[HS] Le virus du jour

Discussion:

(trop ancien pour répondre)

Olivier Zolli

2004-01-27 00:07:31 UTC

Salut les filles,

Je viens de recevoir le dernier virus à la mode vieux d'à peine quelques
heures.

Le corps du message est un ramassis de vermicelles et il y a bien sûr la
fameuse PJ.

Chez moi elle est zippée. Dedans il y a un fichier faisant 22528 octets
et se présentant sous la forme d'un raccourci msdos.

On ne connait presque rien du virus à l'heure qu'il est. La meilleure
description est chez TrendMicro :

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R&VSect=T

Il s'appelle Mimail.R ou Novarg.A chez Symantec :

http://securityresponse.symantec.com/avcenter/venc/data/***@mm.html

Mes hommages du soir. Sortez couverts.

--
Olivier Zolli
http://www.hamster-fr.org/

Manitou

2004-01-27 13:50:18 UTC

Permalink

Bonjour.

Post by Olivier Zolli
On ne connait presque rien du virus à l'heure qu'il est. La meilleure
description est chez TrendMicro

Y'a aussi secuser :

http://www.secuser.com/alertes/2004/novarg.htm

--
M./
Aere perennius.

Pascale

2004-01-28 09:10:05 UTC

Permalink

Bonjour à tous,

Post by Olivier Zolli
Je viens de recevoir le dernier virus à la mode vieux d'à peine quelques
heures.

Moi z'aussi. C'est une vilaine pièce jointe qui s'appelle text.pif. C'est
quasiment un événement, puisque je n'avais reçu qu'un Swen, et ça avait
mis du temps.
J'aurais bien aimé que Hamster puisse bloquer cette cochonnerie. Dans
Mailfilt.hst, j'ai une ligne qui dit :
=kill() Content-Type: "octets-stream"
mais ça ne suffit pas à bloquer ce de virus parce que les « octets-
stream » sont planqués à l'intérieur d'un multipart/mixed :

------=_NextPart_000_0010_1D7AE9F6.9DB65378
Content-Type: application/octet-stream;
name="text.pif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="text.pif"

Y a moyen d'ajouter quelque chose dans mailfilt.hst pour bloquer ça ?

--
Pascale
« You do know you could find yourself charged with being a dominant
species while under the influence of impulse-driven consumerism,
don't you ? »
(Neil Gaiman & Terry Pratchett)

Olivier Zolli

2004-01-28 15:53:58 UTC

Permalink

Post by Pascale

Post by Olivier Zolli
Je viens de recevoir le dernier virus à la mode vieux d'à peine quelques
heures.

Moi z'aussi. C'est une vilaine pièce jointe qui s'appelle text.pif. C'est
quasiment un événement, puisque je n'avais reçu qu'un Swen, et ça avait
mis du temps.

[snip]

Post by Pascale
Y a moyen d'ajouter quelque chose dans mailfilt.hst pour bloquer ça ?

Malheureusement je ne vois pas de point commun entre les 55 messages
vérolés par W32/***@mm (encore un autre nom, f-prot made) que j'ai
reçu.
Le sujet, le from, le to et le nom de la pièce jointe changent à chaque
fois.
Rien de caractéristique dans les en-têtes...
Il n'y a qu'un antivirus pour le détecter.

--
Olivier Zolli
http://www.hamster-fr.org/

Pascale

2004-01-28 17:25:56 UTC

Permalink

Post by Olivier Zolli
Malheureusement je ne vois pas de point commun entre les 55 messages
reçu.
Le sujet, le from, le to et le nom de la pièce jointe changent à chaque
fois.
Rien de caractéristique dans les en-têtes...

Dommage...

Post by Olivier Zolli
Il n'y a qu'un antivirus pour le détecter.

Chez moi, c'est surtout celui qui est entre le clavier et la chaise...

--
Pascale
« You do know you could find yourself charged with being a dominant
species while under the influence of impulse-driven consumerism,
don't you ? »
(Neil Gaiman & Terry Pratchett)

Olivier Zolli

2004-01-28 19:27:48 UTC

Permalink

Post by Pascale

Post by Olivier Zolli
Il n'y a qu'un antivirus pour le détecter.

Chez moi, c'est surtout celui qui est entre le clavier et la chaise...

Il vaut mieux, c'est celui qui est le plus à jour.
Si je m'étais fié uniquement à mon AV je me serais fait avoir par swen,
dumaru et mydoom.

--
Olivier Zolli
http://www.hamster-fr.org/

Frederic Bezies

2004-01-28 19:37:20 UTC

Permalink

Post by Olivier Zolli

Post by Pascale

Post by Olivier Zolli
Il n'y a qu'un antivirus pour le détecter.

Chez moi, c'est surtout celui qui est entre le clavier et la chaise...

Il vaut mieux, c'est celui qui est le plus à jour.
Si je m'étais fié uniquement à mon AV je me serais fait avoir par swen,
dumaru et mydoom.

La solution /la plus efficace/ pour le moment (et bien que ce soit un
brin radical) est de rajouter au mailfilt.hst :

kill() Content-Type: "multipart/mixed;"

Et le nombre d'annonces de dumaru/mydoom tué est pas triste :)

--
Frédéric Béziès - ***@free.fr

Site Perso : http://frederic.bezies.free.fr/
Weblog : http://www.u-blog.net/fredb/
Fourre-tout : http://frederic.bezies.free.fr/pratique/

Pascale

2004-01-28 20:18:11 UTC

Permalink

Post by Frederic Bezies
La solution /la plus efficace/ pour le moment (et bien que ce soit un
kill() Content-Type: "multipart/mixed;"
Et le nombre d'annonces de dumaru/mydoom tué est pas triste :)

Oui, mais ça m'embête un peu, vu que plus aucune pièce jointe ne passe,
non ?

--
Pascale
« You do know you could find yourself charged with being a dominant
species while under the influence of impulse-driven consumerism,
don't you ? »
(Neil Gaiman & Terry Pratchett)

Frederic Bezies

2004-01-28 21:19:12 UTC

Permalink

Post by Pascale

Post by Frederic Bezies
La solution /la plus efficace/ pour le moment (et bien que ce soit un
kill() Content-Type: "multipart/mixed;"
Et le nombre d'annonces de dumaru/mydoom tué est pas triste :)

Oui, mais ça m'embête un peu, vu que plus aucune pièce jointe ne passe,
non ?

En effet, plus aucune pièce jointe. Enfin, dans 95% pour ne pas 99% des
pièces jointes que je reçois : swen, dumaru, bugbear et ses camarades...

J'applique cette solution en attendant mieux :)

--
Frédéric Béziès - ***@free.fr

Site Perso : http://frederic.bezies.free.fr/
Weblog : http://www.u-blog.net/fredb/
Fourre-tout : http://frederic.bezies.free.fr/pratique/

Pascale

2004-01-29 10:22:08 UTC

Permalink

Post by Frederic Bezies
En effet, plus aucune pièce jointe. Enfin, dans 95% pour ne pas 99% des
pièces jointes que je reçois : swen, dumaru, bugbear et ses camarades...
J'applique cette solution en attendant mieux :)

Comme cette solution me gêne un peu, j'ai préféré bloquer tout ce qui est
« Mailer-daemon », ça devrait déjà limiter les dégâts. Je suis étonnée
d'avoir reçu autant de fois le dernier virus à la mode, alors que je
n'avais pas reçu les précédents( sauf un, une seule fois).

--
Pascale
« You do know you could find yourself charged with being a dominant
species while under the influence of impulse-driven consumerism,
don't you ? »
(Neil Gaiman & Terry Pratchett)

Xavier

2004-01-28 23:01:35 UTC

Permalink

Post by Frederic Bezies
La solution /la plus efficace/ pour le moment (et bien que ce soit un
kill() Content-Type: "multipart/mixed;"

=kill() Bytes: %>25000
... ne marche pas mal non plus...
Dire que du temps de Swen, j'avais fixé la barre à 60000 !

Post by Frederic Bezies
Et le nombre d'annonces de dumaru/mydoom tué est pas triste :)

Encore quelques .pif qui passent, mais c'est rare ;-)

Cordialement,
Xavier

--
In Reply-To veritas.

Ch.Esperado

2004-01-28 23:17:34 UTC

Permalink

Post by Olivier Zolli
Il n'y a qu'un antivirus pour le détecter.

Pas fait un pli avec AVG: Paf reçu et repéré, le lendemain matin de ton
post.
Ce sidi (qui n'en était pas un), pour ouvrir un "pif" avec The Bat! faut de
la vertu ;-)

--
Christophe. <http://esperado.chez.tiscali.fr>
Nihil obstat.