[MDaemon-L] [winroute-L] anti virus

[Syafril Hermansyah]

On Wed, 28 Jan 2004 13:13:38 +0700
Bambang Irianto Wijaya wrote:

> >> Nggak ada ini pengalami kami kemarin (27-01-2004) dari user yang
> >sudah> terinfeksi  oleh  virus ini. Setidaknya ada 3 komputer yang di
> >cilegon> gatewaynya terisikan. Saya yakin ini akibat dari virus ini.
> 
> > Notebook PC yg dilengkapi in modem/ethernet ?
> 
> Semuanya ethernet.

IP gateway address yg tercreate di 3 PC itu sama ?
 
> > User-2x di PC tsb punya hak akses ke free public mail ?
> 
> Iya  bener  Pak  Baru  inget mereka suka akses ke account @telkom.net,
> @yahoo.com,  dll.  Kayaknya perlu training ke ybs karena menutup akses
> internet  tidak  mungkin  untuk  ybs,  ybs  selalu  tracing  PO  lewat
> DHL-Online.

Di kantor saya sejak jaman dulu free public mail di block dilevel
proxy/nat (site lain bebas saja), yg nakal dan ketahuan akses webmail
maka message dari/ke email addressnya di broadcast ke
[EMAIL PROTECTED] selama 1 minggu penuh atau di restrict hanya bisa
kirim/terima mail local only :-)
Dari dulu kami tidak pasang AV di desktop client, Al hamdulillah aman-2x
saja sejauh ini tdk pernah terkena kasus terinfeksi virus.

-- 
syafril
---
Syafril Hermansyah

MDaemon-L Moderators, menggunakan MDaemon 7.0R beta T under W3K

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] [winroute-L] anti virus

[Bambang Irianto Wijaya]

Rabu 28/01/04 13:02 Syafril Hermansyah Menulis :

>> Nggak ada ini pengalami kami kemarin (27-01-2004) dari user yang sudah
>> terinfeksi  oleh  virus ini. Setidaknya ada 3 komputer yang di cilegon
>> gatewaynya terisikan. Saya yakin ini akibat dari virus ini.

> Notebook PC yg dilengkapi in modem/ethernet ?

Semuanya ethernet.

> User-2x di PC tsb punya hak akses ke free public mail ?

Iya  bener  Pak  Baru  inget mereka suka akses ke account @telkom.net,
@yahoo.com,  dll.  Kayaknya perlu training ke ybs karena menutup akses
internet  tidak  mungkin  untuk  ybs,  ybs  selalu  tracing  PO  lewat
DHL-Online.

-- 
Salam,
BIW
Dibuat Tanggal : 28 Januari 2004 13:09:48

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] [winroute-L] anti virus

[Syafril Hermansyah]

On Wed, 28 Jan 2004 12:43:12 +0700
Bambang Irianto Wijaya wrote:

> Nggak ada ini pengalami kami kemarin (27-01-2004) dari user yang sudah
> terinfeksi  oleh  virus ini. Setidaknya ada 3 komputer yang di cilegon
> gatewaynya terisikan. Saya yakin ini akibat dari virus ini.

Notebook PC yg dilengkapi in modem/ethernet ?
User-2x di PC tsb punya hak akses ke free public mail ?

-- 
syafril
---
Syafril Hermansyah

MDaemon-L Moderators, menggunakan MDaemon 7.0R beta T under W3K

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] [winroute-L] anti virus

[Bambang Irianto Wijaya]

Rabu 28/01/04 12:27 Syafril Hermansyah Menulis :

>> Benar,  although  client  login  as  user  not poweruser/administrator
>> (salut  deh buat si pembuat virus ini, setidaknya untuk mendapatkan IP
>> Gateway  dia  bisa  melakukannya dengan sempurna). Belum tahu kalau IP
>> Gateway  lebih 1 dalam 1 network, apakah dia akan memasukan semuannya?
>> Ada yang mau bagi info ttg virus ini ?

> Info yg bilang begitu dimana ya ?

Nggak ada ini pengalami kami kemarin (27-01-2004) dari user yang sudah
terinfeksi  oleh  virus ini. Setidaknya ada 3 komputer yang di cilegon
gatewaynya terisikan. Saya yakin ini akibat dari virus ini.

> Dari link  http://www.avp.ch/avpve/worms/email/novarg.stm dibilang proxy
> itu passive, maksudnya utk terima incoming command, jadi benar ini utk
> DOS attack.

Benar  dia  akan memcoba kirim paket ke beberapa IP di internet dengan
port  25,  nanti  deh  saya  pastekan  log  hari  kemarin  untuk  kita
diskusikan disini. Setidaknya untuk mengetahui identitas si pemilik IP
tsb (korban atau ?). Saya mau break dulu dah.

-- 
Salam,
BIW
Dibuat Tanggal : 28 Januari 2004 12:34:27

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] Vius mail

[Syafril Hermansyah]

On Wed, 28 Jan 2004 11:35:28 +0700
Bambang Irianto Wijaya wrote:

> > Jangan bolehkan virus kirim mail dg relay melalui Mdaemon Anda, dg
> > perkataan lain setiap user harus melakukan authentication saat
> > sending mail melalui MDaemon.
> 
> Untuk setting ini ada dimana ya ?
> 
> Selain pop before smtp pakai apa lagi Pak ?

Pakai SMTPAuth, jangan POP Before SMTP (matikan saja kalau mungkin
POPB4SMTP) krn POPB4SMTP punya jeda waktu paling tidak 1 menit, shg ada
kesempatan previous sender IP (mungkin si virus) relay lewat MDaemon.

-- 
syafril
---
Syafril Hermansyah

MDaemon-L Moderators, menggunakan MDaemon 7.0R beta T under W3K

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] Vius mail

[Bambang Irianto Wijaya]

Rabu 28/01/04 11:23 Syafril Hermansyah Menulis :

>> Kalau memang kena virus bagaimana penanggulangannya ?.

> Jangan bolehkan virus kirim mail dg relay melalui Mdaemon Anda, dg
> perkataan lain setiap user harus melakukan authentication saat sending
> mail melalui MDaemon.

Untuk setting ini ada dimana ya ?

Selain pop before smtp pakai apa lagi Pak ?

-- 
Salam,
BIW
Dibuat Tanggal : 28 Januari 2004 11:34:10

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] Vius mail

[Virgani Dhirgacahya]

Heran ... masih aja ada orang yang posting pake HTML format ... ck .. ck...
ck ...

1. Kok bisa tahu mail server kamu menunjukkan tanda-tanda aneh ? gimana
caranya ? melihat ke layar MDaemon ? kalo ya bisa ngak ketahuan asal e-mail
tersebut ?

2. Gampangnya scan aja ujung ke ujung semua PC yang ada ini sekaligus akan
menjawab semua pertanyaan Hehehehehe terus biar ngak kena-kena lagi download
secara rutin antivirus updater -nya.

HTH,
Virgani D

/*
-Original Message-
From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]
Behalf Of Sri Agus Wijanarko
Sent: 28 Januari 2004 11:01
To: [EMAIL PROTECTED]
Subject: [MDaemon-L] Vius mail
Pagi ini mail server saya menunjukkan tanda-tanda aneh, yaitu server
ini/MDaemon sering kali mengirimkan email ke user lain secara acak. Si
pengirimnyapun acak. Email tersebut mengirimkan attachment yang berisi (a.l:
*.pif, *.bat, *.scr, dll).

Apakah ini menunjukkan MDaemon saya kena virus pak ?, padahal MDaemon
tersebut sudah saya parsing untuk memblok email yang berattachment seperti
tersebut diatas.

Kalau memang kena virus bagaimana penanggulangannya ?.

terima kasih atas bantuannya

*/


-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] Vius mail

[Syafril Hermansyah]

On Wed, 28 Jan 2004 11:01:14 +0700
Sri Agus Wijanarko wrote:

/moderator note

Mohon tidak posting dalam format HTML di milis ini.
Silakan set email client Anda utk hanya create Plain-Text saat kirim
mail ke milis ini.
Jangan paosting dulu ke milis sebelum bisa melakukan ubahan tsb.

/end note

> Pagi ini mail server saya menunjukkan tanda-tanda aneh, yaitu server
> ini/MDaemon sering kali mengirimkan email ke user lain secara acak. Si
> pengirimnyapun acak. Email tersebut mengirimkan attachment yang berisi
> (a.l: *.pif, *.bat, *.scr, dll).
> 
> Apakah ini menunjukkan MDaemon saya kena virus pak ?, 

User Anda yg terkena virus, atau MDaemon Anda direlay oleh virus utk
kirim mail.

> padahal MDaemon tersebut sudah saya parsing untuk memblok email yang 
> berattachment seperti tersebut diatas.

Tidak ada hubungannya dg parsing.
 
> Kalau memang kena virus bagaimana penanggulangannya ?.

Jangan bolehkan virus kirim mail dg relay melalui Mdaemon Anda, dg
perkataan lain setiap user harus melakukan authentication saat sending
mail melalui MDaemon.

-- 
syafril
---
Syafril Hermansyah

MDaemon-L Moderators, menggunakan MDaemon 7.0R beta T under W3K

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] Vius mail

[Mugijanto]

Pak buka data kemarin.
-Original Message-
From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]
Behalf Of Sri Agus Wijanarko
Sent: Wednesday, January 28, 2004 11:01 AM
To: [EMAIL PROTECTED]
Subject: [MDaemon-L] Vius mail


Dear Pak Syafril,

Pagi ini mail server saya menunjukkan tanda-tanda aneh, yaitu server
ini/MDaemon sering kali mengirimkan email ke user lain secara acak. Si
pengirimnyapun acak. Email tersebut mengirimkan attachment yang berisi (a.l:
*.pif, *.bat, *.scr, dll).

Apakah ini menunjukkan MDaemon saya kena virus pak ?, padahal MDaemon
tersebut sudah saya parsing untuk memblok email yang berattachment seperti
tersebut diatas.

Kalau memang kena virus bagaimana penanggulangannya ?.

terima kasih atas bantuannya

regards,
Janar
--
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  :
Moderator  :
Henti Langgan  :
Berlangganan   :
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] Vius mail

[Sri Agus Wijanarko]

Dear Pak Syafril,
 
Pagi ini mail server saya menunjukkan tanda-tanda 
aneh, yaitu server ini/MDaemon sering kali mengirimkan email ke user lain secara 
acak. Si pengirimnyapun acak. Email tersebut mengirimkan attachment yang berisi 
(a.l: *.pif, *.bat, *.scr, dll).
 
Apakah ini menunjukkan MDaemon saya kena virus pak 
?, padahal MDaemon tersebut sudah saya parsing untuk memblok email yang 
berattachment seperti tersebut diatas.
 
Kalau memang kena virus bagaimana penanggulangannya 
?.
 
terima kasih atas bantuannya
 
regards,
Janar
--
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4

[MDaemon-L] anti virus

[Bambang Irianto Wijaya]

Rabu 28/01/04 10:45 Syafril Hermansyah Menulis :

>> bagaimana caranya setting anti virus di mdaemon agar dapat mengenali
>> attachment berektensi ganda  tersebut,dan cara2 lainnya.

> MDAV defaultnya sdh detect virus macam begitu khususnya di versi
> terakhir sdh ditambahkan default extension file apa saja yg akan di
> stripe, jadi nggak usah diotak-atik kalau memang tdk ada keperluan
> khusus, pastikan saja menggunakan versi terakhir.

> Virus yg beredar sekarang ini sebenarnya pernah menyebar di internet
> bulan september 2003 yl, namanya saat itu Worm.mimail, cuma kali ini
> virusnya bertambah sakti y.i. :
> - bisa fallback (saat kirim mail pertama kali menggunakan smtp enginenya
>   sendiri, jika gagal akan coba kirim lewat local mail server).
> - dia bisa menyebar melalui kazza.
> - bisa menggunakan proxy server.

Tambahan:

1. Dia  bisa  merubah/memasukan  IP gateway ke client yang terkena virus
2. Perhatikan file simgapi.dll di folder ...windows\system, ini proxy
   buatan dia.
3. Perhatikan file taskmon.exe di folder ...windows\system, ini
   duplikasi dari file taskmon.exe miliknya si windows.

Kalau  ada kedua file diatas komputer client kita sudah terkena virus.
Untuk removenya harus manual (ref. dari www.norton.com )

-- 
Salam,
BIW
Dibuat Tanggal : 28 Januari 2004 11:02:19

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] anti virus

[Syafril Hermansyah]

On Wed, 28 Jan 2004 10:11:19 +0700
andy wrote:

> bagaimana caranya setting anti virus di mdaemon agar dapat mengenali
> attachment berektensi ganda  tersebut,dan cara2 lainnya.

MDAV defaultnya sdh detect virus macam begitu khususnya di versi
terakhir sdh ditambahkan default extension file apa saja yg akan di
stripe, jadi nggak usah diotak-atik kalau memang tdk ada keperluan
khusus, pastikan saja menggunakan versi terakhir.

Virus yg beredar sekarang ini sebenarnya pernah menyebar di internet
bulan september 2003 yl, namanya saat itu Worm.mimail, cuma kali ini
virusnya bertambah sakti y.i. :
- bisa fallback (saat kirim mail pertama kali menggunakan smtp enginenya
  sendiri, jika gagal akan coba kirim lewat local mail server).
- dia bisa menyebar melalui kazza.
- bisa menggunakan proxy server.

-- 
syafril
---
Syafril Hermansyah

MDaemon-L Moderators, menggunakan MDaemon 7.0R beta T under W3K

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] anti virus

[andy]

selamat pagi pak syafril dan rekan2 sekalian..

akhir -akhir ini banyak sekali virus yg menyebar melalui email dgn
attachment berextensi zip
dan beisi file berextensi ganda.
bagaimana caranya setting anti virus di mdaemon agar dapat mengenali
attachment berektensi ganda
tersebut,dan cara2 lainnya.
mohon pencerahan pak syafril dan rekan sekalian..
terima kasih.

regards

andy

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] server dropped connection without sending the initial greeting

[Syafril Hermansyah]

On Wed, 28 Jan 2004 08:22:45 +0700
[EMAIL PROTECTED] wrote:

> > bisa ngga pak.. MDaemon tidak membuatnya fixed (mungkin bisa
> > diusulkan di versi berikutnya)
> > mungkin seperti DNSBL.. selalu update
> 
> siapa yang bilang dnsbl selalu update? :-)

Mungkin maksudnya saat MDaemon melakukan check incoming connection
selalu melakukan check ke dnsbl host, shg selalu mencheck ke last update
database.

-- 
syafril
---
Syafril Hermansyah

MDaemon-L Moderators, menggunakan MDaemon 7.0R beta T under W3K

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] server dropped connection without sending the initial greeting

[speed]

On Tue, Jan 27, 2004 at 12:25:50PM +0700, C Anggoro Dewabrata wrote:
> bisa ngga pak.. MDaemon tidak membuatnya fixed (mungkin bisa diusulkan
> di versi berikutnya)
> mungkin seperti DNSBL.. selalu update

siapa yang bilang dnsbl selalu update? :-)

-speed
-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

[MDaemon-L] Suspicious mail [ was Re: mailgate telkom]

[iwansubiantoro]

ya betul setelah saya cari 2 ternyata worm novarg pak Thanks ya

pak  maksutnya tarpit yg di aktifkan itu apa pak ?( tarpit ?)

-Original Message-
From: Syafril Hermansyah <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Date: Tue, 27 Jan 2004 12:20:44 +0700
Subject: [MDaemon-L] Suspicious mail [ was Re:  mailgate telkom]

> On Tue, 27 Jan 2004 12:07:24 +0700
> iwansubiantoro wrote:
> 
> > kenapa escan 2003 bisa tembus ya pak, saya udah coba di removal
> > symantex worn blast, sobig, dan nimda tidak di ketemukan tetapi kok
> > masih jalan ya pak di AV nya notification udah saya disable bentar
> > saya carikan contoh complete headernya ya 
> 
> Mungkin hanya notification message plain-text part dari message yg
> diteruskan oleh mailscan, krn email tidak bervirus maka escan yg ada di
> client tidak tertriger utk aktif.
> 
> Matikan notfication to sender dan recipient di mailscan, krn sender
> dari
> mail semacam ini menggunakan fake address, dg demikian user Anda
> mengira
> mendapat mail dari orang yg tidak dikenal.
> 
> Tarpit juga pastikan aktif, shg mail terus menerus dari user/sender yg
> terkena virus akan di tarpit, kalau perlu naikkan tarpit time (TTL)
> menjadi 90 menit (dari default 60 menit).
> 
> -- 
> syafril
> ---
> Syafril Hermansyah
> 
> MDaemon-L Moderators, menggunakan MDaemon 7.0R beta T under W3K
> 
> -- 
> --[MDaemon-L]
> Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
> Mohon tidak posting dalam format HTML!
> 
> Arsip  : 
> Moderator  : 
> Henti Langgan  : 
> Berlangganan   : 
> Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4 

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Mohon tidak posting dalam format HTML!

Arsip  : 
Moderator  : 
Henti Langgan  : 
Berlangganan   : 
Versi Terakhir : MD 6.8.5, LD 2.1.0, WA 2.0.5, MDAV 2.2.2, MDGW 1.0.4