Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de GomGom :
- [08/01@16:32] Brownies powa !
- [05/01@01:39] CSS et cache Google.
- [31/12@00:28] XviD iz ze ouineur video codec !
- [14/12@22:51] RPG Planeshift.
- [05/12@23:33] Vrac
- [04/12@14:18] Bochs et abandonware
- [18/11@10:09] La selection naturelle des programmes compilés par GCC 3.4.
- [11/10@14:03] Port GNU/linux de glExcess.
- [10/10@00:45] Le Noyau 2.6 accèlère ma souris
- [13/08@20:54] Les démos saibien, mangez en (surtout quand c'est libre)
- [28/07@00:28] Quantité ou Qualité...
- [07/05@20:50] Emacs et GTK2
- [24/04@11:34] C'est pas fini ces posts de merde ?!
- [05/04@15:56] Duke3D
- [14/03@22:43] [Followup] -- Son sur ASUS A7V8X
- [13/03@22:42] Appel aux bonnes ames
- [13/02@22:28] XviD 0.9.1
- [31/01@14:17] Et le vouineur is:
- [31/01@09:15] Pot de depart du stage
- [27/01@10:44] 3615 Bienvenue dans MaVie.com
:0 BH :
* -300^0
* 100^0 ^Subject: (Mail Delivery System|Hi|Hello|hello|Test|test)
* 100^0 ^X-MSMail-Priority: Normal
* 100^0 Content-Type: multipart/mixed;
* 100^0 ^The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment\.
* 100^0 ^The message contains Unicode characters and has been sent as a binary attachment\.
* 100^0 ^Mail transaction failed. Partial message is available\.
* 100^0 name=".*\.(bat|pif|zip)"
"${MAIL_DIR}/junk"
A noter que le score de depart est -300, mais que si vous craignez un filtrage trop large (a cause des 100 points engendres par "X-MSMail-Priority: Normal" qui est la valeur par defaut de outlook), mettez le score initial a -400... tout feedback le bienvenu car j'en recois a la pelle, donc si vous avez mieux, je suis preneur.
> Lire le journal (7 commentaires, moyenne: 1,7).
Re: Encore un Worm.
Je viens de recevoir une variante sans titre... avec de l'aleatoire... bref cette saleté de worm est dure à caser dans une regle de filtrage :-(
-
[^]Re: Encore un Worm.
Posté par kallix () le 27/01/2004 à 03:21. (lien). Évalué à 1.J'en ai eu 2 : le premier avec "error" comme sujet et en fichier joint document.zip qui contient un .pif.
le deuxieme a pour sujet "DELIVERY FAILURE: Recipient user name peter (peter@ketc***.fr) not unique. Several matches found in Name & Address Book." et il y a un .scr dans le zip.
Je crois que ton filtre ne vas marcher longtemps :(-
[^]Re: Encore un Worm.
Posté par kallix () le 27/01/2004 à 03:46. (lien). Évalué à 1.encore 3 de plus! il a l'air efficace celui-la!
D'apres http://www.sarc.com/avcenter/venc/data/w32.novarg.a@mm.html(...) le worm scanne des fichiers pour trouver des adreses mails auxquelles s'auto-envoyer. Je ne pensait pas qu'autant de personnes avait mon adresse :)
A noter que ce worm a pour but de lancer un DoS contre www.sco.com entre le 1 et le 12 fevrier.-
[^]Re: Encore un Worm.
Posté par Marc (Jabber id, page perso, ) le 27/01/2004 à 09:50. (lien). Évalué à 0.comment il est pas gentil le worm :) encore un coup des maichant linuxien ça
-
-
Re: Encore un Worm.
Bon je m'etais couché dans l'espoir que mon filtre serait assez efficace aujourd'hui. Fetchmail se lance.... mauvais signe ca downloade plein pot pdt 1 minute. Resultat des courses:
- 117 worms interceptes
- 50 ont passé la règle (je compte aussi les reponses automatiques des gateways anti virus, qui sont tout autant une plaie que les worms)
AU SECOURS ! pourquoi tout le monde forge ses worms a partir de mon adresse email :\
Re: Encore un Worm.
Personnellement j'ai ça pour virer tout les virus dans la boîte hadhoc, ça marche nickel (pour swen en tout cas, je reçois que ça !)
:0:
* ^Content-Type:.*multipart/
* 1^1 B ?? ^Content-Type:.*application/x-msdownload
* 1^1 B ?? ^Content-Type:.*name=.*\.(exe|scr|pif|com|bat)
* 1^1 B ?? ^[ ]+(file)?name=.*\.(exe|scr|pif|com|bat)
* -1^1 B ?? ^[ ]+(file)?name=3D.*\.(exe|scr|pif|com|bat)
virus/
Re: Encore un Worm.
Bon j'ai fini par rendre la regle un poil plus efficace, a savoir que sous linux j'ai jamais besoin d'executables windows, et que les zip c gentil mais pas qd ca ressemble au MyDoom:
# Piege a worm con qui se fout sous la forme d'un exe win32
:0 BD:
* name=".*\.(scr|bat|pif|cmd|exe)"
"${MAIL_DIR}/junk"
# le piege a MyDoom proprement dit
:0 BHD :
* -700^0
* 100^0 > 30000
* 100^0 < 36000
* 100^0 ^Subject: (Mail Delivery System|Hi|Hello|hello|Test|test|Status)
* 100^0 ^X-Priority: 3
* 100^0 ^X-MSMail-Priority: Normal
* 100^0 Content-Type: text/plain;
* 100^0 charset="Windows-1252"
* 100^0 Content-Type: multipart/mixed;
* 100^0 ^The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment\.
* 100^0 ^The message contains Unicode characters and has been sent as a binary attachment\.
* 100^0 ^Mail transaction failed. Partial message is available\.
# just test the zip extension as usual extensions get trapped by the
# "dumb worms" rule
* 100^0 name=".*\.zip"
"${MAIL_DIR}/junk"
Enjoy
Cette page a été générée par Templeet en 0.0553s (dont 0.0055 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.