Re: [HS] sobig et Kmail
Pascal Eisele a écrit : contre, quand je vois des mailer-daemon m 'aviser que je suis infecté, ou pire me demander de renvoyer le message zippé avec copie du virus en prime, là y'a quand même de quoi s'inquiéter sur la formation desdits admins et la configuration (probablement par défaut) de leurs AV :( Je précise que, j'en reçois 10 à 20 par jours aussi (donc qui viennent s'ajouter aux autres - puisque dans le tas, la plupart ont le virus en PJ)). Je suis d'accord sur l'ensemble mais pas sur le dernier point. Dans pas mal d'entreprise, d'administration ou de grands comptes, on demande au postmaster de faire en sorte que les expéditeurs des messages mis en quarantaine en soient informés... La formation de l'administrateur n'a donc rien à voir la dedans... En revanche, réexpedier le virus en pj (même zippé) me parrait un peu ... louffoque! -- Loick
Re: [HS] sobig et Kmail
Loic.B (FDUL) a écrit : Pascal Eisele a écrit : contre, quand je vois des mailer-daemon m 'aviser que je suis infecté, ou pire me demander de renvoyer le message zippé avec copie du virus en prime, là y'a quand même de quoi s'inquiéter sur la formation desdits admins et la configuration (probablement par défaut) de leurs AV :( Je précise que, j'en reçois 10 à 20 par jours aussi (donc qui viennent s'ajouter aux autres - puisque dans le tas, la plupart ont le virus en PJ)). Je suis d'accord sur l'ensemble mais pas sur le dernier point. Dans pas mal d'entreprise, d'administration ou de grands comptes, on demande au postmaster de faire en sorte que les expéditeurs des messages mis en quarantaine en soient informés... La formation de l'administrateur n'a donc rien à voir la dedans... En revanche, réexpedier le virus en pj (même zippé) me parrait un peu ... louffoque! Je reçois un message m'avisant de bien vouloir réexpédier mon (prétendu) message en zippant la pièce jointe. A l'appui, je reçois mail et virus (sûrement pour le cas où je ne l'aurais plus). Le message, en outre, est suffisamment explicite (en gros) : votre pièce jointe est un .scr (ou .pif ou .exe, etc. - selon les cas), donc elle n'est pas autorisée à entrer dans notre entreprise. Nousvous invitons à la renvoyer à son destinataire zippée :-p Claude
Re: [HS] sobig et Kmail
Ultimateclem a écrit: [... snip, c'est un peu long. Contexte: filter les virus à l'envoi plutôt qu'à la réception] Je suis d'accord avec les dérapages... filtrer, c'est un peu comme une atteinte au droit d'expression. En même temps, quand un abonné d'un FAI utilise son compte pour spammer, personne ne voit d'inconvénient à ce qu'on le lui annule. Ce ne serait pas une si mauvais idée à mon avis de suspendre les comptes infectés par des virus (avec notification bien sûr, pas en douce) et de ne les réactiver que quand le problème est réglé. Au moins, les gens ne pourraient pas dire (à prononcer d'un air bovin:) « ah ben je savais pas... ». Parce qu'en attendant, ce sont les autres qui payent les pots cassés (occupation de la bande passante, saturation des boites aux lettres, utilisation inutile du CPU, etc.) Laura
Re: [HS] sobig et Kmail
Laurence Colombet wrote: Ultimateclem a écrit: [... snip, c'est un peu long. Contexte: filter les virus à l'envoi plutôt qu'à la réception] Je suis d'accord avec les dérapages... filtrer, c'est un peu comme une atteinte au droit d'expression. En même temps, quand un abonné d'un FAI utilise son compte pour spammer, personne ne voit d'inconvénient à ce qu'on le lui annule. Ce ne serait pas une si mauvais idée à mon avis de suspendre les comptes infectés par des virus (avec notification bien sûr, pas en douce) et de ne les réactiver que quand le problème est réglé. Au moins, les gens ne pourraient pas dire (à prononcer d'un air bovin:) « ah ben je savais pas... ». Parce qu'en attendant, ce sont les autres qui payent les pots cassés (occupation de la bande passante, saturation des boites aux lettres, utilisation inutile du CPU, etc.) Laura Oui mais... Ca peux etre une solution, le seul truc c'est que c'est difficile à gerer pour les FAI. En plus, il faut etre bien certain que la personne est infecté et pas que ce n'est pas quelqu'un qui se fait passer pour lui (comme beaucoup de vers/virus actuels). Pour cela, il faut se servir de l'IP et non de l'adresse email de source des messages.
Re: [HS] sobig et Kmail
Pascal Eisele a écrit : [...] Oui mais... Ca peux etre une solution, le seul truc c'est que c'est difficile à gerer pour les FAI. En plus, il faut etre bien certain que la personne est infecté et pas que ce n'est pas quelqu'un qui se fait passer pour lui (comme beaucoup de vers/virus actuels). Pour cela, il faut se servir de l'IP et non de l'adresse email de source des messages. Oui, l'idée est séduisante... Mais, comment être sûr que les champs sont authentiques ? Parce que l'IP aussi peut être forgée (cf. les spams dont c'est la grande spécialité). Or, perso, je ne connais aucun soft permettant de déterminer si un champ quelconque est légitime ou forgé :( De plus, la plupart du temps, les IP concernées sont des IP dynamiques : donc beaucoup plus de travail de la part le l'ISP pour déterminer leur provenance réelle (savoir qui est connecté, à quel moment et avec quelle IP = on en revient à la surveillance permanente et à une conservation des logs que pour ma part, je me refuse à considérer comme une bonne chose, que ce soit pour l'internaute - flicage - ou pour le FAI - gestion des logs = énormes capacités de traitement ie. espace disque et personnel). Là où il y aurait moyen d'agir, c'est au niveau des admins et de la config de certains firewalls/passerelles AV : quand je vois que depuis 3/4 jours je me prends 70 à 80 Sobig par jour, je râle un peu, mais, compte-tenu de ce que je dis ci-dessus, je n'y peux pas grand-chose. Par contre, quand je vois des mailer-daemon m 'aviser que je suis infecté, ou pire me demander de renvoyer le message zippé avec copie du virus en prime, là y'a quand même de quoi s'inquiéter sur la formation desdits admins et la configuration (probablement par défaut) de leurs AV :( Je précise que, j'en reçois 10 à 20 par jours aussi (donc qui viennent s'ajouter aux autres - puisque dans le tas, la plupart ont le virus en PJ)). Claude
Re: [HS] sobig et Kmail
Bonjour, On Wed, Sep 10, 2003 at 01:23:15PM +0200, claude wrote: Pascal Eisele a écrit : [...] Oui mais... Ca peux etre une solution, le seul truc c'est que c'est difficile à gerer pour les FAI. En plus, il faut etre bien certain que la personne est infecté et pas que ce n'est pas quelqu'un qui se fait passer pour lui (comme beaucoup de vers/virus actuels). Pour cela, il faut se servir de l'IP et non de l'adresse email de source des messages. Oui, l'idée est séduisante... Mais, comment être sûr que les champs sont authentiques ? Parce que l'IP aussi peut être forgée (cf. les spams dont c'est la grande spécialité). Or, perso, je ne connais aucun soft permettant de déterminer si un champ quelconque est légitime ou forgé :( La réponse est simple: les seuls champs auxquels on peut raisonnablement faire confiance sont ceux (et seulement ceux) qui ont été rajoutés par votre (ou vos) passerelle(s) de mail (si vous êtes dans un milieu plutôt entreprise, ou celle de votre FAI (si vous êtes plutôt dans une config de type particulier). On va donc considérer pour la suite que l'adresse IP contenue dans le champ Received:, rajouté par cette passerelle de confiance, est bien l'IP de la machine qui a émis le message. On pourrait objecter: oui, mais, comment être certain que c'est cette machine qui est infectée, et que le message n'est pas passé par 36000 relais différents, comme c'est le cas pour le spam ? Ben tout simplement, ce n'est pas l'intérêt d'un virus que de faire cela. Un virus cherche à se propager le plus vite et le plus efficacement possible. Avec ça à l'esprit, passer par de multiples relais de courrier est une aberration: on rallonge le trajet et donc le temps de délivrance du courrier vérolé, et on court le risque, à chaque passerelle traversée, d'être stoppé par un anti-virus à jour... :-) C'est d'ailleurs pour cela que beaucoup de virus ont désormais leur propre moteur SMTP. On peut donc raisonnablement penser que dans l'immense majorité des cas, à l'heure actuelle, l'IP citée est bien celle de la machine infectée... Les constatations faites par François (que je confirme totalement de mon côté) concernant le nombre de champs Received: dans ces messages, vont tout à fait dans ce sens. Reste ensuite à traiter ce message comme s'il s'agissait d'un spam: comme on ne peut connaître l'expéditeur directement, il faut avertir la personne qui lui fournit son accès réseau... Il y a des services comme SpamCop qui permettent d'automatiser les plaintes, mais ces services sont en ligne: il faut remplir une zone de texte avec les en-têtes du message, et SpamCop fait le reste. Ce qui serait sympa, c'est d'avoir ces scripts en local et pouvoir traiter directement (et automatiquement) les mails vérolés, au lieu de bêtement renvoyer un message à l'expéditeur apparent. Si quelqu'un connaît un jeu de scripts à même d'automatiser les étapes préconisées dans le document suivant, ce serait 'achement bien :-) : http://www.iana.org/faqs/abuse-faq.htm De plus, la plupart du temps, les IP concernées sont des IP dynamiques : donc beaucoup plus de travail de la part le l'ISP pour déterminer leur provenance réelle (savoir qui est connecté, à quel moment et avec quelle IP = on en revient à la surveillance permanente et à une conservation des logs que pour ma part, je me refuse à considérer comme une bonne chose, que ce soit pour l'internaute - flicage - ou pour le FAI - gestion des logs = énormes capacités de traitement ie. espace disque et personnel). Cette gestion est déjà faite pour la facturation (il y a encore beaucoup de gens en RTC avec un forfait x heures), donc je ne pense pas que le boulot soit si conséquent. Quant à savoir si c'est une bonne chose, je dirais que de 2 maux il faut choisir le moindre... A chacun de voir. :-) Cordialement, Bruno -- -- Service Hydrographique et Oceanographique de la Marine --- EPSHOM/CIS/MIC -- 13, rue du Chatellier --- BP 30316 --- 29603 Brest Cedex, FRANCE --Phone: +33 2 98 22 17 49 --- Email: [EMAIL PROTECTED]
Re: [HS] sobig et Kmail
Bonjour, On Wed, Sep 10, 2003 at 12:01:10AM +0200, Ultimateclem wrote: Ma remarque mettait plutôt en évidence le fait que le filtrage est plus efficace à l'émission qu'à la réception. Mais tu as raison, c'est à chacun de Là tu pars du principe que l'expéditeur envoie systématiquement ses mails à son FAI pour relayage. Ce n'est pas toujours le cas (notamment pas le mien à la maison). Et ce ne sera évidemment pas le cas non plus de quelqu'un qui veut envoyer des millions de mails de spam. :-) Un tel filtrage à la source n'a donc aucune utilité, sauf à forcer le relayage en bloquant les accès sortants sur le port SMTP, sauf pour la machine relais du FAI, ce qui serait parfaitement inacceptable AMHA... Cordialement, Bruno -- -- Service Hydrographique et Oceanographique de la Marine --- EPSHOM/CIS/MIC -- 13, rue du Chatellier --- BP 30316 --- 29603 Brest Cedex, FRANCE --Phone: +33 2 98 22 17 49 --- Email: [EMAIL PROTECTED]
Re: [HS] sobig et Kmail
On Wed, 10 Sep 2003 12:06:11 +0200 Laurence Colombet [EMAIL PROTECTED] wrote: Ultimateclem a écrit: [... snip, c'est un peu long. Contexte: filter les virus à l'envoi plutôt qu'à la réception] Je suis d'accord avec les dérapages... filtrer, c'est un peu comme une atteinte au droit d'expression. En même temps, quand un abonné d'un FAI utilise son compte pour spammer, personne ne voit d'inconvénient à ce qu'on le lui annule. Ce ne serait pas une si mauvais idée à mon avis de suspendre les comptes infectés par des virus (avec notification bien sûr, pas en douce) et de ne les réactiver que quand le problème est réglé. Au moins, les gens ne pourraient pas dire(à prononcer d'un air bovin:) « ah ben je savais pas... ». Parce qu'en attendant, ce sont les autres qui payent les pots cassés (occupation de la bande passante, saturation des boites aux lettres, utilisation inutile du CPU, etc.) La liaison ADSL du lycée est partagée sur une cinquantaine de postes au moins, j'ai mis un antivirus et un antispam mais en ce qui concerne Sobig par exemple, au moins un message est passé (sans conséquence) avant que clamav ne soit au courant de Sobig (rafraichissement de la base de signatures tous les jours). Les messages sont également filtrés en sortie mais rien n'empêche une personne d'utiliser directement le SMTP de Wanadoo (non filtré) plutôt que le mien. En bref, j'ai pris toutes les précautions possibles sans être pour autant dictatorial, malgré tout il arrive 2 à 3 fois par an que des machines soient infectées (je n'ai pas parlé des crétins préférant utiliser des Webmails par peur qu'on espionne leur courrier!, les infections viennent toujours de là). Si dans un tel cas, la connexion est coupée, même avec notification, les conséquences seraient loin d'être négligeables et les dommages bcp plus importants que ceux d'un virus. En clair, c'est une très mauvaise idée à mon avis. François Boisson Laura -- Pensez à lire la FAQ de la liste avant de poser une question : http://savannah.nongnu.org/download/debfr-faq/html/ To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] sobig et Kmail
Hello. sur nos systèmes. Il se trouve que j'ai reçu des messages de refus (pour cause d'infection) de la part de services auxquels je n'ai manifestement jamais écrit. Je suppose qu'il s'agit là d'un mécanisme d'usurpation d'adresses sur des machines windows mais tout de même j'aimerais bien en avoir le coeur net et en être tout à fait certain. Qu'en pensez vous ? Il se trouve que les adresses du genre [EMAIL PROTECTED] et [EMAIL PROTECTED] sont systèmatiquement utilisées par des personnes indélicates pour spammer ou envoyer des virus. Je reçois tous les jours des mails automatisés m'informant que j'ai envoyé des messages infectés. En réalité, je n'ai jamais écrit à ces personnes, et mes stations (et serveurs) sont protégés contre les virus incrimés... Pour être encore plus serein, faite un tour sur: http://securityresponse.symantec.com/ et cliquez sur le nom de chacun des derniers virus vous verrez que linux n'est pas trop concerné!!! En revanche, notre distribution préferée n'est pas exempte d'alerte de sécurité: http://securityresponse.symantec.com/avcenter/security/Content/8491.html Moralité; soyez vigilant, mais laissez donc faire et dormez tranquille... -- Loick
Re: [HS] sobig et Kmail
On Tue, Sep 09, 2003 at 07:19:14AM +0200, Loic.B (FDUL) wrote: Hello. sur nos systèmes. Il se trouve que j'ai reçu des messages de refus (pour cause d'infection) de la part de services auxquels je n'ai manifestement jamais écrit. Je suppose qu'il s'agit là d'un mécanisme d'usurpation d'adresses sur des machines windows mais tout de même j'aimerais bien en avoir le coeur net et en être tout à fait certain. Qu'en pensez vous ? Il se trouve que les adresses du genre [EMAIL PROTECTED] et [EMAIL PROTECTED] sont systèmatiquement utilisées par des personnes indélicates pour spammer ou envoyer des virus. Bonjour, Plus exactement, dans le cas de Sobig.F, il prend les adresses au hasard dans le carnet d'adresses de l'utilisateur de l'ordi infecté, met l'une de ces adresses en tant qu'expéditeur, et quelques autres en tant que destinataires... Il utilise ensuite son propre moteur SMTP pour s'envoyer à ces destinataires... Je reçois tous les jours des mails automatisés m'informant que j'ai envoyé des messages infectés. En réalité, je n'ai jamais écrit à ces personnes, et mes stations (et serveurs) sont protégés contre les virus incrimés... Ce phénomène est dû aux passerelles anti-virales mal configurées (à mon avis), qui ne cherchent pas à savoir si elles ont affaire à un virus qui falsifie l'adresse de l'émetteur (99% des cas actuellement), ce qui rend _totalement_ inutile, voire néfaste, l'envoi automatique d'une alerte, ou à un virus plus ancien, pour lequel ça vaut peut-être encore le coup de le faire... Le problème principal est que beaucoup certains ISPs ont des contrats avec leurs clients, dans lesquels ils s'engagent à avertir l'émetteur d'un virus... Idem pour certaines sociétés ou universités, auxquelles les services juridiques imposent cette démarche (il y a eu une discussion à ce propos sur la liste [EMAIL PROTECTED] la semaine dernière). Reste maintenant à savoir ce qu'on appelle émetteur... Actuellement, tout le monde ou à peu près fait l'autruche à ce niveau, et se contente d'un boulot salopé: on prend le 1er émetteur qui vient, celui qui est dans la ligne From: par exemple, et hop, on balance l'alerte, même si on sait très bien que dans 99% des cas ce n'est pas le bon. Résultat, ça emmerde tout le monde, mais les techniciens ont la conscience tranquille (ou tout au moins feignent de l'avoir) vis à vis des juristes qui leur ont imposé ça. :-( Bruno -- -- Service Hydrographique et Oceanographique de la Marine --- EPSHOM/CIS/MIC -- 13, rue du Chatellier --- BP 30316 --- 29603 Brest Cedex, FRANCE --Phone: +33 2 98 22 17 49 --- Email: [EMAIL PROTECTED]
Re: [HS] sobig et Kmail
Le Mardi 09 Septembre 2003 14:34, Bruno Treguier a écrit : On Tue, Sep 09, 2003 at 07:19:14AM +0200, Loic.B (FDUL) wrote: Bonjour, bonjour, Plus exactement, dans le cas de Sobig.F, il prend les adresses au hasard dans le carnet d'adresses de l'utilisateur de l'ordi infecté, met l'une de ces adresses en tant qu'expéditeur, et quelques autres en tant que destinataires... Il utilise ensuite son propre moteur SMTP pour s'envoyer à ces destinataires... Il modifie également l'adresse Reply-To: Actuellement, tout le monde ou à peu près fait l'autruche à ce niveau, et se contente d'un boulot salopé: on prend le 1er émetteur qui vient, celui qui est dans la ligne From: par exemple, et hop, on balance l'alerte, même si on sait très bien que dans 99% des cas ce n'est pas le bon. Résultat, ça emmerde tout le monde, mais les techniciens ont la conscience tranquille (ou tout au moins feignent de l'avoir) vis à vis des juristes qui leur ont imposé ça. :-( Il prennent en général l'adresse Reply-To: qui est encore plus facile à falsifier que l'adresse From:, car, en fait, n'importe qui peut le faire en paramétrant son mailer. C'est vrai que ça fait plus de mal que de bien ces réponses automatiques, les alertes devraient quand-même vérifier la validité de l'envoyeur (et non pas le Reply-To) avant d'envoyer le message, en faisant une correspondance d'IP par exemple ; bien qu'à mon avis, ça ne donnerait rien de probant. Les ISP devraient plutôt faire gaffe aux messages qu'il reçoivent de la part de leur clients, en filtrant les messages au début de la chaine SMTP quand on envoie le message, plutôt qu'à la distribution dans les boites aux lettres POP3 ! Enfin, c'est mon avis... Bruno -- ultimateclem Debian user
Re: [HS] sobig et Kmail
Ultimateclem a écrit : [...] Les ISP devraient plutôt faire gaffe aux messages qu'il reçoivent de la part de leur clients, en filtrant les messages au début de la chaine SMTP quand on envoie le message, plutôt qu'à la distribution dans les boites aux lettres POP3 ! Enfin, c'est mon avis... NON !!! Ce n'est pas le rôle d'un FAI : il est là pour fournir une connectivité, point-barre ! pas pour contrôler ce que tu envoies (ce que fait déjà AOL, entre autres) ni ce que tu reçois. Après, c'est aux utilisateurs d'user de bon sens, de faire les MAJ dispos pour leur OS celle pour Sobig existe que ce soit au niveau MS ou au niveau des AV)... Enfin, c'est mon avis, et je le partage :-) Claude
Re: [HS] sobig et Kmail
Il prennent en général l'adresse Reply-To: qui est encore plus facile
à falsifier que l'adresse From:, car, en fait, n'importe qui peut le
faire en paramétrant son mailer.
C'est vrai que ça fait plus de mal que de bien ces réponses
automatiques, les alertes devraient quand-même vérifier la validité de
l'envoyeur (et non pas le Reply-To) avant d'envoyer le message, en
faisant une correspondance d'IP par exemple ; bien qu'à mon avis, ça ne
donnerait rien de probant. Les ISP devraient plutôt faire gaffe aux
messages qu'il reçoivent de la part de leur clients, en filtrant les
messages au début de la chaine SMTP quand on envoie le message, plutôt
qu'à la distribution dans les boites aux lettres POP3 ! Enfin, c'est mon
avis...
Je ne pense pas que ça soit une bonne idée (dérapage possible et douteux
sur le principe). Bruno soulevait un point important dans la gestion des
notifications (qui m'a d'ailleurs ammené à reconfigurer l'exiscan installé
au lycée). Par ailleurs, l'idée de trifouiller un peu le message pour
envoyer une notification à un responsable du réseau contenant
effectivement la machine source est correcte: Comme je lui ai dit en
privé, j'ai vérifié sur pas mal de messages avec virus, il y a rarement
plus d'un champ Received: from Dans exiscan, les lignes à modifier
seraient...
# grab the header-from
if ($_ =~ /From\: /i) {
my $tmp = $_; chop($tmp);
($dummy,$headerfrom) = split /From\: /i, $tmp, 2;
};
...
(il faut cependant conserver le test du bouclage fondé sur le champ from).
Ca n'a pas l'air démoniaque comme travail, si j'ai qques heures...
F.B
Re: [HS] sobig et Kmail
Le Lundi 8 Septembre 2003 19:43, Ultimateclem a écrit : Le Lundi 08 Septembre 2003 18:48, Webmaster MPS a écrit : De toute évidence, usurpation. Si tu regardes les entêtes des mails que tu es sensé avoir envoyés (renvoyé par le server qui t'a refusé l'email), tu devrais voir apparaître quelque chose comme : X-Mailer: Microsoft Outlook Express 6.00.2600. Ce qui veut dire que tu es sensé avoir écrit ce mail virusé avec Microsoft Outlook sous un système d'exploitation de type linux. As-tu installé Outlook sur ta debian ? :-) Exact. Je retrouve bien la trace d'Outlook Express dans les entêtes ce qui lève toute ambiguïté quand à la provenance... Merci beaucoup à tous pour vos réponses .
Re: [HS] sobig et Kmail
Le Mardi 09 Septembre 2003 20:49, claude a écrit : Ultimateclem a écrit : [...] Les ISP devraient plutôt faire gaffe aux messages qu'il reçoivent de la part de leur clients, en filtrant les messages au début de la chaine SMTP quand on envoie le message, plutôt qu'à la distribution dans les boites aux lettres POP3 ! Enfin, c'est mon avis... NON !!! Ce n'est pas le rôle d'un FAI : il est là pour fournir une connectivité, point-barre ! pas pour contrôler ce que tu envoies (ce que fait déjà AOL, entre autres) ni ce que tu reçois. Après, c'est aux utilisateurs d'user de bon sens, de faire les MAJ dispos pour leur OS celle pour Sobig existe que ce soit au niveau MS ou au niveau des AV)... Enfin, c'est mon avis, et je le partage :-) Claude Je suis d'accord avec les dérapages... filtrer, c'est un peu comme une atteinte au droit d'expression. Ma remarque mettait plutôt en évidence le fait que le filtrage est plus efficace à l'émission qu'à la réception. Mais tu as raison, c'est à chacun de prendre ses responsabilités et de se protéger contre les virus et autres attaques. Après tout, si mon FAI se mettait à filtrer les données, je ne saurais pas ce qu'il fait et je ne lui ferai certainement pas confiance (j'espère qu'il ne filtre pas déjà). Voilà, c'est encore mon avis, et je veux bien le partager aussi... ;-) euh... et bonne nuit aussi. -- ultimateclem Debian user
Re: [HS] sobig et Kmail
Le 12304ième jour après Epoch, Webmaster MPS écrivait: Le Lundi 8 Septembre 2003 19:43, Ultimateclem a écrit : Le Lundi 08 Septembre 2003 18:48, Webmaster MPS a écrit : De toute évidence, usurpation. Si tu regardes les entêtes des mails que tu es sensé avoir envoyés (renvoyé par le server qui t'a refusé l'email), tu devrais voir apparaître quelque chose comme : X-Mailer: Microsoft Outlook Express 6.00.2600. Ce qui veut dire que tu es sensé avoir écrit ce mail virusé avec Microsoft Outlook sous un système d'exploitation de type linux. As-tu installé Outlook sur ta debian ? :-) Exact. Je retrouve bien la trace d'Outlook Express dans les entêtes ce qui lève toute ambiguïté quand à la provenance... Merci beaucoup à tous pour vos réponses . Euh... Je voudrais pas avoir envie de pourrir l'ambiance, mais qu'est-ce qui va empêcher un gentil virus de mettre à peu près ce qu'il veut dans les entêtes des mails? Hein? Surtout si c'est lui qui envoie directement les mails, sans passer par des MUA ou MTA installés sur la machine ? Le fait d'avoir Outlook dans les entêtes signifie: Le virus a mis ça dans les entêtes, et rien de plus. D'ailleurs, ce message contient un entête que ni exim ni Gnus n'ont mis... c'est moi avec mes petites mains qui l'ai rajouté... A vous de le trouver :) Mais bon, pour sobig, pas de crainte sous Linux... Pour le moment :))) -- It is exactly because a man cannot do a thing that he is a proper judge of it. -- Oscar Wilde
[HS] sobig et Kmail
Bonjour à tous, Pardon pour ce hors sujet. Ma messagerie est sur une woody (Kmail) et je dormais sur mes deux oreilles, certain de l'innocuité des virus de messagerie sur nos systèmes. Il se trouve que j'ai reçu des messages de refus (pour cause d'infection) de la part de services auxquels je n'ai manifestement jamais écrit. Je suppose qu'il s'agit là d'un mécanisme d'usurpation d'adresses sur des machines windows mais tout de même j'aimerais bien en avoir le coeur net et en être tout à fait certain. Qu'en pensez vous ? Merci à tous. Cordialement Serge Pfeifer
Re: [HS] sobig et Kmail
Le 12303ième jour après Epoch, Webmaster MPS écrivait: Bonjour à tous, Pardon pour ce hors sujet. Ma messagerie est sur une woody (Kmail) et je dormais sur mes deux oreilles, certain de l'innocuité des virus de messagerie sur nos systèmes. Il se trouve que j'ai reçu des messages de refus (pour cause d'infection) de la part de services auxquels je n'ai manifestement jamais écrit. Je suppose qu'il s'agit là d'un mécanisme d'usurpation d'adresses sur des machines windows mais tout de même j'aimerais bien en avoir le coeur net et en être tout à fait certain. Qu'en pensez vous ? http://securityresponse.symantec.com/avcenter/venc/data/[EMAIL PROTECTED] Où ils expliquent que le nom de l'expéditeur est forgé...: * [EMAIL PROTECTED] uses a technique known as email spoofing, by which the worm randomly selects an address it finds on an infected computer. For more information on email spoofing, see the Technical Details section below. Sinon, google est ton ami. -- The difference between dogs and cats is that dogs come when they're called. Cats take a message and get back to you.
Re: [HS] sobig et Kmail
Le Lundi 08 Septembre 2003 18:48, Webmaster MPS a écrit : Bonjour à tous, Pardon pour ce hors sujet. Ma messagerie est sur une woody (Kmail) et je dormais sur mes deux oreilles, certain de l'innocuité des virus de messagerie sur nos systèmes. Il se trouve que j'ai reçu des messages de refus (pour cause d'infection) de la part de services auxquels je n'ai manifestement jamais écrit. Je suppose qu'il s'agit là d'un mécanisme d'usurpation d'adresses sur des machines windows mais tout de même j'aimerais bien en avoir le coeur net et en être tout à fait certain. Qu'en pensez vous ? Merci à tous. Cordialement Serge Pfeifer De toute évidence, usurpation. Si tu regardes les entêtes des mails que tu es sensé avoir envoyés (renvoyé par le server qui t'a refusé l'email), tu devrais voir apparaître quelque chose comme : X-Mailer: Microsoft Outlook Express 6.00.2600. Ce qui veut dire que tu es sensé avoir écrit ce mail virusé avec Microsoft Outlook sous un système d'exploitation de type linux. As-tu installé Outlook sur ta debian ? :-) -- ultimateclem Debian user
