On Thu, 22 Apr 2004, R�mi Letot wrote: > On Thu, 2004-04-22 at 16:12, Jean-Francois Dive wrote: > > On Thu, Apr 22, 2004 at 01:54:52PM +0200, R?mi Letot wrote: > > > On Thu, 2004-04-22 at 12:48, Jean-Francois Dive wrote: > > > > oui mais le fait que le virus se transmet par mail ne signifie > > > > aucunement que c'est une personne qui a envoye un mail donc tu n'es pas > > > > certain du tout qu'il y ai kkun derriere l'addresse du from. > > > > > > Heu, je suppose qu'il y a une erreur dans ta phrase, car pour un virus > > > dont le mode de transmission est le mail, je suis *absolument* certain > > > qu'il n'y a personne de l'autre c?t?. > > > > john doo ouvre outlook envois un mail a un de ses amis et y attache un > > .doc/.exe qui contient un virus. Le mail a ete envoye par un humain. > > Mais m�me si ce virus se propage habituellement par le mail, il y a fort > peu de chance pour que le mail qui le contient dans ce cas pr�cis ait le > format qu'il g�n�re lorsqu'il se propage. Donc c'est d�tectable.
C'est tjs d�tectable ? Quelle la diff�rence entre un MUA qui est utilis� par une faille de s�curit� ou un MUA utilis� par un end-user ? Souvent l'�change SMTP sera exactement le m�me. Il faudrait alors faire des hypth�ses sur le contenu mais alors ce sont des hypoth�ses... Un exemple : On s'�change des virus pour cr�er des signatures clamav est-ce un virus qu'il a envoy� ou des gars qui font du logiciel libre et du reverse-engineering sur des virus ? > > Note que m�me sans aller jusqu'� la d�tection de ce cas particulier > somme toute probablement tr�s rare, diff�rencier dans les mails les > virii qui ne se transmettent pas par mail de ceux qui le font serait > d�j� un grand pas en avant, non ? Ce n'est pas parce qu'un syst�me n'est > pas parfait qu'il faut continuer � faire pire... C'est une question subtile. Pr�f�res-tu jeter 100% du courrier avec 99 virus dedans et un 1 mail l�gitime ? ou garder les 100 mails pour retrouver ton mail l�gitime ? > <couic> > > > > Je crois qu'il est possible de transmettre au MTA l'information > > > n?cessaire pour qu'il puisse d?cider de la conduite ? tenir : > > > silencieusement effacer le mail s'il est envoy? par un virus, et avertir > > > dans le cas contraire. Mais je n'ai pas trouv? d'outils permettant cette > > > distinction. > > > > C'est pour cela que bcp de monde configure leur MTA pour envoyer un mail > > au destinataire disant blah vous avez recu un mail qui contenait un > > virus et provenant de <from>. > > Oui mais alors soit tu transmets le message, ce qui revient � > transmettre le virus, soit tu transmets juste un avis de r�ception de > virus de la part de From. Mais dans ce cas tu enl�ves la possibilit� au > destinataire de distinguer entre un mail valide mais contenant un virus > et un mail g�n�r� par un virus avec un faux From. A part remplir > inutilement une boite mail, cette info est inutile. C'est en effet inutile pour l'envoyeur mais pas tjs pour le destinataire... C'est comme cela que je rep�res les mails l�gitimes avec des virus dedans. (ben oui, on peut avoir des mails l�gitimes avec des virus ou avoir ses mails de la mailing-list bugtraq ;-) just my .02 EUR, adulau -- ** Alexandre Dulaunoy (adulau) **** http://www.foo.be/ **** 0x44E6CBCD **/ "To disable the Internet to save EMI and Disney is the moral **/ equivalent of burning down the library of Alexandria to ensure the **/ livelihood of monastic scribes." Jon Ippolito. _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
