Journal Virus bizarre

Posté par (page perso) .
Tags : aucun
0
15
mai
2005
J'ai plusieurs adresses email, et par le plus grand des hasards, une partie reçoit presque exclusivement des spams (en continu), l'autre reçoit presque exclusivement des virus (par à coups de quelques jours, quand les gusses qui ont ces adresses se font contaminer, et en attendant qu'ils nettoient leurs machines ou soient déconnectés par leurs FAI).

Ainsi par exemple, il y a une semaine, je me suis pris plusieurs centaines de Sober.P pendant quelques jours, notamment 45 Mo le premier jour, avant que Free ne bloque la réception (Free octroie 25 Mo par adresse). Bon, le ou les gars ont vite arrêté d'envoyer, même pas eu besoin de repérer le ou les ISP concernés et leur écrire.

Aujourd'hui, quelque chose de bien étrange s'est produit. Il s'agit du mécanisme de base d'un virus (les adresses pipotées de destination sont dans le même genre que pour les virus précédents, les FAI concernés sont les mêmes, je me prends les mêmes genres de réponses offusquées de serveurs qui croient que j'envoie des mail à des gens qui n'existent plus alors que c'est juste mon adresse qui a été utilisée comme expéditeur pipoté, etc.). 185 messages en vingt heures, bourrin mais pas exceptionnel.

Par contre le contenu est assez original : au lieu d'un court message invitant à ouvrir la classique pièce jointe qui contient le virus, j'ai juste un lien vers un article en allemand. J'ai examiné quelques sites, je n'ai rien vu de louche (genre exploitation de faille HTML ou autre), il s'agit de sites de plus ou moins grands quotidients, etc., et d'articles divers d'actualités -- pas de thème précis. Je ne vois absolument pas l'intérêt de la manoeuvre !

Outre cette surprenante énigme, se pose le problème de filtrer ces messages : ils ne contiennent pas de virus, et sont tellement brefs et corrects que SpamAssassin en laisse passer 60%. J'hésite à les lui faire apprendre comme spams.

Et vous, vous avez remarqué ce phénomène bizarre ? (Ou entendu parler de, etc.)
  • # NPD

    Posté par . Évalué à 2.

    En ce moment je me prends des spams pour le site du NPD, depuis cet aprem. Les mails proviennent d'une IP chez Neuf Telecom (on a bien évidemment forwarder à abuse_at_gaoland_dot_net ... )
  • # Sober.Q

    Posté par (page perso) . Évalué à 6.

    Ce ne serait pas ça par hasard ?

    http://secuser.com/alertes/2005/soberq.htm(...)
    • [^] # Re: Sober.Q

      Posté par . Évalué à 2.

      Pour mon cas, ça y ressemble très fortement :)

      merci !
    • [^] # Re: Sober.Q

      Posté par (page perso) . Évalué à 3.

      Bien vu, merci pour le lien. Bon finalement, il doit y avoir un thème parmis les articles, faut que je bosse mon allemand. Vu que c'est toujours les mêmes titres, je vais faire apprendre le tout à SpamAssassin.
      • [^] # Re: Sober.Q

        Posté par (page perso) . Évalué à 2.

        j'ai le meme isi aussi... ca pourrit vite la boite..
        • [^] # Re: Sober.Q

          Posté par (page perso) . Évalué à 2.

          je recois aussi des quantités sympatiques de spam allemand
          ( au point de vautrer une de mes 2 passerelles smtp )

          ca a commencé hier.

          en tout cas il fonctionne très bien ce troyen :-)
      • [^] # Re: Sober.Q

        Posté par . Évalué à 2.

        Idem pour moi et je gère 6 mailing lists un enfer !

        Heureusement j'utilise SpamAssassin et j'ai trouvé une règle parfaite pour contrer ce vers, c'est donc testé et approuvé :)

        A téléchager ici : http://mailscanner.prolocation.net/german.cf(...)

        Ca fout une note de 8 rien qu'à la lecture du sujet du message, note qui peut augmenter après analyse du corps du message...
  • # Moi aussi !

    Posté par . Évalué à 1.

    Un de nos client en a reçu une vingtaine depuis hier, et il a bombardé un serveur de Laposte.net.

    Ce qui m'étonne c'est que Norton Antivirus (mis à jour le jour même) n'a rien signalé sur Sober...

    Enfin, merci Lapinot, tu nous a enlevé une grosse épine du pied !!!!

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.