RE: [uanog] Помогите найти вирусописателя !
Превед. Ніфіга, Саша, у вас не вийде одноосібно вичислити того пінгвіна. :-/ Поки весь ланцюжок сесій не відновити... Див. аттач. Хоча й старенький документ, але методологія непогано описана. Хоча у вас, певно, NetFlow/CEF нема, бо ж на Cisco etc в тебе ідіосинкразія :))))) Regards, /oleh
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Alexander V Soroka Sent: Wednesday, November 29, 2006 4:31 PM To: uanog@uanog.kiev.ua Subject: [uanog] Помогите найти вирусописателя !
Здравствуйте !
пользователь Esk10578@hotmail.com рассылает вирусы-троянские кони с требованием заплатить ему деньги на электронный кошелек системы WebMoney Z157150377475. у него ICQ 10578 .
Наша служба безопасности пытается найти его реальный IP-адрес и место откуда он выходит на связь. Мы уверены что преступник находится в России или Украине.
Пожалуйста помогите нам - проверьте нет-ли выхода на указанные адреса из Ваших сетей !
...я думаю что и в Ваших интересах найти и наказать преступника.
Спасибо !
-- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Привет ! Wednesday, November 29, 2006, 4:41:35 PM, you wrote: HO> Ніфіга, Саша, у вас не вийде одноосібно вичислити того пінгвіна. :-/ HO> Поки весь ланцюжок сесій не відновити... HO> Див. аттач. Хоча й старенький документ, але методологія непогано описана. HO> Хоча у вас, певно, NetFlow/CEF нема, бо ж на Cisco etc в тебе ідіосинкразія :))))) спасибо за файл :) но все прозаичнее - надо просто проверить свои логи и сказать - было что-то похожее у вас и если было то не с ваших-ли сетей... Я отписал уже и в хотмаил :) и в ICQ - посмотрим - будут помогать или похерят. Вообще-то сам хотмыл или Ася в состоянии клиента вычислить на раз - вопрос в том захотят или нет... -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi Alexander,
Я отписал уже и в хотмаил :) и в ICQ - посмотрим - будут помогать или похерят. Вообще-то сам хотмыл или Ася в состоянии клиента вычислить на раз - вопрос в том захотят или нет...
А он что, все письма именно через web-интерфейс хотмейла шлет? Если да, почему самому IP в заголовках не посмотреть? :) Про ICQ сказал уже - непонятно, зачем нужна их помощь. Да и вообще - чего там продают-то? Закажи себе и вперед :) -- Michael =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Привет ! Wednesday, November 29, 2006, 5:11:49 PM, you wrote:
Я отписал уже и в хотмаил :) и в ICQ - посмотрим - будут помогать или похерят. Вообще-то сам хотмыл или Ася в состоянии клиента вычислить на раз - вопрос в том захотят или нет...
MP> А он что, все письма именно через web-интерфейс хотмейла шлет? MP> Если да, почему самому IP в заголовках не посмотреть? :) не через меня шлет. MP> Про ICQ сказал уже - непонятно, зачем нужна их помощь. MP> Да и вообще - чего там продают-то? Закажи себе и вперед :) :) ребята, ну давайте без детских советов ? если-бы все так просто было - яб не писал сюда... -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Nov 29, 2006 at 04:56:33PM +0200, Alexander V Soroka wrote:
Привет !
Wednesday, November 29, 2006, 4:41:35 PM, you wrote: HO> Н?ф?га, Саша, у вас не вийде одноос?бно вичислити того п?нгв?на. :-/ HO> Поки весь ланцюжок сес?й не в?дновити... HO> Див. аттач. Хоча й старенький документ, але методолог?я непогано описана. HO> Хоча у вас, певно, NetFlow/CEF нема, бо ж на Cisco etc в тебе ?д?осинкраз?я :)))))
спасибо за файл :) но все прозаичнее - надо просто проверить свои логи и сказать - было что-то похожее у вас и если было то не с ваших-ли сетей...
Есть еще abuse@webmoney.ru Хотя они странные. Впрочем если есть полный текст письма (с хидерами) с угрозами - пришлите его мне на abuse@ecommerce.com, я сам с webmoney.ru попробую связаться, они мои customers. Можно будет попробовать закрыть этот кошелек.
Я отписал уже и в хотмаил :) и в ICQ - посмотрим - будут помогать или похерят. Вообще-то сам хотмыл или Ася в состоянии клиента вычислить на раз - вопрос в том захотят или нет...
-- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua
Hi Alexander, MP>> А он что, все письма именно через web-интерфейс хотмейла шлет? MP>> Если да, почему самому IP в заголовках не посмотреть? :)
не через меня шлет.
MP>> Про ICQ сказал уже - непонятно, зачем нужна их помощь. MP>> Да и вообще - чего там продают-то? Закажи себе и вперед :)
:) ребята, ну давайте без детских советов ? если-бы все так просто было - яб не писал сюда...
Я правильно понимаю, что нету ни одного образца письма с вирусом и посмотреть IP в заголовках поэтому негде? -- Michael =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Привет ! Wednesday, November 29, 2006, 5:22:54 PM, you wrote: OVN> Есть еще abuse@webmoney.ru OVN> Хотя они странные. Впрочем если есть полный текст письма (с хидерами) с OVN> угрозами - пришлите его мне на abuse@ecommerce.com, я сам с webmoney.ru OVN> попробую связаться, они мои customers. Можно будет попробовать закрыть OVN> этот кошелек. все данны ео пользователе получены из тела вируса. писем у меня нет. -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Wed, Nov 29, 2006 at 04:56:33PM +0200, Alexander V Soroka writes: AVS> но все прозаичнее - надо просто проверить свои логи и сказать - было AVS> что-то похожее у вас и если было то не с ваших-ли сетей... А похожее - это что? Ходили ли юзеры на webmoney, icq и hotmail? ;-) Даже если б были логи всего IP-трафика пользователей (например, в виде netflow), они в данной ситуации мало помогли бы. Тут ведь нужно уже L4 анализировать (не просто IP, а какой email, какой icq uin), а такие логи вряд ли у кого есть - это ж нужно уже просто весь трафик сохранять и потом анализировать. AVS> Я отписал уже и в хотмаил :) и в ICQ - посмотрим - будут помогать или AVS> похерят. Вообще-то сам хотмыл или Ася в состоянии клиента вычислить на AVS> раз - вопрос в том захотят или нет... -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (5)
-
Alexander V Soroka -
Hrynchuk Oleh -
Michael Petuschak -
Oleg V. Nauman -
Pavel Gulchouck