BIT legt met wormen besmette computers vast in database

Spam is een gevolg van dit soort virusinfecties. Tegenwoordig zorgen de meeste virussen niet louter meer voor geinfecteerde bestanden en reproductie, maar zetten ook meteen even een achterdeurtje open. Tevens geven ze een bericht 'naar huis' om te weten waar ze zich bevinden, welk ip en mogelijk welke poort en eventueel welk wachtwoord. Op deze manier verkopen virusschrijvers deze databases aan spammers.

Maar volgens mij versturen die virussen dan nog via port 25, en dat zou @Home weer wel kunnen checken/blocken oid.

Dat is nu juist het goede van het blokken van IP adressen.
Alle Providers zouden dat IMO moeten doen.

Een e-mail gestuurd via de eigen SMTP van het virus heeft in de header van de e-mail het IP adres van de PC staan waar het vandaan komt, en zo kan je het dus filteren.

Ik weet zeker dat er veel Tweakers zijn die steeds van hetzelfe IP adres virus rommel krijgen . Andere afzender zelfde IP adres = Dezelfde PC.

Wat ze verder nog kunnen doen? Een actiever abuse-beleid voeren en besmette klanten per direct afsluiten (tijdelijk) tot ze plechtig beloven voortaan hun systeem virusvrij te houden. Gebeurt het daarna nog eens, weer afsluiten, maar dan een stuk langer (net zo lang tot de abonnee het snapt).
Dat contrasteert nogal met het huidige @Home abusebeleid, waarbij je na een dag of 10 pas reactie krijgt en een maand later nog altijd virusmails van dezelfde abonnee ontvangt.

Als je met zo'n systeem makkelijk alle (of een groot deel van de) besmette abonnees snel kunt vinden en aanpakken, dan is dat een forse stap vooruit.

Mja, je kunt wel rustig alle mailtjes gaan virusscannen, maar bekijk het eens anders:

- elke mailscan kost tijd
- elke spamcheck kost tijd

Ik heb vandaag een postfix server opgezet die de volgende dingen doet:
- 10s wachten bij elke SMTP protocol error, ook een onbekende user genereert een error
- na 5 errors standaard na elk commando 10s wachten
- na 10 errors de klootzak eruitgooien met een "rot-op" error

Meteen bij het aannemen van de connectie wordt er al een RBL check gedaan. Als de host in ORDB staat, wordt ie eruitgekieperd. Vervolgens wordt gecontroleerd of het FROM adres wat ze opgeven een fatsoenlijk adres is van een domein wat bestaat. De TO adressen hetzelfde.

Als ie daar doorheen komt, wordt er pas gekeken of de af te leveren mail eigenlijk wel in mn relay_domains lijst voorkomt, zo nee: oprotten.

Mocht het ding dan alsnog doorkomen, dan gaat ie door een filter: eerst door ripmime om de attachments uit te pakken. Geeft die behalve bestanden ook output, dan wordt de mail gedropt, omdat het zeer waarschijnlijk spam met brakke MIME is (en anders moet de zender maar een fatsoenlijke mailclient gebruiken).

Volgende stap is het stuk voor stuk scannen van de uitgepakte bestanden met sophos/sophie. Zodra er ook maar 1 bestand besmet is, wordt de mail meteen gedropt en worden from en to adressen gelogd, evenals de datum en de naam van het virus.

Mocht de mail dusdanig ver komen dat ie alsnog doorkomt, dan gaat spamassassin (hele dure check, kost 5s per mailtje ) er nog maar eens overheen en tagt een score in het mailtje. Dan is het aan de gebruiker wat ie met de tag doet.

Zal morgen nog ff wat mime checks en .bat/com/exe/scr/pif checks inbouwen, hoe eerder je zo'n bericht stopt, hoe sneller de mail verwerkt wordt.

De vele checks hebben wel geholpen: gemiddeld had ik per dag iets van 350 virussen, vandaag was dat met dit nieuwe systeem slechts 75 stuks op 12 uren.