Algunas veces es necesario averiguar si un mail
proviene realmente de la dirección que figura como remitente, ya que
los programas de correo pueden configurarse fácilmente para que
aparezca cualquier dirección como emisora del mensaje.
Algunas personas utilizan estos alias para
engañar a los destinatarios y enviarles publicidad, virus, etc. sin
exponer su propia dirección.
En este artículo describimos un procedimiento para
identificar el origen de un mail tomando un mensaje muy frecuente en
estos días: el que contiene el virus Worm.Hybris (enano.exe).
Analizamos aquí un mail recibido desde una
computadora infectada con el virus y que fue enviado sin el
conocimiento del usuario (uno de los tantos ya que recibo
aproximadamente 10 por día).
Este procedimiento no puede aplicarse a los
mensajes enviados por el delincuente que está distribuyendo adrede
este virus desde la direccion hahaha@sexyfun.net ya que, de alguna
manera, borra todos los rastros para descubrirlo.
Procedimiento para identificar el origen de un
e-mail:
Una vez que el e-mail se encuentre en su bandeja
de entrada selecciónelo con 1 (un solo) click con el boton izquierdo
del ratón y luego haga otro click con el botón derecho.
Luego vaya a Propiedades > Detalles, seleccione el
texto que aparece, copie (Ctrl + C) y pegue en el bloc de notas.
Resultará algo parecido a lo que sigue:
--------
Return-Path: <>
Received: from grutas.com.ar ([209.13.96.202])
by ar6.toservers.com (8.9.3/8.9.3) with SMTP id IAA21383
for <AQUI FIGURA EL E-MAIL DEL DESTINATARIO>; Mon, 26 Feb 2001
08:34:26 -0300
Date: Mon, 26 Feb 2001 08:34:26 -0300
Message-Id: <AQUI FIGURAN LOS DATOS DE E-MAIL Y PROVEEDOR DEL
DESTINATARIO>
Received: from sistemas ([192.168.1.30]) by
grutas.com.ar ( IA Mail Server Version: 2.3.1 Build: 10020 ) ) ; 26
Feb 2001 11:31:16 UT
From: Hahaha <hahaha@sexyfun.net>
Subject: Enanito si, pero con que pedazo!
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEG1U3GX2RWLMJ8TEROLQB0X6FWPYFOL"
--------
Observe las líneas que siguen a Received (en el
ejemplo en rojo) en su bloc de notas.
Estos son los datos reales del que le envió el e mail.
Note que luego de From, que es la dirección que
aparece como remitente, figura hahaha@sexyfun.net
Aquí encontramos que se trata de una máquina que
está infectada con el virus enano.exe y lo está reenviando a todos
los contactos de su libreta de direcciones sin saberlo ya que en el
mensaje enviado directamente por el distribuidor del virus no
aparece la línea Received.
En este caso hay 2 maneras de actuar:
1- Ignorar el e-mail y borrarlo.
2- Tratar de localizar al emisor del e-mail con
los números de las líneas Received arriba indicados (en el ejemplo
209.13.96.202 ó
192.168.1.30) en la siguiente dirección:
http://www.arin.net/whois/index.html
Aquí sólo tiene que copiar y pegar el número y ver
a qué empresa pertenece la conexión.
Después puede enviarles un e-mail a los mismos reenviándoles el
e-mail original para que ellos se encarguen de ver quién es el
usuario y advertirlo (cosa que muy rara vez se hace en la
Argentina).
Un párrafo aparte para el enano.exe.
Respecto a este virus pueden ver en la dirección www.sexyfun.net que
hay ciertas advertencias sobre el virus, ya que una empresa se
encargó de comprar el dominio y armar una web para tratar de ayudar
a la gente que recibe el bendito enano.exe.
Curiosamente, el dominio no estaba registrado a
pesar de que el virus ya estaba siendo distribuido hacía tiempo
desde esa dirección.