Algunas veces es necesario averiguar si un mail proviene realmente de la dirección que figura como remitente, ya que los programas de correo pueden configurarse fácilmente para que aparezca cualquier dirección como emisora del mensaje.

Algunas personas utilizan estos alias para engañar a los destinatarios y enviarles publicidad, virus, etc. sin exponer su propia dirección.

En este artículo describimos un procedimiento para identificar el origen de un mail tomando un mensaje muy frecuente en estos días: el que contiene el virus Worm.Hybris (enano.exe).

Analizamos aquí un mail recibido desde una computadora infectada con el virus y que fue enviado sin el conocimiento del usuario (uno de los tantos ya que recibo aproximadamente 10 por día).

Este procedimiento no puede aplicarse a los mensajes enviados por el delincuente que está distribuyendo adrede este virus desde la direccion hahaha@sexyfun.net ya que, de alguna manera, borra todos los rastros para descubrirlo.

Procedimiento para identificar el origen de un e-mail:

Una vez que el e-mail se encuentre en su bandeja de entrada selecciónelo con 1 (un solo) click con el boton izquierdo del ratón y luego haga otro click con el botón derecho.

Luego vaya a Propiedades > Detalles, seleccione el texto que aparece, copie (Ctrl + C) y pegue en el bloc de notas.

Resultará algo parecido a lo que sigue:

--------

Return-Path: <>
Received: from grutas.com.ar ([209.13.96.202])
by ar6.toservers.com (8.9.3/8.9.3) with SMTP id IAA21383
for <AQUI FIGURA EL E-MAIL DEL DESTINATARIO>; Mon, 26 Feb 2001 08:34:26 -0300
Date: Mon, 26 Feb 2001 08:34:26 -0300
Message-Id: <AQUI FIGURAN LOS DATOS DE E-MAIL Y PROVEEDOR DEL DESTINATARIO>
Received: from sistemas ([192.168.1.30]) by grutas.com.ar ( IA Mail Server Version: 2.3.1 Build: 10020 ) ) ; 26 Feb 2001 11:31:16 UT
From: Hahaha <hahaha@sexyfun.net>
Subject: Enanito si, pero con que pedazo!
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEG1U3GX2RWLMJ8TEROLQB0X6FWPYFOL"

--------

Observe las líneas que siguen a Received (en el ejemplo en rojo) en su bloc de notas.
Estos son los datos reales del que le envió el e mail.

Note que luego de From, que es la dirección que aparece como remitente, figura hahaha@sexyfun.net

Aquí encontramos que se trata de una máquina que está infectada con el virus enano.exe y lo está reenviando a todos los contactos de su libreta de direcciones sin saberlo ya que en el mensaje enviado directamente por el distribuidor del virus no aparece la línea Received.

En este caso hay 2 maneras de actuar:

1- Ignorar el e-mail y borrarlo.

2- Tratar de localizar al emisor del e-mail con los números de las líneas Received arriba indicados (en el ejemplo 209.13.96.202 ó 192.168.1.30) 

Aquí sólo tiene que copiar y pegar el número y ver a qué empresa pertenece la conexión.
Después puede enviarles un e-mail a los mismos reenviándoles el e-mail original para que ellos se encarguen de ver quién es el usuario y advertirlo (cosa que muy rara vez se hace en la Argentina).

Un párrafo aparte para el enano.exe.
Respecto a este virus pueden ver en la dirección www.sexyfun.net que hay ciertas advertencias sobre el virus, ya que una empresa se encargó de comprar el dominio y armar una web para tratar de ayudar a la gente que recibe el bendito enano.exe.

Curiosamente, el dominio no estaba registrado a pesar de que el virus ya estaba siendo distribuido hacía tiempo desde esa dirección.