J'ai plusieurs adresses email, et par le plus grand des hasards, une partie reçoit presque exclusivement des spams (en continu), l'autre reçoit presque exclusivement des virus (par à coups de quelques jours, quand les gusses qui ont ces adresses se font contaminer, et en attendant qu'ils nettoient leurs machines ou soient déconnectés par leurs FAI).
Ainsi par exemple, il y a une semaine, je me suis pris plusieurs centaines de Sober.P pendant quelques jours, notamment 45 Mo le premier jour, avant que Free ne bloque la réception (Free octroie 25 Mo par adresse). Bon, le ou les gars ont vite arrêté d'envoyer, même pas eu besoin de repérer le ou les ISP concernés et leur écrire.
Aujourd'hui, quelque chose de bien étrange s'est produit. Il s'agit du mécanisme de base d'un virus (les adresses pipotées de destination sont dans le même genre que pour les virus précédents, les FAI concernés sont les mêmes, je me prends les mêmes genres de réponses offusquées de serveurs qui croient que j'envoie des mail à des gens qui n'existent plus alors que c'est juste mon adresse qui a été utilisée comme expéditeur pipoté, etc.). 185 messages en vingt heures, bourrin mais pas exceptionnel.
Par contre le contenu est assez original : au lieu d'un court message invitant à ouvrir la classique pièce jointe qui contient le virus, j'ai juste un lien vers un article en allemand. J'ai examiné quelques sites, je n'ai rien vu de louche (genre exploitation de faille HTML ou autre), il s'agit de sites de plus ou moins grands quotidients, etc., et d'articles divers d'actualités -- pas de thème précis. Je ne vois absolument pas l'intérêt de la manoeuvre !
Outre cette surprenante énigme, se pose le problème de filtrer ces messages : ils ne contiennent pas de virus, et sont tellement brefs et corrects que SpamAssassin en laisse passer 60%. J'hésite à les lui faire apprendre comme spams.
Et vous, vous avez remarqué ce phénomène bizarre ? (Ou entendu parler de, etc.)
Journal Virus bizarre
15
mai
2005
# NPD
Posté par Alexandre . Évalué à 2.
# Sober.Q
Posté par Lapinot (site web personnel) . Évalué à 6.
http://secuser.com/alertes/2005/soberq.htm(...)
[^] # Re: Sober.Q
Posté par Alexandre . Évalué à 2.
merci !
[^] # Re: Sober.Q
Posté par Boa Treize (site web personnel) . Évalué à 3.
[^] # Re: Sober.Q
Posté par djibb (site web personnel) . Évalué à 2.
[^] # Re: Sober.Q
Posté par Bemixam (site web personnel) . Évalué à 2.
( au point de vautrer une de mes 2 passerelles smtp )
ca a commencé hier.
en tout cas il fonctionne très bien ce troyen :-)
[^] # Re: Sober.Q
Posté par XHTML/CSS inside (site web personnel) . Évalué à 4.
Cela change un peu du v1agra, du Cialys...
A quand le spam en esperanto ?
[^] # Re: Sober.Q
Posté par edel . Évalué à 2.
Heureusement j'utilise SpamAssassin et j'ai trouvé une règle parfaite pour contrer ce vers, c'est donc testé et approuvé :)
A téléchager ici : http://mailscanner.prolocation.net/german.cf(...)
Ca fout une note de 8 rien qu'à la lecture du sujet du message, note qui peut augmenter après analyse du corps du message...
[^] # Re: Sober.Q
Posté par Boa Treize (site web personnel) . Évalué à 2.
# Moi aussi !
Posté par sebastienthiery . Évalué à 1.
Ce qui m'étonne c'est que Norton Antivirus (mis à jour le jour même) n'a rien signalé sur Sober...
Enfin, merci Lapinot, tu nous a enlevé une grosse épine du pied !!!!
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.