邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 分析一下这样一份病毒邮件 [打印本页]

作者: 云台 时间: 2006-9-12 10:03
标题: 分析一下这样一份病毒邮件
公司今天有同事转了一份病毒邮件给我，我觉得很有趣同时有些问题又不甚明了，所以贴上来请大家给看看。
我先把邮件原文贴出来

发件人: secur@abc.com.cn [mailto:secur@abc.com.cn]
发送时间: 2006年9月12日 9:26
收件人: Long Yanjun
主题: Mail server report.

Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service

从邮件正文看，发件人为我公司后缀的邮箱，很容易迷惑人，但我公司邮箱并没有secur这样一个账号。而且此邮件还包含一个。exe文件，但已经被outlook自动过滤掉了。
从以上可以很明显的判断是病毒邮件。但我想仔细研究一下此邮件就打开了它的邮件头。

Received: from mail2.abc.com.cn ([218.16.46.119]) by abc.com.cn with Microsoft SMTPSVC(6.0.3790.1830);
Tue, 12 Sep 2006 09:24:40 +0800
Date: Tue, 12 Sep 2006 09:26:24 +0800
From: secur@abc.com.cn
Mime-Version: 1.0
To: yjlong@abc.com.cn
Subject: Mail server report.
Content-Type: multipart/mixed;
boundary="-----------85BAC4CD94AC7E29"
Return-Path: secur@abc.com.cn
Message-ID: <DYNA-EXCHANGE93mhl600000ccd@abc.com.cn>

这封邮件从218.16.46.119 这个ip发出，应该不是从我们的邮件服务器发出的，而是从外面发到我们公司的。
但是对方如何伪造这个mail12.dynacat.com.cn的呢？这份邮件的Message-ID又是如何生成的？
现在请你们帮我假设邮件发件人端的情况，是因为对方client段感染病毒自动发送的吗？那病毒是如何利用smtp发信的呢？如何生成Message-ID 之类的东西并尽量做到逼真呢？
谢谢！

[ 本帖最后由云台于 2006-9-12 10:05 编辑 ]

作者: gd263 时间: 2006-9-12 13:30
顶!!!!!!!!!!!!!!!!!!!

作者: ivana 时间: 2006-9-13 22:13
前两天我们也碰上啦。
从网关服务器日志上看来自各个IP的都有，但是邮件报头只有我们服务器，
用MACFEE4848病毒库查杀未果，
后手动清除。

欢迎光临邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/)