Re: Virus W32.Beagle.AV@mm

Mon, 15 Nov 2004 19:33:04 +0100 (CET) 

m.aconin wrote:


Salut!
Voilà ce que je reçois d'un correspondant dûment identifiable.
Linux-mandrake peut-il être infecté, et infecter les autres, et mon correspondant peut il avoir détecté un virus quand je lui ai envoyé un message? 

----------retransmis------------
Si ton IP publique est 62.147.26.27 (en ce moment)

 


scanne le PC ou tu travailles avec ça

   



http://download.nai.com/products/mcafee-avert/stinger.exe

car tu dois avoir le virus... [EMAIL PROTECTED]


 




Etant un peu paranoiaque (meme plus) j'aime bien faire des 
investigations sur ce genre de message...



Je suppose que ton fichier de log enregistre tes adresses IP tu peux 
donc voir si tu as eu à un moment cette adresse:


[EMAIL PROTECTED] jeff]# cat /var/log/messages | grep 62.147.26.27



Maintenant je me demande comment ton correspondant a eu ton adresse (si 
ce n'est pas ton FAI) ?



Déjà on te propose de télécharger un fichier .exe ce qui est eminemment 
suspect!!! Surtout si par malheur tu es sous W$.



La premiere chose que je regarde c'est si cette machine appartient bien 
à qui elle pretend etre:


[EMAIL PROTECTED] jeff]$ dig download.nai.com

;; ANSWER SECTION:
download.nai.com.       300     IN      A       205.227.136.95
download.nai.com.       300     IN      A       67.97.80.95

Ensuite je regarde sur la page: http://sunny.nic.com/cgi-bin/whois


a qui appartienne ces adresses la 2eme appartient a MacAfee, on peut 
donc penser qu'elle est correcte


je charge ce fichier
[EMAIL PROTECTED] jeff]$ cd tmp

[EMAIL PROTECTED] tmp]$ wget 
http://67.97.80.95/products/mcafee-avert/stinger.exe



Je suis tellement parano que tu peux remarquer que j'ai mis l'adresse IP 
et pas le nom :o)


Et ensuite je regarde s'il n'y a pas un virus dedans
[EMAIL PROTECTED] tmp]$ clamscan
<SNIP>
/home/jeff/tmp/stinger.exe: OK

----------- SCAN SUMMARY -----------
Known viruses: 22938
Scanned directories: 1
Scanned files: 29
Infected files: 0
Data scanned: 678.23 MB
I/O buffer size: 131072 bytes
Time: 229.738 sec (3 m 49 s)


Apparemment il n'y a pas de virus la dedans, mais peut-être un 
spyware??? Mais bon on n'est pas sous W$ je vais donc pouvoir effacer ce 
fichier.



PS clamav est vraiment super, il te permet de scanner ton courrier en 
entrée et en sortie...


A+


Linux-Azur :      http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
**** Pas de message au format HTML, SVP ****






















					Répondre à