.. z Gormenghast napisał:

> 1. -------
> Content-Disposition: attachment;
> filename="thank_you.pif"
>
> 2.-------
> Content-Disposition: attachment;
> filename="details.pif"
>
> 3.-------
> Content-Disposition: attachment;
> filename="wicked_scr.scr"
>
> 4.--------
> Content-Disposition: attachment;
> filename="document_all.pif"
>
> ===================
>
> Czy jest na sali jakiś specjalista? :))
> (informatyk/przyjazny_admin?;
> taki od paranoi mnie nie interesuje bo nie wyciągam - niestety -
> żadnych wniosków).

Tak All, z żalem muszę przyznać, że to zaczątek paranoi. Ja tam się nie
czepiam zbytnio Twojej walki z cieniami na grupie, do Ciebie też nic nie
mam, ale w połączeniu z poniższym tekstem, powinieneś rozważyć, czy jest
sens tak szaleć i czy przypadkiem nie zdrowiej jest kasować każdy spam,
bez czytanie i dochodzenia po co, skąd, kto. Gdybym miał Twoje
podejście, to bym chyba oszalał - mam codziennie z 10 przesyłek
spamowych i od kilku dni próby przejęcia kompa z różnych adresów [RPC
Remote Procedure Call], gdzie dawniej to była rzadkość [przeważnie tylko
szczytywanie Netbiosu] ;) Moja rada - wsiąść do autobusu miejskiego i
pojechać do Choinika, Cieplic, PKS'em do Kowar czy PKP do Szklarskiej
[sam bym pojechał, ale za daleko i za drogo]. :)
Niestety nie uprawiam prywatnej korespondencji i posyłam to na grupę, bo
nie tylko Ty możesz się nauczyć z takiej lekcji czegoś dobrego.
Poniżej News z MKS'a:

### ALERT WIRUSOWY - Sobig.F ###

Sobig.F jest nową odmianą znanego robaka rozsyłającego swoje kopie
za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do
listu elektronicznego o następujących parametrach:


Temat: [jeden z poniższych]

Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!

Treść: [jedna z poniższych]

Please see the attached file for details.
See the attached file for details

Załącznik: [jeden z poniższych]

movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif

Uwaga ! adres nadawcy wiadomości zawierającej robaka wybierany jest
losowo przez robaka, podobnie jak adres odbiorcy. Zatem otrzymanie
listu z robakiem nie oznacza bynajmniej, że adres znajdujący się w
polu nadawcy należy do zainfekowanego użytkownika.

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na
dysku swoją kopię oraz modyfikuje tak rejestr by jego kopia była
uruchamiana przy każdym starcie systemu Windows.

W kolejnym etapie swego działanie robak rozprzestrzenia się w sieci
lokalnej starając się stworzyć swoje kopie na innych komputerach w
następujących katalogach, jeżeli są dostępne do zapisu:


c:\Windows\All Users\Start Menu\Programs\StartUp
c:\Documents and Settings\All Users\Start Menu\Programs\Startup

Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej
do wszystkich adresatów znalezionych w plikach z rozszerzeniami wab,
dbx, htm, html, eml, txt.



Sobig.F jest wykrywany oprogramowaniem mks_vir z bazą wirusów z dnia
2003-08-19 i nowszymi.



Maciej Pałys