[Nlnog] Sober IP's in VIRBL, to be misbruikt voor spam
O.E. van Ouwerkerk
otto at vanouwerkerk.com
Wed Dec 14 17:02:08 UTC 2005
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Beste Provider,
Graag uw aandacht voor het volgende.
Zoals u weet beheert BIT BV het project 'VIRBL', oftewel de VIRus
BlockList. Dit project verzamelt aan de hand van met virusbesmette e-mails
de IP-adressen van de verstuurders en stopt deze in een database. Uit deze
database komt een Top250 naar voren, die u vindt op [1]. Gebleken is dat
in deze Top250 1 of meerdere IP-adressen uit uw netwerk voorkomen. Het
staat vast dat deze IP-adressen virussen hebben verstuurd en(/of) dat nog
steeds doen. Evidence headers van de besmette e-mails kunt u opvragen via
[2].
De reden dat ik u aanschrijf, is dat er in de media gespeculeerd wordt
over een op handen zijnde spam-aanval [3], die geinitieerd zal worden door
een Sober variant. Om welke variant het precies gaat is nog niet
duidelijk, maar het lijkt te kunnen gaan om de zeer actieve versie die
Sober.U, Sober.X of Sober.W [4] wordt genoemd.
Dit gedrag hebben we eerder gezien: Sober.G heeft in mei van dit jaar voor
zeer veel problemen gezorgd, vooral bij ISP's. Niet alleen de verspreiding
van het virus zorgde voor overlast en (nog) meer werkdruk op uw Abusedesk,
maar vooral het versturen van spam door de Sober variant heeft eerder voor
extreme drukte gezorgd.
Ik denk dat iedere ISP probeert haar klanten te beschermen tegen virussen
en bereid is op te treden tegen klanten die virussen verspreiden; hier
worden goede resultaten in geboekt. Met het oog op 5 januari aanstaande,
denk ik wel dat er nog actiever opgetreden moet worden tegen klanten die
besmet zijn met een (Sober) virus. Ik denk dat u netto minder tijd kwijt
bent wanneer u *nu* al optreedt tegen (vooral de grote) geinfecteerde
klanten dan wanneer je het probleem laat 'sudderen' en uw klant zich op 5
januari aanstaande openbaart als spambron. Dit laatste zal zeker ook geen
goeide aandacht opleveren.
Resumerend: kijk a.u.b. welke IP-adressen er zich in uw netwerk bevinden
die gelist zijn in VIRBL [5] en handel deze abuse zo snel mogelijk af.
Bij vragen, stel ze gerust.
Otto van Ouwerkerk
BIT BV
[1] https://virbl.bit.nl/top-250.txt
[2] https://virbl.bit.nl/headers/
[3] http://www.webwereld.nl/articles/38746
[4] http://www.waarschuwingsdienst.nl/render.html?it=1302&cid=5
[5] Via https://virbl.bit.nl/top-250.txt of via https://virbl.bit.nl/headers/
- --
BIT BV | Ede | The Netherlands | www.bit.nl | +31 318 648688 | AS12859
DSA PGP fingerprint 4538 6D0B 5132 39F4 2DB1 6CD9 A201 90E8 AD19 24E6
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFDoFAXogGQ6K0ZJOYRAr+cAJ4oCp3k4qUCSVnpM2DUIcwfp9jUmgCgyAJe
wTF3TOoipaitDNGXxFap35k=
=ZYkx
-----END PGP SIGNATURE-----
More information about the NLNOG
mailing list