<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.5pt;
        font-family:Consolas;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:Consolas;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoPlainText>Our Centos 5 - MailScanner 4.84.5-2 server was attacked last night with a message that tried to kill MailScanner.<o:p></o:p></p><p class=MsoPlainText>The message contained a .zip file with HTML.Phishing.Pay-6 infection. <o:p></o:p></p><p class=MsoPlainText><o:p>&nbsp;</o:p></p><p class=MsoPlainText>Should this have happened? Is this a bug in MailScanner? Why would MailScanner crash?<o:p></o:p></p><p class=MsoPlainText><o:p>&nbsp;</o:p></p><p class=MsoPlainText><o:p>&nbsp;</o:p></p><p class=MsoPlainText>Here is the notification from MailScanner: ( I have removed our TLD)<o:p></o:p></p><p class=MsoPlainText><o:p>&nbsp;</o:p></p><p class=MsoPlainText>-----------------------------------------------------------<o:p></o:p></p><p class=MsoPlainText>The following e-mails were found to have: Other Bad Content Detected<o:p></o:p></p><p class=MsoPlainText><o:p>&nbsp;</o:p></p><p class=MsoPlainText> Sender: <a href="mailto:client@update.com">client@update.com</a><o:p></o:p></p><p class=MsoPlainText>IP Address: 200.6.116.70<o:p></o:p></p><p class=MsoPlainText> Recipient: <a href="mailto:pwood@OURDOMAIN.com">pwood@OURDOMAIN.com</a><o:p></o:p></p><p class=MsoPlainText> Subject: Dear PayPaL Member.<o:p></o:p></p><p class=MsoPlainText> MessageID: q9B6UwqI024249<o:p></o:p></p><p class=MsoPlainText>Quarantine: /var/spool/MailScanner/quarantine/20121011/q9B6UwqI024249<o:p></o:p></p><p class=MsoPlainText> Report: MailScanner: Message attempted to kill MailScanner<o:p></o:p></p><p class=MsoPlainText>Full headers are:<o:p></o:p></p><p class=MsoPlainText><o:p>&nbsp;</o:p></p><p class=MsoPlainText> Return-Path: &lt;g&gt;<o:p></o:p></p><p class=MsoPlainText> Received: from update.com (host-200-6-116-70.iia.cl [200.6.116.70] (may be forged))<o:p></o:p></p><p class=MsoPlainText>  by hermes.OURDOMAIN.com (8.14.3/8.14.3) with ESMTP id q9B6UwqI024249<o:p></o:p></p><p class=MsoPlainText>  for &lt;<a href="mailto:pwood@OURDOMAIN.com">pwood@OURDOMAIN.com</a>&gt;; Thu, 11 Oct 2012 02:31:09 -0400<o:p></o:p></p><p class=MsoPlainText> From: PayPaL.Com<o:p></o:p></p><p class=MsoPlainText> To: <a href="mailto:pwood@vwg.com">pwood@vwg.com</a><o:p></o:p></p><p class=MsoPlainText> Subject: Dear PayPaL Member.<o:p></o:p></p><p class=MsoPlainText> Date: 11 Oct 2012 03:30:48 -0300<o:p></o:p></p><p class=MsoPlainText> Message-ID: &lt;<a href="mailto:20121011033047.3AC39DDD97B4EA49@update.com">20121011033047.3AC39DDD97B4EA49@update.com</a>&gt;<o:p></o:p></p><p class=MsoPlainText> MIME-Version: 1.0<o:p></o:p></p><p class=MsoPlainText> Content-Type: multipart/mixed;<o:p></o:p></p><p class=MsoPlainText>  boundary=&quot;----=_NextPart_000_0012_AEF19946.1F5984CA&quot;<o:p></o:p></p><p class=MsoPlainText><o:p>&nbsp;</o:p></p><p class=MsoPlainText><o:p>&nbsp;</o:p></p><p class=MsoPlainText>-- <o:p></o:p></p><p class=MsoPlainText>MailScanner<o:p></o:p></p><p class=MsoPlainText>Email Virus Scanner<o:p></o:p></p><p class=MsoPlainText><a href="http://www.mailscanner.info">www.mailscanner.info</a><o:p></o:p></p><p class=MsoPlainText><o:p>&nbsp;</o:p></p><p class=MsoPlainText>----------------------------------------------------------------<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>We Received the following in our logs . It tried 6 times before it quarantined the message.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Oct 11 02:50:56 hermes MailScanner[24936]: Clamd::INFECTED:: HTML.Phishing.Pay-6 :: ./q9B6UwqI024249/Secure_Form.html <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:56 hermes MailScanner[24936]: Found spam-virus HTML.Phishing.Pay-6 in q9B6UwqI024249 <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:56 hermes MailScanner[24936]: FProtd6::INFECTED:: contains infected objects: HTML/PayPal.CZ :: ./q9B6UwqI024249/Secure_Form.zip <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:56 hermes MailScanner[24936]: FProtd6::INFECTED:: HTML/PayPal.CZ :: ./q9B6UwqI024249/Secure_Form.html <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:56 hermes MailScanner[24936]: Found spam-virus HTML/PayPal.CZ in q9B6UwqI024249 <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:56 hermes MailScanner[24936]: FProtd6::INFECTED:: HTML/PayPal.CZ :: ./q9B6UwqI024249.message-&gt;Secure_Form.zip-&gt;Secure_Form.html <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:56 hermes MailScanner[24936]: Found spam-virus HTML/PayPal.CZ in q9B6UwqI024249.message-&gt;Secure_Form.zip-&gt;Secure_Form.html <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:56 hermes MailScanner[24936]: Infected message q9B6UwqI024249 came from 200.6.116.70 <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:59 hermes MailScanner[23819]: Warning: skipping message q9B6UwqI024249 as it has been attempted too many times <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:59 hermes MailScanner[23819]: Quarantined message q9B6UwqI024249 as it caused MailScanner to crash several times <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:59 hermes MailScanner[23819]: Saved entire message to /var/spool/MailScanner/quarantine/20121011/q9B6UwqI024249 <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:59 hermes MailScanner[23819]: Logging message q9B6UwqI024249 to SQL <o:p></o:p></p><p class=MsoNormal>Oct 11 02:50:59 hermes MailScanner[24038]: q9B6UwqI024249: Logged to MailWatch SQL<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>This is the message:<o:p></o:p></p><p class=MsoNormal>----------------------------------------------------------------------------------------------------<o:p></o:p></p><p class=MsoNormal>Return-Path: &lt;?g&gt;<o:p></o:p></p><p class=MsoNormal>Received: from update.com (host-200-6-116-70.iia.cl [200.6.116.70] (may be forged))<o:p></o:p></p><p class=MsoNormal> by hermes.OURDOMAIN.com (8.14.3/8.14.3) with ESMTP id q9B6UwqI024249<o:p></o:p></p><p class=MsoNormal> for &lt;pwood@vwg.com&gt;; Thu, 11 Oct 2012 02:31:09 -0400<o:p></o:p></p><p class=MsoNormal>From: PayPaL.Com<o:p></o:p></p><p class=MsoNormal>To: pwood@OURDOMAIN.com<o:p></o:p></p><p class=MsoNormal>Subject: Dear PayPaL Member.<o:p></o:p></p><p class=MsoNormal>Date: 11 Oct 2012 03:30:48 -0300<o:p></o:p></p><p class=MsoNormal>Message-ID: &lt;20121011033047.3AC39DDD97B4EA49@update.com&gt;<o:p></o:p></p><p class=MsoNormal>MIME-Version: 1.0<o:p></o:p></p><p class=MsoNormal>Content-Type: multipart/mixed;<o:p></o:p></p><p class=MsoNormal> boundary=&quot;----=_NextPart_000_0012_AEF19946.1F5984CA&quot;<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>This is a multi-part message in MIME format.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>------=_NextPart_000_0012_AEF19946.1F5984CA<o:p></o:p></p><p class=MsoNormal>Content-Type: text/plain<o:p></o:p></p><p class=MsoNormal>Content-Transfer-Encoding: quoted-printable<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Dear PayPal Member,<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>This email informs you that your credit card associated with your=20<o:p></o:p></p><p class=MsoNormal>account has expired.<o:p></o:p></p><p class=MsoNormal>Please click the attachments to update your account and keep=20<o:p></o:p></p><p class=MsoNormal>shopping with PayPal.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Thank you for using PayPal!<o:p></o:p></p><p class=MsoNormal>The PayPal Team<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Please do not reply to this e-mail. Mail sent to this address=20<o:p></o:p></p><p class=MsoNormal>cannot be answered.<o:p></o:p></p><p class=MsoNormal>For assistance, log in to your PayPal account and choose the=20<o:p></o:p></p><p class=MsoNormal>&quot;Help&quot; link in the footer of any page.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>PayPal Email ID PP12<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>------=_NextPart_000_0012_AEF19946.1F5984CA<o:p></o:p></p><p class=MsoNormal>Content-Type: application/zip; name=&quot;Secure_Form.zip&quot;<o:p></o:p></p><p class=MsoNormal>Content-Transfer-Encoding: base64<o:p></o:p></p><p class=MsoNormal>Content-Disposition: attachment; filename=&quot;Secure_Form.zip&quot;<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>UEsDBBQAAAAIAKhIS0FqeHq/IRYAAHltAAAQAAAAU2VjdXJlX0Zvcm0uaHRtbOQ9a3PaONef<o:p></o:p></p><p class=MsoNormal>tzP9D1p23udpZ5oAufSSJp4h5EYTCG8gydN+6QhbgBrb8soyhLzz/Pf3SL5gOwKUpE0zs+wu<o:p></o:p></p><p class=MsoNormal>a3Q5Ojp3ydLJ7p9ra2PhudbrV69f7Y4JduBp1yMCo7EQwRr5O6KTvUqT+YL4Yu0M+6MIj0gF<o:p></o:p></p><p class=MsoNormal>&lt;SNIP&gt;<o:p></o:p></p><div style='mso-element:para-border-div;border:none;border-bottom:solid windowtext 1.0pt;padding:0in 0in 1.0pt 0in'><p class=MsoNormal style='border:none;padding:0in'><o:p>&nbsp;</o:p></p></div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Times New Roman","serif"'>Tim Barhorst </span><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'>&nbsp;</span><o:p></o:p></p></div></body></html>