Till startsidan för Jonas Webresurs Krönika på Jonas Webresurs:
Brevet från mig var inte från mig!

Den här krönikan tar upp en händelse som inte var så rolig. Någon skickade nämligen mejl som såg ut att vara från mig, men inte var det. Den som läste brevet uppmanades läsa bilagan, som innehöll viruset Bugbear. Här kan du läsa om vad som hände och vad jag gjorde.

Vad jag råkade ut för

Varje dag får jag 40-50 mejl som innehåller virus, trojaner och annat skräp. Det mesta rensas bort redan innan det når datorn. Mitt webbhotell har nämligen ett virusskydd som tar bort det mesta som kan ställa till med skada. Sedan har jag själv olika skydd för att försäkra mig om att slippa få in oönskade filer i datorn. Hittills har jag lyckats hålla min dator frisk.

Självklart är inte bara jag drabbad. Men eftersom jag driver en ganska stor och välkänd hemsida, får jag kanske några extra mejl från personer som är avundsjuka eller tänker dåliga tankar om mig.

Förutom bifogade filer som innehåller virus och trojaner, får jag även en hel del tips och förslag på hemsidor jag borde besöka. Då och då ber en avsändare om hjälp med en sida, men i stället för att jag får se en hemsida, säger mitt virusskydd att sidan också innehåller farliga filer. Sånt är självklart tråkigt att råka ut för.

Nyligen råkade jag ut för något jag inte tidigare stött på. När jag kollade min e-post fick jag ta emot ungefär 550 brev från olika mailservrar runt om i världen. Samtliga brev berättade att jag försökt skicka e-post med en bilaga innehållandes viruset Bugbear. Så här såg det ut i min brevlåda:

Inkorgen i mitt mejlprogram

För att spara plats har jag tagit bort information om datum, tid och annat. Men listan blev till slut ganska lång. Vad var det då som hade hänt?

För att ta reda på omständigheterna kring mejlet, gick jag in i några av meddelandena och läste. Tyvärr hade de flesta mejlservrar bara ett automatiskt och ganska kortfattat svar. Där stod bara att jag försökt skicka ett brev som innehöll ett virus och som därför tagits bort innan det nådde mottagaren.

Tack och lov hade några dock skickat tillbaka lite mer information. Det jag ville ha reda på var ju dels vad det var för brev och dels också från vem det hade skickats. Jag började med att undersöka det första. I de kopior jag fått av brevet framgick det att det såg ut så här för alla som tog emot det:

Från: per.nilsson@jonaswebresurs.se

Obs! För att slippa få spam via min riktiga e-postadress har jag här lagt in en felaktig!

Ämne: Pressmeddelande:
Datum: Sun, 15 Jun 2003 13:22:50 +0200
Till: undisclosed-recipients:;

Bilaga: ITiS våren 2002 (2).doc

------------
Hej ITiS-handledare eller ITiS-kontaktperson i Stockholm!

För er kännedom.

Ha't bra i värmen!

MVH

/Per
------------

För alla som fick brevet såg det ut som om någon på mitt företag hade skickat brevet. Dessutom såg det ut som om bilagan var ett Word-dokument. Men i själva verket kom brevet från någon helt annan och bilagan hette egentligen "ITiS våren 2002 (2).doc.scr".

Detta är ett vanligt sätt att dölja filers verkliga namn. I Windows stänger nämligen många av funktionen att visa hela filnamnen. I stället visas ett förkortat namn på skärmen. Förkortningen innebär att filextensionen stängs av. i det här fallet alltså .scr. Men för det otränade eller ouppmärksamma ögat ser det då i stället ut som att filen är ett Word-dokument.

Tyvärr fick jag kanske ett 50-tal svar från olika personer som svarade på mejlet och sade att bilagan inte gick att öppna. Man hade dubbelklickat på filen och när inte Word öppnades trodde man att det var fel på bilagan.

I själva verket hade man just aktiverat filen med det farliga viruset! Den som saknar virusskydd och öppnar bilagan aktiverar alltså viruset.

Det jag vet om Bugbear är att det kopierar alla adresser i mejlprogrammets adressbok och skickar sedan ut kopior på sig själv till alla dem. Men förmodligen maskerar det också avsändarens adress, eftersom brevet inte alls skickades från per.nilsson@jonaswebresurs.se.

Jag vet inte varför alla felmeddelanden skickades till mig. Kanske trodde även mejlservrarna på Internet att jag verkligen hade skickat breven. För säkerhets skull kollade jag med mitt webbhotell. De kunde se att jag fått en väldig mängd e-post, men kunde också konstatera att inga brev skickats ut via mitt konto eller någon annan heller i webbhotellets regi.

Vem hade skickat virusfilen?

När jag nu visste vad som hade hänt och att det inte var jag som var orsaken till problemet, började jag försöka hitta avsändaren. Jag behövde då en fullständig "mailheader", alltså det ursprungliga mejlets brevhuvud. Man ser inte detta i ett vanligt brev, utan måste ta fram det manuellt.

På min sida "Tolka mejlets brevhuvud" kan du läsa mer om hur man gör det och hur man tolkar informationen i det. Läs mer >

Hela huvudet kan vara ganska långt, beroende på hur många servrar mejlet har passerat genom. Som du kanske vet skickas ju ett brev inte direkt till mottagaren utan bara till den närmsta servern, som i sin tur skickar det vidare till nästa server på vägen till mottagaren. Hela huvudet visar alltså den fullständiga vägen från avsändaren till mottagaren.

Det brevhuvud jag fick upp visade att avsändaren varit inloggad hos Tele2. Jag kunde både se vilken användaridentitet han hade och vilket ip-nummer han var uppkopplad mot.

Abuse-anmälan

Nu återstod att anmäla honom till Tele2. De stora internetleverantörerna tar inte emot abuse-anmälan om man inte har alla uppgifter om vem som skickade mejlet. Det är oftast inte ens någon idé att försöka få hjälp innan man vet avsändarens identitet. Det är därför det är så viktigt att få med brevhuvudet.

På Tele2s sajt finns ett särskilt formulär där man fyller i allting. Den som skickar ett mejl får oftast ett autosvar att det är formuläret som skall fyllas i innan de kan göra något.

Formuläret fanns på adressen: www.tele2.se/abuse. De uppgifter man ville ha var:

  • Vad gäller ärendet?
  • Vilken Ip-adress handlar det om?
  • Exakt tidpunkt och datum för händelsen
  • Din mailadress (om annan än avsändaren)
  • Övrigt (brandväggslogg, headers etc.)

Jag ringde ändå upp Tele2 och pratade med dem. Jag ville nämligen veta vad de kunde göra. En trevlig person på den tekniska supporten berättade för mig att allt de kan göra i ett sådant här fall, är att stänga av personen tillfälligt. Man vet ju faktiskt inte om personen som skickade alla virusmejl gjorde det själv eller om någon annan gjorde det via hans konto.

Jag fyllde i uppgifterna som Tele2 ville och fick sedan följande svar från dem:

"Hej Jonas,

Vi har spårat upp kunden som tyvärr har en virussmittad dator. Vi har tillfälligt stängt av kundens förbindelse så att de i lugn och ro kan sanera sin dator."

Slutet gott allting gott? Nja, dessvärre kommer detta att hända igen. Och igen. Och igen. Inte från samma avsändare, som förhoppningsvis har lärt sig en läxa, men väl från andra, som inte skyddat sin dator.

Tyvärr råkade jag ut denna gång. Många hörde av sig till mig och frågade varför jag skickade mejl med virus i. De som hörde av sig fick svar av mig där jag förklarade vad som hade hänt. Men säkert drabbades många oförsiktiga av viruset.

Jonas Ahlberg
22 juni, 2003

Den här sidan är en del av Jonas Webresurs - www.jonasweb.nu - copyright © 1998-2011