Forum général.général Identification virus/spam

Posté par . Licence CC by-sa
Tags :
1
5
août
2015

Bonjour,

Depuis un mois je reçois plusieurs emails/spams avec le schéma suivant :
- Le nom de l'expéditeur est celui d'un ami, par exemple "Jean Dupont"
- L'email de l'expéditeur est faussé, par exemple JeanDupont@example.com
- Le sujet de l'email est "From: Jean Dupont"
- L'email est envoyé à un sous-ensemble des contacts de mon ami (c'est sûr car les contacts ne sont connus que de mon ami)
- L'email contient uniquement un lien du genre: http://site.bizarre.com/mot.php?Jean_Dupont
- L'email a une signature après le lien "Jean Dupont"

Est-ce que cela vous dit quelque chose ?
Cela m'étonnerait que subitement tout le monde se soit fait piraté, mais je ne vois pas d'autres explications…

  • # ton ami est vérolé (enfin son PC)

    Posté par . Évalué à 2.

    du coup, son carnet d'adresse a été piraté,
    et le virus envoie des emails avec son carnet d'adresse…

    CQFD

    • [^] # Re: ton ami est vérolé (enfin son PC)

      Posté par . Évalué à 0.

      C'est l'explication la plus simple mais je trouve cela bizarre.
      D'autant que je n'ai pas trouvé trace de ce mode opératoire sur Internet.
      Donc je ne peux même pas dire quel virus a infecté leur ordinateur.

      • [^] # Re: ton ami est vérolé (enfin son PC)

        Posté par (page perso) . Évalué à 3.

        je n'ai pas trouvé trace de ce mode opératoire sur Internet.

        C'est le mode principal de récupération des identifiants de serveurs emails depuis pas mal de temps.
        Le logiciel malveillant est s'installe sur le poste, récupère les identifiants emails et carnet d'adresse, et communique le tout à « son maître ».

        Si le mot de passe du serveur email change, et qu'on le change dans le logiciel d'emails, ça ne sert à rien tant que le logiciel reste installé sur le poste car cela va de nouveau être communiqué au maître.

        • [^] # Re: ton ami est vérolé (enfin son PC)

          Posté par . Évalué à 0.

          Si c'est un virus qui cherche à se propager, quel est l'intérêt de mettre le nom dans l'URL ?

          Je suis preneur d'un lien qui donne le nom d'un virus qui a exactement ce mode opératoire (i.e avec un lien du genre http://site.bizarre.com/mot.php?Jean_Dupont).
          Cela me permettra d'orienter mes contacts dans la recherche d'un bon antivirus !

          Merci

          • [^] # Re: ton ami est vérolé (enfin son PC)

            Posté par (page perso) . Évalué à 2.

            c'est peut etre simplement un équivalent d'un système de lien de tracking dans les campagnes marketing

            T'as un email avec une suite de caractère a du genre https://campagnedepub/929c44e02e8920d9f7610527874fb3492e3 sauf de pour le virus c'est plus simple car le codeur n'avait pas envie de s'ennuyer

            • [^] # Re: ton ami est vérolé (enfin son PC)

              Posté par . Évalué à 0.

              Mais il n'y rien dans l'email à part le lien bizarre, donc pour une campagne marketing c'est râté.

              C'est vraiment bizarre, car les personnes infectés n'ont absolument aucun lien entre elles et l'email est identique dans son mode opératoire.
              Et je ne trouve personne d'autre sur terre ayant eu ce genre d'email.

              Ou bien il y a une infinité d'emails/virus de ce genre (raison pour laquelle personne ne prend la peine de rapporter cet email/virus en particulier), et dans ce cas c'est une énorme coïncidences que 4 de mes contacts se trouvent infectés par exactement le même virus.

              Ou bien il n'y que très peu d'emails/virus de ce genre, depuis un mois ce virus se répand sur la France, mais la plupart des gens s'en contrefichent et n'en parlent pas.

              A moins que j'ai loupé une troisième option ?

              • [^] # Re: ton ami est vérolé (enfin son PC)

                Posté par . Évalué à 1.

                peut-etre parce qu'il faut comprendre comment ca marche…

                dans ton cas, il y a un probleme de comprehension

                c'est une énorme coïncidences que 4 de mes contacts se trouvent infectés par exactement le même virus.

                les personnes qui recoivent l'email ne sont pas infectées,
                c'est l'emetteur de l'email qui l'est,
                voir juste le propriétaire du carnet d'adresse qui a servit à alimenter la base de pishing

                pour en savoir plus il faut les entetes de l'email, qui vont te dire d'ou l'email est partit

                • [^] # Re: ton ami est vérolé (enfin son PC)

                  Posté par . Évalué à -1.

                  peut-etre parce qu'il faut comprendre comment ca marche…
                  dans ton cas, il y a un probleme de comprehension

                  Je pense que c'est plutôt toi qui ne comprend pas ma réponse et la situation.
                  D'une, les 4 personnes (aujourd'hui 6…) dont je parle sont les personnes qui ont envoyé l'email (et pas celle qui ont reçu).
                  De l'autre j'ai bien indiqué que dans les emails envoyés, les destinataires ne sont connus que de l'émetteur et de lui seul.

                  Crier au loup systématiquement et dire que l'ordinateur est vérolé sans chercher à comprendre plus loin, n'aide pas vraiment. Je suppose qu'après on va me dire de formater/réinstaller l'ordinateur ou d'installer openBSD car Windows/Mac/Linux c'est troué de toute façon ?

                  Enfin bref j'ai analysé la situation, trouvé le point commun entre toutes les personnes concernées, trouvé des rapports similaires d'incidents sur Internet et confirmé avec l'aide d'une personne concernée ce qui s'est passé.

                  Et devinez quoi ? Leur PC n'est pas vérolé.

                  • [^] # Re: ton ami est vérolé (enfin son PC)

                    Posté par (page perso) . Évalué à 3.

                    les 4 personnes (aujourd'hui 6…) dont je parle sont les personnes qui ont envoyé l'email

                    avoir son adresse dans le champ « expéditeur » != envoyer un email

                    Leur PC n'est pas vérolé.

                    Forcément, puisque c'est le PC de la personne « qui a le carnet d'adresses » qui est vérolé.
                    Et puis « pas vérolé » ça reste à prouver, car il y a toujours un étourdi pour cliquer sur http://gros.site.de.virus.com/sexe-argent-reduction-impots

                    • [^] # Re: ton ami est vérolé (enfin son PC)

                      Posté par . Évalué à 0.

                      avoir son adresse dans le champ « expéditeur » != envoyer un email

                      Les destinataires ne sont connus que d'une seule et unique personne (i.e. par exemple des collègues du boulot). C'est comme cela que j'identifie l'expéditeur.

                      Forcément, puisque c'est le PC de la personne « qui a le carnet d'adresses » qui est vérolé.

                      Non le PC n'est pas vérolé. Je ne vois vraiment pas pourquoi on m'assène cela de manière évidente et définitive, comme si c'était la seule explication rationnelle possible sans chercher plus loin.

                      Enfin bref, j'ai résolu le problème (et les différents PC n'étaient pas vérolés).

  • # Piste

    Posté par . Évalué à 4.

    Ah j'ai trouvé une piste !
    Tous les contacts ont yahoo.fr comme fournisseur d'email.

    Et apparemment c'est n'est pas un virus :
    https://askleo.com/why_am_i_getting_or_sending_emails_that_contain_only_a_link_or_spam_from_my_contacts/

    On dirait plutôt qu'il y a eu hack de yahoo.fr !

    • [^] # Re: Piste

      Posté par . Évalué à 1.

      oui et non,

      suffit que le compte de l'expediteur ait été piraté pour que son carnet d'adresse soit exposé.
      alors OK ce n'est pas un cirus,
      mais c'est chez l'expediteur qu'il faut chercher, changer son mot de passe, etc

      les gens qui ont recu l'email n'ont rien à faire.

      • [^] # Re: Piste

        Posté par . Évalué à 1.

        Oui c'est ça : ils se sont fait piraté leur compte. Apparemment lors d'un voyage à l'étranger dans un cyber-café ou à l'hôtel (je dois encore recouper les informations, à confirmer).
        Je ne sais pas si c'est une faille XSS ou un truc un plus exotique (vu le délai très court où tous ces gens se sont fait piratés, je n'exclue pas une faille chez Yahoo directement).

        Bien entendu les destinaires n'ont rien à faire. Mon but était d'identifier précisément le problème chez les expéditeurs pour les aider.

        Pour l'instant j'ai recommandé de vérifier les logs de connexion (surprise ! quelqu'un s'est connecté d'un pays bizarre !), de changer le mot de passe et d'activer le 2-factor authentification.

        Si je m'étais juste arrêté à « votre PC est vérolé », cela ne les aurait pas aidé, au contraire (le temps d'installer/acheter plusieurs antivirus, formater et réinstaller), et j'aurais perdu en crédibilité.
        D'où l'intérêt de ne pas crier au virus immédiatement et systématiquement en excluant toute autre possibilité.

        • [^] # Re: Piste

          Posté par . Évalué à 1.

          dans le sujet initial tu parlais d'UN expediteur, vers plusieurs Destinataires.

          là maintenant tu parles de plusieurs expediteurs,
          ce n'est pas le meme probleme,
          et en effet, il fallait alors chercher les points communs, comme pour n'importe quel propagation.

          et tu as trouvé yahoo avec peut-etre une faille chez yahoo, ou comme tu le soulignes, ces gens sont tous partis en vacances en meme temps, ont tous utiliser le meme cybercafé…

          c'est donc soit yahoo qui est hacké, soit le cybercafé qui est infecté :/

          • [^] # Re: Piste

            Posté par . Évalué à 2.

            Vraiment ? En lisant le message initial, tout le monde interprète sans ambigüité que je spécifie qu'il n'y a qu'un seul expéditeur et que je considère les destinataires comme infectés ?

            Je veux bien croire que c'est ambigüe (et dans ce cas là il ne faut pas hésiter à poser la question) mais de là à dire que j'ai affirmé le contraire… Surtout avec les clarifications apportés au cours du fil de discussion :

            Depuis un mois je reçois plusieurs emails/spams avec le schéma suivant :
            - Le nom de l'expéditeur est celui d'un ami, par exemple "Jean Dupont"
            […]
            Cela m'étonnerait que subitement tout le monde se soit fait piraté

            les personnes infectés n'ont absolument aucun lien entre elles et l'email est identique dans son mode opératoire.

            et dans ce cas c'est une énorme coïncidences que 4 de mes contacts se trouvent infectés par exactement le même virus.

            D'une, les 4 personnes (aujourd'hui 6…) dont je parle sont les personnes qui ont envoyé l'email (et pas celle qui ont reçu).

            Les destinataires ne sont connus que d'une seule et unique personne (i.e. par exemple des collègues du boulot). C'est comme cela que j'identifie l'expéditeur.

            Je remercie les gens d'avoir consacré leur précieux temps à essayer de m'aider, mais je souligne juste que :

            1. « ton PC est vérolé » n'est pas la réponse universelle à ce genre de situation
            2. il est possible d'analyser la situation, pour peu que l'on s'en donne la peine

            Parce que si je fais le bilan des réponses reçues, j'ai plutôt l'impression que les gens ont leur idée bien ancrée dans leur tête et n'accepte pas les informations que leur donne. Au risque de m'orienter dans la mauvaise direction :

            • ton ami est vérolé (enfin son PC)
            • Le logiciel malveillant est s'installe sur le poste, récupère les identifiants emails et carnet d'adresse, et communique le tout à « son maître ».
            • c'est peut etre simplement un équivalent d'un système de lien de tracking dans les campagnes marketing
            • les personnes qui reçoivent l'email ne sont pas infectées
            • pour en savoir plus il faut les en-têtes de l'email, qui vont te dire d'ou l'email est partit
            • avoir son adresse dans le champ « expéditeur » != envoyer un email
            • Forcément, puisque c'est le PC de la personne « qui a le carnet d'adresses » qui est vérolé.
            • mais c'est chez l'expéditeur qu'il faut chercher, changer son mot de passe, etc. les gens qui ont reçu l'email n'ont rien à faire.

            Bon on ne va pas en faire une montagne non plus, le problème est résolu, c'est le plus important !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.