作者 主題: 最近收到這種病毒信  (閱讀 4456 次)

0 會員 與 1 訪客 正在閱讀本文。

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
最近收到這種病毒信
« 於: 2008-08-13 10:21 »
我們公司大部分人都用 Yahoo 即時通做聯絡,所以名單裡幾乎都是公司同事,
最近兩天陸續有幾個人收到這種信,特色是寄件人都是同事的 Yahoo 帳號,
收件人欄位都是錯誤的無關 Email,但卻能命中目標的 Yahoo 信箱(就是我),
我把其中幾封的檔頭列出來,個人帳號的部份已馬賽克。
各段最後一行都是附加檔案,裡面照慣例當然是病毒了,
請問這種信到底是怎麼寄到正確的收件人(我)的?
代碼: [選擇]
From Lee Fri Aug 8 12:16:09 2008
Return-Path: <wenli***@yahoo.com.tw>
Authentication-Results: mta110.mail.tp2.yahoo.com from=yahoo.com.tw; domainkeys=pass (ok)
Received: from 203.188.200.156 (HELO web72606.mail.tp2.yahoo.com) (203.188.200.156) by mta110.mail.tp2.yahoo.com with SMTP; Fri, 08 Aug 2008 12:16:09 +0800
Received: (qmail 90689 invoked by uid 60001); 8 Aug 2008 04:16:09 -0000
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.com.tw; h=Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type:Message-ID; b=vJqpRqvgkbuBM+pI0fcJDDsdfCKKtG+TiCBIxmMM9JjV89aTs17VjFmSYIhFhlMdZQ08RBn8GwFvIgF27kQA+yM09/G2mJ49t9kykhUoceo/fo5SN6usC4v69eEKoBaVVhPBuTKzpN6scLgGKY+96lbl3dtQvOmj48I3F1Focck=;
Received: from [59.58.232.68] by web72606.mail.tp2.yahoo.com via HTTP; Fri, 08 Aug 2008 12:16:09 CST
Date: Fri, 8 Aug 2008 12:16:09 +0800 (CST)
From: 此寄件者已經過 DomainKeys 核查
Lee <wenli***@yahoo.com.tw> 
將寄件者加入至通訊錄
Subject: =?big5?B?s2+78qZopNHB2ahTpqyo7KlwqrqmXqtIPw==?=
To: mina591116@yahoo.com.tw
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="0-850098714-1218168969=:90142"
Message-ID: <372186.90142.qm@web72606.mail.tp2.yahoo.com>
Content-Length: 317528
 Message contains attachments
mail.gz (232KB)
代碼: [選擇]
Return-Path:   <janet0725***@yahoo.com.tw>
Authentication-Results:mta178.mail.tp2.yahoo.com from=yahoo.com.tw; domainkeys=pass (ok)
Received:from 203.188.200.102 (HELO web72312.mail.tp2.yahoo.com) (203.188.200.102) by mta178.mail.tp2.yahoo.com with SMTP; Tue, 12 Aug 2008 06:55:40 +0800
Received:(qmail 26783 invoked by uid 60001); 11 Aug 2008 22:55:39 -0000
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.com.tw; h=Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type:Message-ID; b=QEn5P3LtDtKJzJkV8Z3DpJ8Ss1O7fGx+A44RDRcim25kzfYmeZKF4xrbpd454QHs9uDMz/WRJJfIziaYCnFnSV3vn9YovzDxVY9MxXlKklUXz7XiuCQb+TMo1fZDb2LKXA3uzNHDpius7VpKd6D23EsFpWLiRkvTsdTvDv/SG5g=;
Received:from [59.60.184.239] by web72312.mail.tp2.yahoo.com via HTTP; Tue, 12 Aug 2008 06:55:39 CST
Date:Tue, 12 Aug 2008 06:55:39 +0800 (CST)
From:此寄件者已經過 DomainKeys 核查
Su janet <janet0725***@yahoo.com.tw> 
檢視聯絡人詳細資料
Subject:=?big5?B?s2+78qZopNHB2ahTpqyo7KlwqrqmXqtIPw==?=
To:queeny.chang@maxvision.com.tw
MIME-Version:1.0
Content-Type:multipart/mixed; boundary="0-129590364-1218495339=:26761"
Message-ID:<843191.26761.qm@web72312.mail.tp2.yahoo.com>
Content-Length:314592
 Message contains attachments
mail.gz (230KB)
代碼: [選擇]
Return-Path:     <liuyc****@yahoo.com.tw>
Authentication-Results: mta127.mail.tp2.yahoo.com from=yahoo.com.tw; domainkeys=pass (ok)
Received: from 119.160.244.198 (HELO n3b.bullet.tw1.yahoo.com) (119.160.244.198) by mta127.mail.tp2.yahoo.com with SMTP; Fri, 08 Aug 2008 04:49:07 +0800
Received: from [119.160.244.77] by n3.bullet.tw1.yahoo.com with NNFMP; 07 Aug 2008 20:49:06 -0000
Received: from [203.188.203.184] by t2.bullet.tw1.yahoo.com with NNFMP; 07 Aug 2008 20:49:05 -0000
Received: from [127.0.0.1] by omp103.mail.tp2.yahoo.com with NNFMP; 07 Aug 2008 20:49:05 -0000
Received: (qmail 7041 invoked by uid 60001); 7 Aug 2008 20:49:04 -0000
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.com.tw; h=Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type:Message-ID; b=J0/gnf8IDqCpPXr0tQfnyFJtlbAOq90+U2RReK1LTFyq6SG8t7lcfTdUe41k6d7Da/SRdJmCCTUKbpDmbUSeUKWiChsdPZrmvOjP7yIJjw/qJpg+crdmsnZnnTmY7e/Lp8Ms3RMzWSCjufsRRRT0iizkVDXYMozNGXusZQLMdxw=;
Received: from [59.60.187.152] by web73213.mail.tp2.yahoo.com via HTTP; Fri, 08 Aug 2008 04:49:04 CST
Date: Fri, 8 Aug 2008 04:49:04 +0800 (CST)
From: 此寄件者已經過 DomainKeys 核查
=?big5?B?vEK5QrhS?= <liuyc****@yahoo.com.tw> 
將寄件者加入至通訊錄
Subject: =?big5?B?wdy90KVkIA==?=
To: foryou.jack@msa.hinet.net
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="0-783415699-1218142144=:2299"
Message-ID: <538955.2299.qm@web73213.mail.tp2.yahoo.com>
Content-Length: 304538
 Message contains attachments
邀請涵.zip (223KB)
« 上次編輯: 2008-08-13 10:31 由 threeseconds »
本文作者為天線寶寶,長期關注兒童智力發展狀態。

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 最近收到這種病毒信
« 回覆 #1 於: 2008-08-13 10:31 »
信件表頭裡 To: 的資料可以另外指定啊, 跟實際的收信人無關..

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
回覆: 最近收到這種病毒信
« 回覆 #2 於: 2008-08-13 11:15 »
信件表頭裡 To: 的資料可以另外指定啊, 跟實際的收信人無關..
請問,既然大部分資訊都可以造假,
那 Mail Server 如何將信件送到正確的目標?
本文作者為天線寶寶,長期關注兒童智力發展狀態。

hoyo

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 4051
  • 性別: 男
  • 有需要的時候,學習就不會分階段。
    • 檢視個人資料
    • 樂咖黑電腦學習網
回覆: 最近收到這種病毒信
« 回覆 #3 於: 2008-08-13 11:31 »
信件表頭裡 To: 的資料可以另外指定啊, 跟實際的收信人無關..
請問,既然大部分資訊都可以造假,
那 Mail Server 如何將信件送到正確的目標?

這裡 有 SMTP protocol 的簡單講解,

自行使用 telnet 測試大概就知道是怎麼一回事了
受人與魚,不如授人與漁
上海自來水來自海上;倫敦好奇人奇好敦倫

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
回覆: 最近收到這種病毒信
« 回覆 #4 於: 2008-08-13 11:36 »
其實簡單的想, 你認為 bcc 的信怎麼處理的呢? 和上頭那封有什麼不一樣嗎?
都是收到信, 但是收件人沒有你啊.