Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties
Bron: BIT, submitter: gekkehuis

De zakelijke internetprovider BIT houdt sinds twee weken bij welke pc's besmette e-mails verspreiden. Het systeem, dat VIRBL wordt genoemd, werkt volautomatisch. In een database worden systemen opgenomen waarvan binnen 24 uur meer dan twee van een virus voorziene berichten worden ontvangen. Het IP-adres van het besmette systeem wordt voor 24 uur op de zwarte lijst geplaatst. Mailservers van bekende internetproviders worden uitgesloten van deze regel. Andere providers kunnen ook hun voordeel doen met het systeem: Xs4all, Zonnet en IS Internet Services beschikken inmiddels ook over de gegevens.

ComputervirusHet systeem heeft nu al bewezen dat het werkt, de mailservers van BIT hebben het veel minder druk sinds VIRBL actief is. Het systeem wordt ook gebruikt om de eigenaren van de geblockte systemen te kunnen waarschuwen. Uit de database blijkt dat providers zoals @Home, Tiscali en Chello klanten hebben die grote hoeveelheiden virusmailtjes versturen. De klanten van Chello zijn samen goed voor ruim 27.000 besmette berichten, Tiscali vinden we op de tweede plaats met 23.000 e-mails. @Home is derde door het versturen van 20.000 virussen vanaf een account van deze provider.

Moderatie-faq Wijzig weergave

Reacties (61)

Wanadoo doet "zoiets" outgoing; Alle toegang tot poort 25 (SMTP servers) is geblokkeerd m.u.v. hun eigen SMTP server die vervolgens alle uitgaande .exe attachments als virus beschouwd en blokkeerd... ťrg handig aangezien geen enkele Wanadoo klant dus nog .exe's kan versturen via mail.
Vroeger stuurde ik specifieke fixes/versies van mijn programma's via mail aan klanten, nu mag ik daar noch de SMTP server van Wanadoo gebruiken (omdattie alles blokkeerd), noch de (overigens veel snellerre) SMTP server van mijn webspace host gebruiken.
:(
Kennelijk vindt Wanadoo dat dergelijk accounts alleen bedoeld zijn voor gewone surfers, niet voor creatieve geesten die .exe's produceren. Maar als je je .exe inpakt, in bijv. een zip-file (met password)?
Zipfiles kunnen ook gescand worden, bestanden die in de zipfile zitten kunnen verboden worden op basis van extentie en zipfiles met een password komen bij mij al helemaal niet meer door.

Ik heb al virussen gezien in een password protected zippie met de mededeling daarbij "het wachtwoord is 1234".
er zitten een aantal nadelen aan het systeem, twee belangrijke:

de e-mails die vanaf de geÔnfecteerde pc verstuurd worden verdwijnen in het niets, er is geen feedback dat deze niet is bezorgd.

iemand is simpel te framen, ip-adressen zijn te spoofen en zelfs een mailserver is hierdoor lam te leggen, zolang deze maar niet in het systeem geregistreerd staat als mailserver. (en dat zijn er genoeg..)
op het moment dat een ip-adres/pc afgesloten wordt door dit systeem, kan die pc (met mail server) dus geen verbinding maken met het internet. Een normale mailserver merkt dat, en blijft 4 dagen proberen om de mail te versturen. na 4 uur krijgt de gebruiker een melding in zijn eigen (lokale) mailbox dat er problemen zijn met de verzending.
virussen met hun eigen mailserver zullen misschien ook zo werken, maar die kunnen de "afzender"niet informeren omdat de mailbox van die persoon ook op een andere server staat, en er daarvoor ook een mail verstuurd moet worden (die ook geblokt wordt...)
Ik vind het helemaal geen slecht idee, het lijkt me dat hiermee een virus uitbraak redelijk snel afgeremd kan worden. Doordat BIT deelt die gegevens ook met andere providers deelt zou het best nog wel eens kunnen werken
Het delen van die info met andere prividers heeft weinig zin...

wat willen die daarmee doen? ook 24 uur mailtjes van die user blocken, die al door BIT geblocked zijn :?
Nee, in de BIT database staan de IP-adressen van de PC's waar "vuile" e-mail vadaan komt. Met gegevens uit die database kunnen de betreffende providers dus gewoon klanten die -onwetend |:( - virussen verspreiden van internet halen.

Ga maar eens kijken op die BIT site.
edit: typo.
Ik vind het helemaal geen slecht idee, het lijkt me dat hiermee een virus uitbraak redelijk snel afgeremd kan worden. Doordat BIT die gegevens ook met andere providers deelt zou het best nog wel eens kunnen werken
Goed idee. Ik wordt nu al maanden bestookt met zo'n beetje alle varianten van Netsky door een PC in China. ISP gemaild, maar dat helpt ook niet. Ik weet precies wanneer Li zijn PC-tje aan heeft staan |:(

Reactie n.a.v. bovenstaande: de gebruiker van de besmette computer wordt niet echt geblokkeerd omdat alle mail normaal via de SMTP server van de ISP gaat. Alleen mailtjes die direct van de computer in kwestie komen worden door dit systeem geblokkeerd. Dat levert dus alleen een probleem op als je je eigen SMTP server draait. Maar dan is de kans wel erg klein dat je computer besmet is.
er zitten een aantal nadelen aan het systeem, twee belangrijke:

de e-mails die vanaf de geÔnfecteerde pc verstuurd worden verdwijnen in het niets, er is geen feedback dat deze niet is bezorgd.
Dat is niet waar; de blacklist-check gebeurt TIJDENS de SMTP sessie; ofwel de verstuurder krijgt een SMTP error waarin gezegd wordt: opzouten met je mail; je bent geblacklist wegens dit & dit virus ... Nix geen feedback dus ... en een beetje provider die de blacklist gebruikt, neemt ook contact op met z'n virusbesmette klant.

Ofwel: exact hetzelfde als met spam blacklists.
iemand is simpel te framen, ip-adressen zijn te spoofen en zelfs een mailserver is hierdoor lam te leggen, zolang deze maar niet in het systeem geregistreerd staat als mailserver. (en dat zijn er genoeg
Een beetje provider blokkeert IP spoofing - er zijn zelfs RFCs over (1918 en 2827 geloof ik) dit die adviseren, zodat IP spoofing alleen binnen het eigen subnet (bijna altijd C-classe) mogelijk is. Daarmee beperk je het potentieel van IP spoofing. IP spoofing heeft sowieso geen zin; want voor een SMTP sessie heb je toch echt 2-way verkeer nodig ;-). In de meeste IP implementaties is 2-way verkeer spoofen in de praktijk gewoon niet mogelijk, in een lab opstelling wel, maar met een 'live' server toch echt niet.

En daarnaast hanteert BIT een whitelist voor mailservers van providers voor deze blacklist, zodat die nooit geblacklist worden. Ofwel 'dit framen' is een wel heel erg licht wegend argument

Tevens geldt hier dat het argument dat je aanvoert ook voor spam blacklists geldt, maar dat ook hier de voordelen tegen de nadelen opwegen. :Y)
Tsja, wat kan een provider als @home er verder nog aan doen? Ze scannen al alle mail die via hun SMTP weg gaat, en alles wat via pop3 binnenkomt.

Probleem is dat de meeste virussen gewoon eigen SMTP-server spelen, dus dat dat volledig buiten de providers-servers om gaat.
Maar volgens mij versturen die virussen dan nog via port 25, en dat zou @Home weer wel kunnen checken/blocken oid. :Y)
Casema heeft dat hier bij mij dus al gedaan: poortje numero 25 dicht gegooid... Overigens doen ze dat nu standaard heb ik begrepen, niet n.a.v. spamgedrag van mijn kant hoor! ;)
Dat is nu juist het goede van het blokken van IP adressen.
Alle Providers zouden dat IMO moeten doen.

Een e-mail gestuurd via de eigen SMTP van het virus heeft in de header van de e-mail het IP adres van de PC staan waar het vandaan komt, en zo kan je het dus filteren.

Ik weet zeker dat er veel Tweakers zijn die steeds van hetzelfe IP adres virus rommel krijgen :( . Andere afzender zelfde IP adres = Dezelfde PC.
Het mailtje wordt al geblockt voordat het ip in de header komt te staan. :Y)
Een mailserver voegt in de header een Received veld bij. Hierin staat van wie en wanneer hij het mailtje gehad heeft. Als dat een pc is die op een blacklist staat, stopt hij natuurlijk direct met het processen van dat mailtje.
Wat ze verder nog kunnen doen? Een actiever abuse-beleid voeren en besmette klanten per direct afsluiten (tijdelijk) tot ze plechtig beloven voortaan hun systeem virusvrij te houden. Gebeurt het daarna nog eens, weer afsluiten, maar dan een stuk langer (net zo lang tot de abonnee het snapt).
Dat contrasteert nogal met het huidige @Home abusebeleid, waarbij je na een dag of 10 pas reactie krijgt en een maand later nog altijd virusmails van dezelfde abonnee ontvangt.

Als je met zo'n systeem makkelijk alle (of een groot deel van de) besmette abonnees snel kunt vinden en aanpakken, dan is dat een forse stap vooruit.
Mja, je kunt wel rustig alle mailtjes gaan virusscannen, maar bekijk het eens anders:

- elke mailscan kost tijd
- elke spamcheck kost tijd

Ik heb vandaag een postfix server opgezet die de volgende dingen doet:
- 10s wachten bij elke SMTP protocol error, ook een onbekende user genereert een error
- na 5 errors standaard na elk commando 10s wachten
- na 10 errors de klootzak eruitgooien met een "rot-op" error

Meteen bij het aannemen van de connectie wordt er al een RBL check gedaan. Als de host in ORDB staat, wordt ie eruitgekieperd. Vervolgens wordt gecontroleerd of het FROM adres wat ze opgeven een fatsoenlijk adres is van een domein wat bestaat. De TO adressen hetzelfde.

Als ie daar doorheen komt, wordt er pas gekeken of de af te leveren mail eigenlijk wel in mn relay_domains lijst voorkomt, zo nee: oprotten.

Mocht het ding dan alsnog doorkomen, dan gaat ie door een filter: eerst door ripmime om de attachments uit te pakken. Geeft die behalve bestanden ook output, dan wordt de mail gedropt, omdat het zeer waarschijnlijk spam met brakke MIME is (en anders moet de zender maar een fatsoenlijke mailclient gebruiken).

Volgende stap is het stuk voor stuk scannen van de uitgepakte bestanden met sophos/sophie. Zodra er ook maar 1 bestand besmet is, wordt de mail meteen gedropt en worden from en to adressen gelogd, evenals de datum en de naam van het virus.

Mocht de mail dusdanig ver komen dat ie alsnog doorkomt, dan gaat spamassassin (hele dure check, kost 5s per mailtje :X) er nog maar eens overheen en tagt een score in het mailtje. Dan is het aan de gebruiker wat ie met de tag doet.

Zal morgen nog ff wat mime checks en .bat/com/exe/scr/pif checks inbouwen, hoe eerder je zo'n bericht stopt, hoe sneller de mail verwerkt wordt.

De vele checks hebben wel geholpen: gemiddeld had ik per dag iets van 350 virussen, vandaag was dat met dit nieuwe systeem slechts 75 stuks op 12 uren.
En nu nog een systeem dan SPAM aanpakt.
Dan pas ben ik een te vreden internet gebruiker
Dit systeem is dus min of meer afgekeken van de spam-variant.

Wat je doet zijn de 4 getallen van een ipadres omdraaien en daar in het dit geval dnsbl.virbl.bit.nl achter zetten. Voor het IP 1.2.3.4 doe je dus:
4.3.2.1.dnsbl.virbl.bit.nl
Als dat vervolgens via DNS laat resloven krijg je indien het adres in de database is opgenomen 127.0.0.2 terug.

Zelf gebruik ik voor spam hetzelfde, maar dan sbl-xbl.spamhaus.org

Zo goed als elke mailserver ondersteund dit en het heet dus MAPS RBL (Mail Abuse Prevention System - Realtime Blackhole List), google er maar eens op.

Het is verder dus niet echt interessant voor thuis gebruikers die hun mail poppen, maar wel voor providers die een duizenden mailtjes per uur in de pop-boxen aflevert. Bij BIT worden er ongeveer 3500 mails per 5 minuten behandeld en daar worden er nu 1100 van geblokkeerd door deze blocklist.
Spam is een gevolg van dit soort virusinfecties. Tegenwoordig zorgen de meeste virussen niet louter meer voor geinfecteerde bestanden en reproductie, maar zetten ook meteen even een achterdeurtje open. Tevens geven ze een bericht 'naar huis' om te weten waar ze zich bevinden, welk ip en mogelijk welke poort en eventueel welk wachtwoord. Op deze manier verkopen virusschrijvers deze databases aan spammers.
Er zijn al talloze systemen die spam aanpakken, zoals SA of Sniffer. En als je geen zin hebt om dat zelf te installeren hebben bijvoorbeeld de KPN of Reject abonnementen waarbij je zelf niets hoeft te installeren of te kopen.
Ik vind het (in tegenstelling tot anderen) een ontzettend slecht idee. Ik krijg op een dag wel meer dan 2 meldingen dat er e-mails met mij als afzender rondvliegen, die besmet zijn met virussen. En nee, die komen niet van mij. Ik zou het niet bepaald als prettig beschouwen, als ik dan zonder pardon wordt geblacklist. :(
In het originele artikel staat dat het dus alleen om mailservers gaat. Er wordt dus gekeken naar de IP's van de mailservers. Vaak installeren virussen even een eigen mailserver, om te voorkomen dat ze "last" krijgen van allerlei virusscanners die op mailservers van ISP's hangen. Zolang jij met je eigen mailserver (die je meestal niet eens hebt) dus netjes gebruikt, heb je geen last van virussen die anderen versprijden.
Met jou email adres als afzender, niet je ip-adres. Dat is wat men blocked. :)
Het gaat dan ook om *ip adressen*, niet *from headers* :)
Je e-mail adres wordt niet geblacklist maar het IP adres waar vandaan het mailtje verstuurd wordt. Als iemand jouw adres misbruikt kan hijzelf geen mail meer versturen en jij dus nog wel.
Dan moet je of afwachten tot het over gaat, van mailadres veranderen..of je Drakenkracht gebruiken
Meer zit er niet op...helaas
Het is op basis van je IP-adres, niet op basis van je emailadres :Z
Hey mensen maar jullie moeten wel bedenken dat niet alle virussen worden verstuurd met een email
er zijn zo veel mogelijkheden. maar op dit moment wordt het grotendeels de virussen zo verstuurd! :>

Dan kunnen ze beter een programma ontwikkelen die het uitgaande data controleert (verdachte codes om een virus te maken) van mensen want het wordt altijd wel op een site gezet! en dan kabam eerste slachtoffer en dan heb je een domino effect
Dat soort software bestaat al, en ze noemen het een ...
opkomend drumgeroffel
;)
een virusscanner

Je kunt wel niet zomaar volledige datastromen beginnen scannen voor virussen:
-het vereist toch redelijk wat rekenkracht
-hogere latencies
-je kunt toch niet gewoon iemand zijn data verkloten door virussen eruit te halen, zo zou je bv. geen virussen meer kunnen doorsturen naar de anti-virus makers
-en prolly nog wat meer :)
Alle uitgaande data van een PC heuristisch scannen is niet te doen. Dat kost namelijk meer CPU-kracht dan de gemiddelde gebruiker er voor over gaat hebben. En als het irriteert (omdat de PC langzamer wordt), dan zetten mensen het uit.

(edit)

Great minds think alike.
Heel mijn systeem nog maar es gescant, niks gevonden (en jah, ik update mijn virusscanner elke dag netjes).
Dat wil niet perse zeggen dat er geen virus wordt verstuurd. Dat is het probleem bij wormvirussen; die worden meestal verstuurd via de inbox-lijst, ab-bestand etc., zonder dat je het merkt. Dit gaat via lokale smtp op het systeem. Een virusscanner moet de worm wel herkennen tijdens het binnenhalen en niet alleen bij het openen van het bericht. Wormvirussen zorgen niet altijd voor lokale besmettingen. Goede virusscanners scannen de mail op inhoud bij het versturen, maar niet iedereen gebruikt jammergenoeg een goede dure scanner.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True