der sker
noget... Det er meget sjældent jeg har fået tilbagemeldinger på sådan
noget... Jeg melder dem til SpamCop http://www.spamcop.net og lader dem
slås, de har både GRATIS og BETALINGs adgang...

Forhåbentligt kan al den information som SpamCop modtager også bruges
til at udvikle effektive filtre, men det er en anden historie ( og en
anden gruppe ).

-- Søren

whois -h whois.ripe.net 212.10.110.165 ...
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 212.10.96.0 - 212.10.111.255
netname: STOFANET-10
descr: Telia Stofa A/S
descr: Cable operator
country: DK
admin-c: SA958-RIPE
tech-c: SA958-RIPE
rev-srv: ns1.stofanet.dk
rev-srv: ns2.stofanet.dk
status: ASSIGNED PA
mnt-by: STOFA-MNT
changed: registry@adm.stofa.dk 20000502
source: RIPE

route: 212.10.0.0/16
descr: Telia Stofa A/S
origin: AS3308
mnt-by: TELIANETDK-RR
changed: kri@telia.net 20001004
source: RIPE

role: Stofa AS
address: Telia Stofa A/S
address: Uraniavej 6
address: DK-8700 Horsens
address: Denmark
phone: +45 70 10 45 88
fax-no: +45 75 64 27 49
e-mail: support@stofanet.dk
admin-c: TM66-RIPE
tech-c: SA958-RIPE
nic-hdl: SA958-RIPE
remarks: For reporting network abuse, security issues, or spam,
remarks: send e-mail to abuse@stofanet.dk.
mnt-by: STOFA-MNT
changed: nobody@dk-hostmaster.dk 19981001
changed: registry@adm.stofa.dk 20001124
changed: registry@adm.stofa.dk 20010628
source: RIPE

---

On Wed, 12 Nov 2003 22:17:43 +0100, Nenad Dragic
<newsgroup@dragic.com> wrote:

> En person er begyndt at bruge mit domane navn til udsendelse af
> spam mail. Hvad gør man?

Man lærer at leve med det.

Internet mail er i sin natur ikke sikkert, så der er ikke noget,
der forhindrer mig eller hvem som helst, i at sende en mail med
en adresse i dit domæne som afsender.

-A
--
http://www.hojmark.org/

---

Nenad Dragic <newsgroup@dragic.com> wrote in
news:ko85rvkfj3f9hicu72lmbmch681lo4tohl@4ax.com:


> En person er begyndt at bruge mit domane navn til udsendelse af spam
> mail. Hvad gør man?

Lade være med at bruge "catch all" på dit domæne, men opsæt unikke
emailadresser, så bliver alt der ikke er til dig afvist, fordi man så kun
kan sende dig email hvis man kender den komplette adresse, og ikke blot
domænenavnet

En anden metode til at afsløre spammerne, er at give hvert person/firma en
unik emailadresse som du blot kan lukke igen i din alias opsætning.

Simon

---

Nenad Dragic wrote:
>
> Hejsa
>
> En person er begyndt at bruge mit domane navn til udsendelse af spam
> mail. Hvad gør man?
>
> Her er nogle data jeg har fundet frem til.:
> ***
> Received: from [80.63.53.30] by vmail1.wannafind.dk [80.63.53.30] with
> SmartMax MailMax for nenad@dragic.com; Wed, 12 Nov 2003 21:44:21 +0100
> Return-Path: <john@dragic.com>
> Received: FROM backup-mx.wannafind.net BY vmail1.wannafind.dk ; Wed
> Nov 12 21:44:20 2003 +0100
> Received: from localhost (D40A6EA5.rev.stofanet.dk [212.10.110.165])
> by backup-mx.wannafind.net (Postfix) with SMTP id B77F0218520
> for <nenad@dragic.com>; Wed, 12 Nov 2003 21:43:07 +0100 (CET)
> From: john@dragic.com
> To: Nenad <nenad@dragic.com>
> Reply-To: john@dragic.com
> Message-Id: <20031112204307.B77F0218520@backup-mx.wannafind.net>
> Date: Wed, 12 Nov 2003 21:43:07 +0100 (CET)
> ***

De headers ser ikke helt normale ud, de ser heller ikke komplette
ud. Jeg tænker specielt på den havle Received header, og de headers
mellem Received headerne, som normalt ville have stået længere nede.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3FB34F24.22695385@daimi.au.dk...
>
> De headers ser ikke helt normale ud, de ser heller ikke komplette
> ud. Jeg tænker specielt på den havle Received header, og de headers
> mellem Received headerne, som normalt ville have stået længere nede.
>

Vi bør tage dette til dk.edb.sikkerhed.virus men den læser jeg ikke..
Desuden er der vist ikke mere kød der kan pilles af her..

De ser næsten ud som dem jeg modtager (bruger & domæne er sløret)... Det
interessante er de to vedlæg, readnow.zip og message.eml. Hvis
modtagerens postserver ikke kan forstå/fortolke EML vedlæg så vil mailen
fremstå som en tom email. Readnow.zip indeholder med garanti (500%
sikkerhed) en virus ved navn Mimail.G og den *kan* være fjernet
undervejs i en proxy.

Nedenstående er fra min postservers LOG..

ns.net.dhis.org er backup MX for mit domæne hos DDNS udbyderen
fupA.post.tele.dk er backup MX for min ADSL forbindelse (port 25 lukket)

Processing message from 195.41.53.68 [195.41.53.68]
From: john@*domain*
To: *removed*@*domain*
Subj: don't be late! oewokouk
Att: readnow.zip
Att: message.eml
Prio: 1 / 3
RR: N
Size: 15 K
Hdr: Received: from 195.41.53.68 [195.41.53.68] by mx.*domain* with
SMTPBeamer v3.35 ; Tue, 11 Nov 2003 18:14:57 +0100
Hdr: Received: from ns.net.dhis.org (unknown [61.194.78.30]) by
fupA.post.tele.dk (Postfix) with ESMTP id 86629B845 for
<*removed*@*domain*>; Tue, 11 Nov 2003 18:14:48 +0100 (CET)
Hdr: Received: from localhost (chello062178107106.8.12.vie.surfer.at
[62.178.107.106]) by ns.net.dhis.org (8.11.6/8.11.6) with SMTP id
hABHEPr22629 for <*removed*@*domain*>; Wed, 12 Nov 2003 02:14:29 +0900
Hdr: Date: Wed, 12 Nov 2003 02:14:29 +0900
Hdr: Message-Id: <200311111714.hABHEPr22629@ns.net.dhis.org>
Hdr: From: john@*domain*
Hdr: To: Louise <*removed*@*domain*>
Hdr: Reply-To: john@*domain*
Hdr: X-Priority: 1 (High)
Hdr: Subject: don't be late! oewokouk
Hdr: MIME-Version: 1.0
Hdr: Content-Type: multipart/mixed; boundary="----------22C2D4420019D39"
Scanning attachments for virus...
Virus scanner reported virus infection for readnow.zip
Sending DSN (type failed) 5.9.1 (Virus infection) to john@*domain*

-- Søren

---

Nenad Dragic skrev:
> Hejsa
>
> En person er begyndt at bruge mit domane navn til udsendelse af spam
> mail. Hvad gør man?
>
> Her er nogle data jeg har fundet frem til.:
> ***
> Received: from [80.63.53.30] by vmail1.wannafind.dk [80.63.53.30] with
> SmartMax MailMax for nenad@dragic.com; Wed, 12 Nov 2003 21:44:21 +0100
> Return-Path: <john@dragic.com>
> Received: FROM backup-mx.wannafind.net BY vmail1.wannafind.dk ; Wed
> Nov 12 21:44:20 2003 +0100
> Received: from localhost (D40A6EA5.rev.stofanet.dk [212.10.110.165])
>    by backup-mx.wannafind.net (Postfix) with SMTP id B77F0218520
>    for <nenad@dragic.com>; Wed, 12 Nov 2003 21:43:07 +0100 (CET)
> From: john@dragic.com
> To: Nenad <nenad@dragic.com>
> Reply-To: john@dragic.com
> Message-Id: <20031112204307.B77F0218520@backup-mx.wannafind.net>
> Date: Wed, 12 Nov 2003 21:43:07 +0100 (CET)
> ***
>
> Mit domaine er dragic.com og han har ikke en email adr. oprettet.
> Skal jeg have fat på stofanet?
>
>
> På forhånd tak
> Nenad
Hej.
Denne mail med john@domæne.xx kommer til mangeforskellige udbydere.
Også her hos mig på flere forskellige domæner.
Der er aldrig noget indhold i mailen.
Jeg ved ikke hvad sjov vedkommende har af det.
Jeg blokerer den i min "spamfighter", så ser jeg ikke igen.

Det er bare ikke så spændende, hvis man hedder john og bruger navnet.

m.v.h.
Erling Simonsen