Hoe virus verstuurder herkennen?

Virusoutbreakje hier op kantoor. Iedereen krijgt ineens emails aan met virussen en .zip's met daarin virussen maar niemand weet waar ze vandaan komen.
'k Kreeg er net ook eentje aan en dat is van een oud collega die hier al jaren niemeer werkt en 99,99% zeker mijn email adres niet in haar adresboek heeft staan.

Dit is alles wat'k van headers vind in outlook express.. kan het dat dit alles is qua headers? MLeen me te herinneren dat die dingen veel langer waren.


Received: from uk2.net (62.58.114.23 [62.58.114.23]) by epsilon.blackbox.be with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2653.13)
id FR0LXPKJ; Tue, 24 Feb 2004 10:58:59 +0100
From: *oud-collega*@*prive*.net
To: *ikzelf*@*werk*.be
Subject: Your account is about to be expired
Date: Tue, 24 Feb 2004 11:10:40 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0009_D7270777.FB5C4A27"
X-Priority: 3
X-MSMail-Priority: Normal


Emailadressen zijn logischerwijze aangepast. Wie heeft een idee hoe'k kan uitvissen waar die virussen écht vandaan komen?

[ Voor 8% gewijzigd door witchdoc op 24-02-2004 11:32 ]

Verwijderd schreef op 24 februari 2004 @ 11:32:
tsja, dat adres zal wel gespoofd zijn

het meest voor de hand liggende lijkt me: ISP bij dat IP zoeken, en forwarden naar hun abuse desk

vast wel, maar de mails komen zogezegd allemaal van collega's of oud collega's dus heel waarschjijnlijk is een collega infected. Of denk ik weer te simpel?

We zitten hier allemaal op 10. zoveel dus ben je zeker dat die 62. van de virusverstuurder is Jelmer?

elevator schreef op 24 februari 2004 @ 11:48:
[...]

Zijn jullie zelf een Versatel / Zonnet klant?

Als je vermoed dat het virus intern ronddwaalt op jullie netwerk - zou dat 62.x.x.x address overeen moeten komen met het adres wat jullie internet gateway gebruikt

inderdaad, indacom was de naam tot we werden overgenomen.. en we waren/zijn klant bij versatel.
Zullen toch nog pc's in die 62. range zitten dan.. dacht nochtans dat we allemaal op 10.x.x.x zaten. Noujah, 'k ben ook geen netwerkadmin natuurlijk
Mijn ip adres en default gateway liggen beiden in die 10.x range maar da's allemaal intern.. 62.x zal wel extern zijn.

elevator schreef op 24 februari 2004 @ 11:56:
Als je een relatief klein bedrijf bent - zou je eens naar http://www.whatismyip.com/ kunnen surfen - grote kans dat je address dan hetzelfde is (of iig erg dicht in de buurt ligt van bovenstaand address).

Mocht het echt zo zijn dat je PC's virussen versturen - is het natuurlijk wel aan te raden om uitgaand port 25 te blokkeren voor alle PC's (evt. behalve je mail server) tot dat je virus uit de weg is

62.58.114.22 inderdaad niet ver uit de buurt van die 'virussender'.. als'k refresh krijg'k een ander ip dat ook in de buurt ligt (min 21, max 30 voorlopig)
Maar dat zou het ip adres van de firewall toch moeten zijn dan? En die zou toch maar 1 extern ip adres moeten hebben?

PS: ik heb totaal niks met het netwerk ofzo te maken hier hoor, dus echt belangrijk is het niet (voor mij) maar intressant wel natuurlijk

[ Voor 24% gewijzigd door witchdoc op 24-02-2004 12:22 ]