Win32.HLLM.Netsky.based

yolki

по этому заголовку:

> Return-Path: <MAILER-hq.sectorb.msk.ru>

> Received: from terminus.cir.ru (room339-01.srcc.msu.ru [212.192.244.240])

>         by hq.sectorb.msk.ru (Postfix) with ESMTP id CB7871AAA

>         for <ХХХХХХХ@sectorb.msk.ru>; Wed, 28 Apr 2004 23:55:22 +0400 (MSD)

> Received: from mail.nthost.ru (mail2.nthost.ru [217.16.29.73])

>         by terminus.cir.ru (8.12.6/8.12.6) with SMTP id i3SJtOEw023829

>         for <ХХХХХХХ@mail.cir.ru>; Wed, 28 Apr 2004 23:55:24 +0400 (MSD)

> Message-Id: <200404281955.i3SJterminus.cir.ru>

> Received: (qmail 25833 invoked for bounce); 28 Apr 2004 19:56:08 -0000

> Date: 28 Apr 2004 19:56:08 -0000

> From: NTHOST-MAILER-mail.nthost.ru

> To: ХХХХХХХ@mail.cir.ru

> Subject: failure notice

---

можно определить откуда изначально послано письмо?

Marinavo_0507

можно

yolki

И?
ХХХХХХХ@sectorb.msk.ru и ХХХХХХХ@mail.cir.ru - это мои адреса,
с ХХХХХХХ@mail.cir.ru стоит форвард на ХХХХХХХ@sectorb.msk.ru
terminus.cir.ru - мой gateway/smtp/pop3 сервер.

germafrodita

Received: from mail.nthost.ru (mail2.nthost.ru [217.16.29.73])

yolki

во-первых, скорее всего mail.nthost.ru - это релей, почему я не вижу предыдущего хоста?
во-вторых, если было отсолано непосредственно с mail.nthost.ru, то я думаю что nthost.ru достаточно крупный провайдер, чтобы позволить себе заражение своего mail-server'a
в-третьих, кто написал Return-Path: <MAILER-hq.sectorb.msk.ru> при отсылке на mail.cir.ru (сомневаюсь, что вирус узнал, что будет форвард с mail.cir.ru на sectorb.msk.ru)

Marinavo_0507

> Received: (qmail 25833 invoked for bounce); 28 Apr 2004 19:56:08 -0000
Это же bounce, так что вопросы 1 и 2 некорректны
> в-третьих, кто написал Return-Path: <MAILER-hq.sectorb.msk.ru>
Скорее всего, изначально было просто MAILER-DAEMON, а hq.sectorb.msk.ru дописано уже на месте

yolki

ок, спасибо