Šta je novo?
Od:
Filteri

Mail - virus, ili sta?

B

Bad Habbit

Slavan
Učlanjen(a)
23.07.2005
Poruke
2,466
Poena
390
Danas mi je u inbox stiglo 30-ak vracenih mail-ova, navodno poslatih sa moje adrese, svim ljudima iz mog imenika (thunderbird koristim). Mail izgleda ovako (obrisao sam samo konkretne mail adrese, da ih ne ostavljam javno).

Kod: 
Delivery to the following recipient failed permanently:

     @gmail.com

Technical details of permanent failure: 
Message rejected.  See http://support.google.com/mail/bin/answer.py?answer=69585 for more information.

----- Original message -----

Return-Path: <@gmail.com>
Received-SPF: pass (google.com: domain of @gmail.com designates 10.220.145.4 as permitted sender) client-ip=10.220.145.4
Authentication-Results: mr.google.com;
       spf=pass (google.com: domain of @gmail.com designates 10.220.145.4 as permitted sender) [email protected];
       dkim=pass [email protected]
X-Received: from mr.google.com ([10.220.145.4])
        by 10.220.145.4 with SMTP id b4mr4006436vcv.94.1375507724402 (num_hops = 1);
        Fri, 02 Aug 2013 22:28:44 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=20120113;
        h=mime-version:date:message-id:subject:from:to:content-type;
        bh=5fHMocEEGsovcmC6TwqOwasAw3Sh7IUisSLXObwrhls=;
        b=eUKu1pEZX41GDYlQZN16hCsD/cm87J4zTuAo/QIW17PIF2ZnQAbR/cNTwuIasqQhyP
         MNhRmaghvwmnysCzmZqAJgu1NdkbXSGMF9H2LmitQw3odCA3t40xUb5eMF5DbdhDGKw7
         +3BnfxFvf2ISXDzSeuZrzVCW2g/AGcgMVXtuL7qHBVa3wnj6+uL2K8bTMUae/uEOBBry
         hQjIiIE0H0/c/l+2VtgGTgKlK01Mw57x3gXP7KbxEyUCs6+i48SmXKxLlxN1qmUhpjGl
         ijbD2ypvAoTt+bwfyX8fJ8k0Hh8ZsqaGHcWuG+JWhJiCr5dSM/62npUTYNRQs/W8CGl2
         3pTQ==
MIME-Version: 1.0
X-Received: by 10.220.145.4 with SMTP id b4mr3062424vcv.94.1375506423860; Fri,
 02 Aug 2013 22:07:03 -0700 (PDT)
Received: by 10.52.74.195 with HTTP; Fri, 2 Aug 2013 22:07:03 -0700 (PDT)
Date: Sat, 3 Aug 2013 07:07:03 +0200
Message-ID: <CAFzaegJdr9C9Ax3bp2BQppk13hRSpxDkBqpuVwbpTOuXLHybpA@mail.gmail.com>
Subject: 
From: <@gmail.com>
To: @gmail.com, @students.uni-mainz.de, 
	@gmail.com, @verat.net, @hotmail.com, 
	@gmail.com, @gmail.com, @gmail.com, 
	@hotmail.com, @yahoo.com, @verat.net, 
	@sbb.rs, @gmail.com, @gmail.com, 
	@gmail.com, @rmqkr.net, @gmail.com, 
	@sezampro.rs,@gmail.com
Content-Type: text/plain; charset=ISO-8859-1

http://seotagg.com/cbxtqn/cyluakntrgkckgwpklxbamzfnt


Ima li neko predstavu sta se ovde dogadja i kako da resim ovaj problem?
 
Da li si probao da pratiš odlazni saobraćaja sa kompa, na kojim portovima (prvenstveno te zanima 25) i koji procesi ga iniciraju? Svaki napredniji firewall ima tu mogućnost, a tu je i TCPView.
 
Probao sam sada preko TCPView-a da pratim saobracaj (valjda sam ukapirao sta se desava). Svchost se cesto aktivira, thunderbird port(61xxx), skype povremeno i neki system proces kome pod posrt stoji net.bios.
 
Imaš ovde listu standardnih portova: https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers. Tebe prvenstveno zanima SMTP (DHCP i NetBIOS saobraćaj je ionako lokalnog karaktera). Za Thunderbird si napisao lokalni port. Na osnovu porta na serveru kome se pristupa, možeš da znaš da li šalje ili preuzima poštu (za POP3 je to 110).

P.S.
Pošto se sender polje lako falsifikuje, moguće je da mejlovi nisu ni otišli sa tvoje mašine, već da je "nešto" samo pokupilo tvoj imenik "od negde".
 
Poslednja izmena:
Izgleda da mi je neko hakovao gmail nalog i onda odradio taj posao. Kada sam pokusao da se ulogujem, dobio sam poruku da mi je nalog suspendovan, jer su se desavale neke neuobicajene aktivnosti. I onda sam ga povratio preko sms-a, promenio sifru i nadam se da nece vise biti takvih problema. Hvala na pomoci.
 
Obavezno skeniraj i racunar jer uvek postoji mogucnost da ti je nalog hakovan tako sto imas keylogger na racunaru, u tom slucaju dzabe menjas sifru jer napadac odma ima svaku novu sifru koju stavis. Na dnu GMail-a imas Last Account Activity details, jel se vidi tu iz koje drzave je pristupano nalogu?
 
Jesam vec, to mi je prvo palo na pamet. Skenirao sam sa NOD32, koji koristim i skrenirao sam i sa malwerbytes anti-malware.

Pogledao sam ove detalje naloga. Ovaj mi je hakovao nalog. Ne znam da li je dovoljno ovo sto sam uradio, ili treba jos nesto da se zastitim?

untitled-1-copy.jpg
 
Poslednja izmena:
Morate se prijaviti ili registrovati da odgovorite ovde.
Vrh Dno