[Nlnog] Sober IP's in VIRBL, to be misbruikt voor spam

O.E. van Ouwerkerk otto at vanouwerkerk.com
Wed Dec 14 17:02:08 UTC 2005 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Beste Provider,


Graag uw aandacht voor het volgende.

Zoals u weet beheert BIT BV het project 'VIRBL', oftewel de VIRus 
BlockList. Dit project verzamelt aan de hand van met virusbesmette e-mails 
de IP-adressen van de verstuurders en stopt deze in een database. Uit deze 
database komt een Top250 naar voren, die u vindt op [1]. Gebleken is dat 
in deze Top250 1 of meerdere IP-adressen uit uw netwerk voorkomen. Het 
staat vast dat deze IP-adressen virussen hebben verstuurd en(/of) dat nog 
steeds doen. Evidence headers van de besmette e-mails kunt u opvragen via 
[2].

De reden dat ik u aanschrijf, is dat er in de media gespeculeerd wordt 
over een op handen zijnde spam-aanval [3], die geinitieerd zal worden door 
een Sober variant. Om welke variant het precies gaat is nog niet 
duidelijk, maar het lijkt te kunnen gaan om de zeer actieve versie die 
Sober.U, Sober.X of Sober.W [4] wordt genoemd.

Dit gedrag hebben we eerder gezien: Sober.G heeft in mei van dit jaar voor 
zeer veel problemen gezorgd, vooral bij ISP's. Niet alleen de verspreiding 
van het virus zorgde voor overlast en (nog) meer werkdruk op uw Abusedesk, 
maar vooral het versturen van spam door de Sober variant heeft eerder voor 
extreme drukte gezorgd.

Ik denk dat iedere ISP probeert haar klanten te beschermen tegen virussen 
en bereid is op te treden tegen klanten die virussen verspreiden; hier 
worden goede resultaten in geboekt. Met het oog op 5 januari aanstaande, 
denk ik wel dat er nog actiever opgetreden moet worden tegen klanten die 
besmet zijn met een (Sober) virus. Ik denk dat u netto minder tijd kwijt 
bent wanneer u *nu* al optreedt tegen (vooral de grote) geinfecteerde 
klanten dan wanneer je het probleem laat 'sudderen' en uw klant zich op 5 
januari aanstaande openbaart als spambron. Dit laatste zal zeker ook geen 
goeide aandacht opleveren.

Resumerend: kijk a.u.b. welke IP-adressen er zich in uw netwerk bevinden 
die gelist zijn in VIRBL [5] en handel deze abuse zo snel mogelijk af.

Bij vragen, stel ze gerust.


Otto van Ouwerkerk
BIT BV

[1] https://virbl.bit.nl/top-250.txt
[2] https://virbl.bit.nl/headers/
[3] http://www.webwereld.nl/articles/38746
[4] http://www.waarschuwingsdienst.nl/render.html?it=1302&cid=5
[5] Via https://virbl.bit.nl/top-250.txt of via https://virbl.bit.nl/headers/


- -- 
    BIT BV | Ede | The Netherlands | www.bit.nl | +31 318 648688 | AS12859
    DSA PGP fingerprint 4538 6D0B 5132 39F4 2DB1  6CD9 A201 90E8 AD19 24E6

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFDoFAXogGQ6K0ZJOYRAr+cAJ4oCp3k4qUCSVnpM2DUIcwfp9jUmgCgyAJe
wTF3TOoipaitDNGXxFap35k=
=ZYkx
-----END PGP SIGNATURE-----

More information about the NLNOG mailing list