le Sat, 11 Oct 2003 21:29:15 +0200, Lo�c Le Guyader <[EMAIL PROTECTED]> s'exprima en ces termes:
> Salut, > > Non, ne jetez plus les innombrables exemplaires de Swen que vous > recevez, et qui sont, malheureusement, inutilisables sur pauvre > Debian. > > En effet, Swen trimbale avec lui une liste de seveur de news > compress�. Comment la r�cup�rer? C'est simple: > �tape 1: Sauver l'attachement du courriel (swen.exe pour l'exemple) > �tape 2: Copier la liste compress� dans un fichier (swen.news) > dd bs=1 skip=100144 if=swen.exe of=swen.press > Si le fichier swen.news ne commence pas par �SZDD�, l'offset > n'est pas bon, demerdez-vous pour le trouver. > �tape 2: R�cup�rez le d�compresseur: > http://www.kyz.uklinux.net/downloads/xfd_SZDD.lha > D�compresser cette archive (apt-get install lha), puis > compiler sddexpand et finalement: > sddexpand swen.news > �tape 3: less swen.news > > Je vous laisse d�couvrir les *.proxad.net, *.nerim.net, ... qui me > font penser que Swen mais � jour cette liste de serveur de news avec > ceux qu'il a infect�. > > V�rifiez que votre liste est diff�rente de la mienne pour confirmer > cette hypoth�se (oui c'est �a le jeux, et oui je m'excuse de n'avoir > qu'un Swen sous la main ;o) ). Le md5sum de mon swen.news: > b953eb2b35353307d6e7da0f131ded90 swen.news Tous mes svens ont la m�me md5 (la m�me que la tienne). �a m'�tonnerai qu'il se modifie. Par contre, un strings sur sven.exe remonte un ensemble de cha�nes int�ressantes: f-prot, blackice, zonealarm, safeweb ... D'ici � ce qu'il ne s'ex�cute que sur des machines totalement non prot�g�es pour �viter de se faire rep�rer, il n'y a qu'un pas. Autre constat du string: le pool de chaines utilis�es pour forger les champs: - une version "patch krosoft": + To: Client, Consumer, Partner, User, Customer, Commercial + Subject: Upgrade, Pack, Update, Patch, Critical, Net, Latest, New, Last, Newest, Current +Aussi du FW, du Newsgroup, ... - une version "can't deliver": + Subject: Notice, Report, Announcement, Advice, Letter, Failure, Abort, Error, Bug, User unknown, Mailer, Sender, Returned To, Message, Mail Undelivered, Undeliverable, Returned Concernant la liste fournie, �a ressemble � une liste issue d'un scan, mais sur quel crit�re ? D'autres trucs rigolos (allez voir): des listes "top 10 google" pour la duplication du virus sur les r�seaux p2p avec des noms int�ressants, une url(http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=c nt0 06). Bon, on va tenter d'y aller avec winice pour y voir plus clair. /N ______________________________________________________________________ Nicolas Rueff <[EMAIL PROTECTED]> http://rueff.tuxfamily.org +33 6 77 64 44 80 -- break; /* don't do magic till later */ -- Larry Wall in stab.c from the perl source code ______________________________________________________________________
pgpgeNFSPrvfH.pgp
Description: PGP signature
