Recibir correos vacíos de tres PC con Windows diferentes desde el 12 de enero de 2015

tag-icon tag-icon windows email outlook malware
Recibir correos vacíos de tres PC con Windows diferentes desde el 12 de enero de 2015

Problema

Una fuente desconocida envía correos electrónicos vacíos inesperados desde el 12 de enero de 2015.

Intenta resolver el problema.

  • Todos ellos son de una empresa donde hago soporte de red/sistema.
  • todos son de máquinas con Windows 7
  • Todas las máquinas tienen Outlook instalado.
  • Los correos electrónicos siempre tienen el cuerpo vacío.
  • no tiene nada que ver con la interacción del usuario. Los llamé varias veces justo cuando llegó el correo electrónico y estaban haciendo cosas habituales como navegar, etc. A veces recibo estos correos incluso cuando no hay nadie usando la PC.
  • Las tres PC comenzaron a enviar estos correos el 12 de enero de 2015.
  • los tiempos no están relacionados (a veces recibo correo incluso durante la noche)
  • Recibo correos electrónicos sólo cuando las PC están encendidas. Por ejemplo, RobertPC siempre está encendido y recibo correos electrónicos solo durante los fines de semana (otros están apagados).
  • Hay algún patrón en los asuntos de los correos electrónicos:

WITT - report Helios pocitac- procedente de WittPC

WITT Lenka report- viniendo de Martina PC

WITT - Robert report- viniendo de RobertPC

Sin embargo, observe que falta el guión en el "informe WITT Lenka". Observe también que la palabra "informe" está en el medio del tema en "WITT - informe Helios pocitac", mientras que en otros dos temas está al final.

Aquí publico el código fuente de dos correos electrónicos. Tenga en cuenta que cambié mi dirección de correo electrónico [email protected]y la dirección de correo electrónico de la empresa para company_mail@their_domain.com. La empresa se llama WITT y está relacionado con el nombre en el asunto.

Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5070519ldb;
        Mon, 2 Mar 2015 01:54:37 -0800 (PST)
X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184;
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.196])
        by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34
        for <[email protected]>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497
    for <[email protected]>; Mon, 2 Mar 2015 13:00:50 +0100
Thread-Topic: WITT Lenka report
thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT Lenka report
Date: Mon, 2 Mar 2015 10:54:31 +0100
Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

2do correo electrónico:

Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5079020ldb;
        Mon, 2 Mar 2015 02:13:46 -0800 (PST)
X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321;
        Mon, 02 Mar 2015 02:13:46 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.202])
        by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44
        for <[email protected]>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 02:13:45 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892
    for <[email protected]>; Mon, 2 Mar 2015 13:20:02 +0100
Thread-Topic: WITT - Robert report
thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT - Robert report
Date: Mon, 2 Mar 2015 11:13:47 +0100
Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

Pregunta

¿Qué servicio o aplicación envía estos correos electrónicos o cómo rastrear la fuente?

Respuesta1

Descargo de responsabilidad 1: Por supuesto, Windows ya tiene una buena herramienta de auditoría para solucionar algo como esto. Desafortunadamente, en el entorno de Windows, no tengo experiencia como administrador de sistemas, solo como usuario final habitual.

Descargo de responsabilidad 2: Cuando alguien encuentre un problema similar a este (correo electrónico misterioso o paquete saliente), sería una buena idea desconectar esta máquina para realizar un análisis más detallado.

El problema que ocurre aleatoriamente se puede rastrear utilizando un buen sistema de registro. En este caso, debe configurar el inicio de sesión en su servidor de correo y en la PC del usuario final. La PC con Windows debe tener una entrada de registro sobre la marca de tiempo, PID y destino de la conexión saliente. El servidor Debian debería registrar la marca de tiempo en la que se recibió el correo electrónico y quién es el remitente y el destinatario del correo electrónico. Con esta dos información puede ver qué proceso le envió el correo electrónico. Es por esoLa sincronización horaria es importante..

En el pasado, ha utilizado TCPview para obtener una imagen de la actividad de Windows. La mala noticia es que TCPView no puede iniciar sesión. Por lo tanto, debe mirar las ventanas de TCPview hasta que se envió el correo electrónico. La otra mala noticia es que las transacciones SMTP pueden ser muy rápidas, por lo que hay pocas posibilidades de que sus ojos capturen el evento SMTP.

Residencia enesta respuesta de superusuario, puedes probarMonitor de procesopara ayudarle a registrar la conexión de red y su PID. El programa deberá estar abierto y ejecutándose para registrar los registros, pero si lo configura para guardar los registros en el disco a medida que los registra, siempre podrá revisarlos más tarde.

Monitor de proceso

Con estas herramientas puedes ejecutar y comprobar el registro al final del día. No es necesario volver a mirar la pantalla continuamente.

información relacionada