Journal sobig and .pif

Posté par Lee Nux le 29 août 2003 à 12:27.

Étiquettes : aucune

août

2003

Je m'adresse aux utilisateurs de Windows.

Bien que je n'aie plus de Windows à la maison (mais toujours un au boulot :-( ), je reçois plusieurs dizaines de fois le virus sobig sur ma boite e-mail.

Je constate que tous les attachements de sobig ont l'extension .pif. De mémoire, les fichiers avec cette extension étaient utilisés pour lancer des application DOS dans l'environnement Windows. Ceci permettait entre autres de configurer la mémoire et autres joyeusetés de ce style.

Aujourd'hui, étant donné que les applications DOS sont quasi inexistantes voire même plus supportées du tout sous Windows, comment ce fait-il que l'extension .pif soit toujours associées comme executable ? Y a-t-il une autre utilité aux .pif aujourd'hui ?

Certes sobig enverrait ses attachements en .exe en lieu et place de .pif, mais les utilisateurs deviennent sensibilisés à ce problème qu'il ne faut pas exécuter les .exe ou les .vbs, mais j'imagine bien qu'ils tombent dans le panneau avec les .pif.

# Re: sobig and .pif

Posté par Fabien Jakimowicz le 29 août 2003 à 12:44. Évalué à 1.

Je recois aussi en grande quantite ce mail contamine. L'adresse laisse sur le serveur de mail laisse a penser que cela provient de th22.opsion.fr th23.opsion.fr ou th24.opsion.fr

Je commence a en avoir plus que marre d'etre floode, surtout qu'on se mets a se servir de mon adresse pour flooder me retournant un bon paquet de mailer daemon ...

Une idee sur comment me debarasser de cette merde ?

[^] # Re: sobig and .pif

Posté par Lee Nux le 29 août 2003 à 12:50. Évalué à 1.

Une idee sur comment me debarasser de cette merde ?

Eradiquer tous les ordinateurs utilisant Windows ?
- [^] # Re: sobig and .pif
  
  Posté par tontonrobert le 29 août 2003 à 12:55. Évalué à 2.
  
  Je trouve cette mesure un peu extremiste.
  
  Si on se contentait d'interdire d'utiliser Outlook (Express), ca irait deja mieux :)
- [^] # Re: sobig and .pif
  
  Posté par Obsidian le 29 août 2003 à 14:30. Évalué à 1.
  
  « Vaste Programme » (*)
  
  (*) Phrase déposée.

[^] # Re: sobig and .pif

Posté par Edouard Gomez (site web personnel) le 29 août 2003 à 13:02. Évalué à 3.

Si tu utilises procmail pour trier ton mail, j'ai quelques regles qui pourraient t'être utiles:

##############################################################################
# Sobig 1
#
# Try to find matching base64 sequences of the worm. This rule scores +200
# each time a worm chunk is found, score begins at -1000
##############################################################################
                                                                                                                                                                    
:0 BD :
  * -1000^0
  *   200^0 ^TVqQAAM
  *   200^0 K/cBHSx
  *   200^0 rZVJizb
  *   200^0 DrVitFc
  *   200^0 rolkJrX
  *   200^0 zt8P9pT
#Sobig-b
  *   200^0 gHB/e2v
  *   200^0 j1qLR/m
  *   200^0 dAgyJY8
  *   200^0 0SOIV7x
  *   200^0 Gw47Qgh
#Sobig-c (by Fredrik Rodland)
  *   200^0 BSj0hvF
  *   200^0 HN8EMuX
  *   200^0 LvRtJdz
  *   200^0 MdFFlfN
  *   200^0 oikgcxQ
#Sobig-gen
  *   200^0 /HrcLhs
  *   200^0 qfZjXLv
  *   200^0 msFydo9
  *   200^0 iJGZx/6
  *   200^0 Gg7aCZs
#Sobig-gen (UPX packed and scrambled)
  *   200^0 v0ibwKA
  *   200^0 CDH2kTw
  *   200^0 YBdt6zE
  *   200^0 nblNbDU
  *   200^0 jWqE0Z6
#Sobig-f
  *   200^0 IOsT73k
  *   200^0 eGYh2Eo
  *   200^0 cb07glg
  *   200^0 G\+Q1KAS
  *   200^0 WaUYonD
  "${MAIL_DIR}/junk"

##############################################################################
# Sobig 2
# Try to match Sobig Header specific header fields:
#  - in the header if it's a real sobig email
#  - in the body for stupid automatic anti virus software that sends you
#    back part of the message when it detects a worm
##############################################################################
                                                                                                                                                                    
:0 BH :
  * X-MailScanner: Found to be clean
  * X-Mailer: Microsoft Outlook
  "${MAIL_DIR}/junk"
                                                                                                                                                                    
##############################################################################
# Automatic Server feedback, more annoying than worms
##############################################################################
                                                                                                                                                                    
:0 B :
  * Virus W32\.Sobig\.F@mm was found
  "${MAIL_DIR}/junk"
                                                                                                                                                                    
:0 B :
  * A Illegal attachment type was found in an Email message you sent\.
  "${MAIL_DIR}/junk"
                                                                                                                                                                    
:0 B :
  * Hi\. This is the qmail-send program at aqua\.care4sites\.nl\.
  "${MAIL_DIR}/junk"

Bien entendu tu adaptes les dernières règles en fonction des messages qu'ont tendance a t'envoyer les daemons qui t'emmerdent le plus... ces règles ont été prises sans aucun scrupule sur la liste users de procmail ;-)

[^] # Re: sobig and .pif

Posté par Lee Nux le 29 août 2003 à 13:27. Évalué à 1.

J'avais vu que les mails infectés par sobig avaient le
X-MailScanner: Found to be clean

Mais aucun scanner de virus ne génère cet entête ?
Si c'est le cas, alors la règle du X-MailScanner + Outlook -> /dev/null pour moi, c'est le pied :-)
- [^] # Re: sobig and .pif
  
  Posté par Cyberdivad le 29 août 2003 à 13:35. Évalué à 1.
  
  Apparemment, F-Prot / MailScanner mettrait cet entête (désactivable)
[^] # Re: sobig and .pif

Posté par Matthieu Weber le 29 août 2003 à 13:54. Évalué à 1.

Pour virer les messages des daemons, j'ai trouvé un filtre sympa : je filtre ce qui vient prétendument de moi et qui a été envoyé par Outlook Express:)
[^] # Re: sobig and .pif

Posté par CopainJack (site web personnel, Mastodon) le 29 août 2003 à 13:59. Évalué à 1.

Une méthode pour être tranquille sans devoir adapter son procmail à chaque nouveau virus:

Utiliser SpamAssassin et cette simple rêgle dans .procmailrc:

:0
* MICROSOFT_EXECUTABLE
/dev/null

Le MICROSOFT_EXECUTABLE est ajouté par la moulinette de SpamAssassin

# Re: sobig and .pif

Posté par sandrake le 29 août 2003 à 14:03. Évalué à 2.

Juste pour rire :

http://ars.userfriendly.org/cartoons/?id=20030823&mode=classic(...)
http://ars.userfriendly.org/cartoons/?id=20030825&mode=classic(...)
# Re: sobig and .pif

Posté par Licence IV (Nicolas de Ferrieres le 29 août 2003 à 14:26. Évalué à 1.

étant donné que tu ne dois pas recevoir de .pif autre que pour des virus, tu peux simplement refuser les fichiers .pif

Par exemple avec procmail:

# Attachements indésirables
:0 HB:
* .*name=.*\.(scr|vba|vb|bat|cmd|pif|exe)
/dev/null
- [^] # Re: sobig and .pif
  
  Posté par SQP le 29 août 2003 à 16:16. Évalué à 1.
  
  avec vos exemples sur procmail, ca m'a donné envie de m'y mettre (je pope directement sur le serveur avec evolution actuellement)
  Est-ce que qqn aurait une doc (pas forcement simple) sur la facon de configurer avec des explications sur les options proposées pour mettre en oeuvre (choix techniques à faire si besoin....) ?
  - [^] # Un bon point de départ
    
    Posté par CopainJack (site web personnel, Mastodon) le 29 août 2003 à 17:40. Évalué à 1.
    
    Procmail Quick Reference Guide:
    http://www.zer0.org/procmail/quickref.html(...)
    
    Tu as sur cette page, outre les références des commandes et options de procmail, des liens vers les FAQ et les autres sites de "recettes" pour procmail

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.