Re: Swen, Amavis-ng, Clamav et compagnie
Le 12416ième jour après Epoch, Debian User Rene écrivait: François TOURDE wrote: Salut, Comme j'en avais marre de recevoir sans arrêt ces virus, j'ai hacké un peu Amavis pour qu'il puisse prévenir l'ISP de l'émetteur. Bonjour François, Je viens juste de prendre connaissance de ton message, et suis trés inquiet. En effet je ne savais pas qu'en m'abonnant à cette liste j'allais recevoir sans arrêt des virus :( Eh oui, ça fait toujours une surprise hein? En fait, ce n'est pas en s'abonnant mais en postant qu'on reçoit des virus. Rajoute spam dans les champs From: et Reply-To: de tes messages. Je suis sous Woody et n'ai pas d'antivirus. Pourrais-tu préciser si tu parles bien de virus ou de spam ? Les deux. Mais plus de virus car ils sont en général plus virulents que les spams. -- Most seminars have a happy ending. Everyone's glad when they're over.
Re: Swen, Amavis-ng, Clamav et compagnie
François TOURDE wrote: Rajoute spam dans les champs From: et Reply-To: de tes messages. euh... et quand on utilise un simple Sylpheed, un Thunderbird, etc ? le serveur SMTP de mon FAI me jette si je ne mets pas ma veritable adresse (ce qui parait normal remarque...). Une suggestion ? (autre qu'installer sendmail/procmail/mutt/postfix/...) PS: j'utilise depuis peu Mozilla-Thunderbird 0.4: l'apprentissage et la detection/élimination du SPAM est monstrueusement efficace, et surtout des plus simples, vraiment un régal. Une solution en amont serait préférable, mais en attendant, ca a réglé le pb chez moi. h-9... Bonne fin d'année :) -- Fabien JabberID: [EMAIL PROTECTED]
Re: Swen, Amavis-ng, Clamav et compagnie
On Wed, 31 Dec 2003 14:55:42 +0100 Fabien FREJAVILLE [EMAIL PROTECTED] wrote: François TOURDE wrote: Rajoute spam dans les champs From: et Reply-To: de tes messages. euh... et quand on utilise un simple Sylpheed, un Thunderbird, etc ? le serveur SMTP de mon FAI me jette si je ne mets pas ma veritable adresse (ce qui parait normal remarque...). Une suggestion ? (autre qu'installer sendmail/procmail/mutt/postfix/...) J'utilise Sylpheed, par ailleurs, je suis sûr que ton FAI ne controle pas ton adresse d'envoi mais ton IP. Le plus simple sous Sylpheed est de créer un nouveau compte avec l'adresse email que tu veux. Par contre en nom de login, met ton login usuel, comme SMTP (surtout) le SMTP de nerim. François Boisson
Re: Swen, Amavis-ng, Clamav et compagnie
François TOURDE a écrit : Le 12416ième jour après Epoch, Debian User Rene écrivait: François TOURDE wrote: Salut, Comme j'en avais marre de recevoir sans arrêt ces virus, j'ai hacké un peu Amavis pour qu'il puisse prévenir l'ISP de l'émetteur. Bonjour François, Je viens juste de prendre connaissance de ton message, et suis trés inquiet. En effet je ne savais pas qu'en m'abonnant à cette liste j'allais recevoir sans arrêt des virus :( Oui mais des virus tournant que sous win32 (enfin je l'espère) Eh oui, ça fait toujours une surprise hein? En fait, ce n'est pas en s'abonnant mais en postant qu'on reçoit des virus. Rajoute spam dans les champs From: et Reply-To: de tes messages. Je suis sous Woody et n'ai pas d'antivirus. Pourrais-tu préciser si tu parles bien de virus ou de spam ? Les deux. Mais plus de virus car ils sont en général plus virulents que les spams. Bonne fête à tous Oli
Re: Swen, Amavis-ng, Clamav et compagnie
François Boisson wrote: J'utilise Sylpheed, par ailleurs, je suis sûr que ton FAI ne controle pas ton adresse d'envoi mais ton IP. Le plus simple sous Sylpheed est de créer un nouveau compte avec l'adresse email que tu veux. Par contre en nom de login, met ton login usuel, comme SMTP (surtout) le SMTP de nerim. Bon, je viens de trouver le problème. Tout marche très bien avec Sylpheed comme avec Thunderbird: je me faisais jeter parce que je mettais des nospam à droite du @ et ça ça ne passe pas (domaine non reconnu etc.) A gauche du @ on peut mettre ce que l'on veut, c'est parfait. Merci ! -- Fabien JabberID: [EMAIL PROTECTED]
Re: Swen, Amavis-ng, Clamav et compagnie
François TOURDE wrote: Le 12416ième jour après Epoch, Debian User Rene écrivait: François TOURDE wrote: coupé Eh oui, ça fait toujours une surprise hein? En fait, ce n'est pas en s'abonnant mais en postant qu'on reçoit des virus. Rajoute spam dans les champs From: et Reply-To: de tes messages. merci Fabien, François, Olivier (excuses si j'en oublie :) pour vos reponses. J'utilise mozilla 1.6a et j'ai effectivement un gestionnaire de junks, un pis aller je sais, mais je suis rassurer si les virus s'adressent plus aux Windo$iens qu'à nous ; pour le moment ? Je vais regarder cette affaire de from et reply to Cordialement Bonnes fêtes à tous :) Rene coupé Les deux. Mais plus de virus car ils sont en général plus virulents que les spams.
Re: Swen, Amavis-ng, Clamav et compagnie
François TOURDE wrote: Salut, Comme j'en avais marre de recevoir sans arrêt ces virus, j'ai hacké un peu Amavis pour qu'il puisse prévenir l'ISP de l'émetteur. Bonjour François, Je viens juste de prendre connaissance de ton message, et suis trés inquiet. En effet je ne savais pas qu'en m'abonnant à cette liste j'allais recevoir sans arrêt des virus :( Je suis sous Woody et n'ai pas d'antivirus. Pourrais-tu préciser si tu parles bien de virus ou de spam ? Cordialement René J'avais remarqué que Amavis/Exim savaient bien récupérer le domaine qui coupe à mon goût.
Re: [Swen] Re: plein de virus sur cette mailing-list...
Ainsi parla georges mariano le 322ème jour de l'an 2003: Sinon, tu peux déclarer une *vraie* adresse contenant le mot spam, et ça va résoudre ton problème. Celle que j'ai avec 'no-spam' dedans est valide, et je n'y ai jamais reçu de spam. Minute, minute... je m'étais jamais vraiment penché sur la question mais comme j'utilise actuellement un serveur de news pour accéder à duf, j'en ai profité pour me remettre à consulter d'autres listes Debian ... Or, pour ce que j'en vois, l'utilisation de l'astuce -spam/delete n'est pas générale ... cela me semble contradictoire avec la remarque indiquant que les liste Debian étaient touchées ... ou alors les autres ont trouvé une autre solution ? désolé de relancer cette histoire mais y'a un truc qui colle pas ... et j'en déduis qu'il y a quelque chose spécifique à d-u-f (ou éventuellement partagé par quelques autres listes mais visiblement pas toutes), mais quoi ? Je me demande si devel-french n'est pas atteinte aussi. J'ai posté quelques fois en oubliant mon -antispam, et PAF, 150 swen/jour :( Par contre, comme tous les abonnés de devel-french sont probablement aussi sur DUF, le problème est peut-être passé inaperçu ... -- .,p***=b_ Nicolas Rueff ?P .__ `*b Montbéliard - France |P .d?'`, 9| http://rueff.tuxfamily.org M: |} |- H' [EMAIL PROTECTED] | `#?_._oH' +33 6 77 64 44 80 `H. ``' GPG 0xDD44DAB4 `#?. ICQ 97700474 `^~. We are Penguin. Resistance is futile. You will be assimilated. pgp1jnrxJqUOk.pgp Description: PGP signature
Re: [Swen] Re: plein de virus sur cette mailing-list...
On Wed, Nov 19, 2003 at 12:53:38AM +0100, Nicolas Rueff wrote: Je me demande si devel-french n'est pas atteinte aussi. J'ai posté quelques fois en oubliant mon -antispam, et PAF, 150 swen/jour :( Par contre, comme tous les abonnés de devel-french sont probablement aussi sur DUF, le problème est peut-être passé inaperçu ... Les gents ont surtout des problèmes sur les listes debian-user-*, car ils n'ont pas autant de filtres que la plupart des gents sur les listes de developeurs. Il y a aussi une vingtaine de listes ou le bot de news n'est plus inscrit. Pasc
[Swen] Re: plein de virus sur cette mailing-list...
Sinon, tu peux déclarer une *vraie* adresse contenant le mot spam, et ça va résoudre ton problème. Celle que j'ai avec 'no-spam' dedans est valide, et je n'y ai jamais reçu de spam. Minute, minute... je m'étais jamais vraiment penché sur la question mais comme j'utilise actuellement un serveur de news pour accéder à duf, j'en ai profité pour me remettre à consulter d'autres listes Debian ... Or, pour ce que j'en vois, l'utilisation de l'astuce -spam/delete n'est pas générale ... cela me semble contradictoire avec la remarque indiquant que les liste Debian étaient touchées ... ou alors les autres ont trouvé une autre solution ? désolé de relancer cette histoire mais y'a un truc qui colle pas ... et j'en déduis qu'il y a quelque chose spécifique à d-u-f (ou éventuellement partagé par quelques autres listes mais visiblement pas toutes), mais quoi ? ... le débit ? A+ -- mailto:[EMAIL PROTECTED] debfr-faq : http://savannah.nongnu.org/download/debfr-faq/html/
Re: [Swen] Re: plein de virus sur cette mailing-list...
Le 12374ième jour après Epoch, georges mariano écrivait: Sinon, tu peux déclarer une *vraie* adresse contenant le mot spam, et ça va résoudre ton problème. Celle que j'ai avec 'no-spam' dedans est valide, et je n'y ai jamais reçu de spam. Minute, minute... je m'étais jamais vraiment penché sur la question mais comme j'utilise actuellement un serveur de news pour accéder à duf, j'en ai profité pour me remettre à consulter d'autres listes Debian ... Or, pour ce que j'en vois, l'utilisation de l'astuce -spam/delete n'est pas générale ... cela me semble contradictoire avec la remarque indiquant que les liste Debian étaient touchées ... Ben pourquoi tu me quotes pour dire ça? J'ai rien dit de tel, je te jure monsieur. Il semble qu'en effet d-u-f soit touchée, alors que d'autres (Debian-laptop, Debian-devel-announce, Debian-security, etc.) ne le soient pas. ou alors les autres ont trouvé une autre solution ? désolé de relancer cette histoire mais y'a un truc qui colle pas ... et j'en déduis qu'il y a quelque chose spécifique à d-u-f (ou éventuellement partagé par quelques autres listes mais visiblement pas toutes), mais quoi ? ... le débit ? Bonne idée, mais si on part du postulat que Swen lit les archives dans les news, je vois pas trop comment le débit peut jouer. Par contre, si on regarde la liste des serveur sur lesquels Swen va se servir, on peut essayer de comprendre. Mais je sais pas faire, et ça me gave, alors je laisse ça aux autres ;) -- Ginger snap.
Re: Swen
On Sun, 16 Nov 2003 18:13:19 +0100, Stéphane RATELET [EMAIL PROTECTED] wrote: Je recois des mails avec des virus tout les jours, environ 50 par jour, Mozilla les met en Junk, mais c'est super désagréable quand j'utilise mon interface WEB pour les regarder de l'exterieur. Je n'incriminais pas la mailling liste avant, mais j'ai créé un nouveau compte sur mon serveur pour ne pas noyer mes messages persos avec ceux de la mailing, et la aussi, spam à fond, alors que personne connais l'adresse (à part l'inscription à la mailing). Avec un peu d'imagination, j'imagine bien un petit malin qui à inscrit son adresse sur la mailing, et qui enregistre toutes nouvelles adresses qu'il recoit de celle ci. C'est méga chiant, des fois c'est des trucs en relation avec crosoft, des fois des virus, des fois des undelivred postmaster. C'est vraiment dommage, car pour mon cas, mon adresse perso que j'avais avant est complétement pourri, c'est horrible. Si quelqu'un a une solution pour s'en retourner? je suis client chez www.fastmail.fm depuis quatre mois. ils ont plusieurs types de compte. J'ai celui à 20$ par an. pour cela, tu as accès IMAP ou POP, virus checking sur le serveur, et également spam checking, tu peux également checker plusieurs autres POP, avec spam/virus check. je suis ravi. je ne connais pas d'autres Mail Providers qui filtrent les virus à la source. Désolé si le ton est trop publicitaire pour la liste, mais la question était assez ciblée, et je ne crois pas qu'il existe de solution technique simple pour cela, pour se débarrasser des virus dans le webmail. Stan. @+ Stephanfo Jean-Michel OLTRA a écrit : bonjour, J'ai reçu un petit cadeau avec le nom de qqun de la liste qui, je pense, n'est pas en cause. Un autre nom apparaît dans le cadeau mais je n'ai pas réussi à retrouver l'origine du mail. Ce qui est un peu génant c'est que ma véritable adresse y apparaît également, sans l'anti-spam. Je crains le pire C'est arrivé chez d'autres aussi ? -- Stan Pinte tel: +32 499 25 94 24
FAQ ou how-to sur Swen
bonjour à tous, Ce sujet ayant été amplement débattu (le nombre de messages à ce sujet durant ces deux derniers mois est suffisant), ne pourrait on pas faire une FAQ ou un how-to temporairement sur un site à ce sujet afin de renvoyer à ce lien aux questionneurs sur les swen? en attendant que les listmaster définissent le meilleur moyen de gérer ce probléme, bien qu'il y ait déjà des solutions qui ait étés émises... est ce possible de le mettre temporairement sur la FAQ debian (savannah) dans un coin en attendant une solution plus adéquat? il y avait déjà des réponses de faites sur la liste Debian et j'ai simplement recopié et adapté : ### ## quel est l'origine du spam/virus ## 1) la liste est archivée (comme la plupart des listes publiques) sur des serveurs de news et certains robots parcourent ces serveurs pour prendre les adresses . l'origine n'est pas lié à une volonté des listes Debian, elles sont équipées de divers filtres, antivirus, etc.. 2) Swen est un virus intelligent qui d'une machine windows infectée (par l'intermediaire de leurs mailers...) parcoure le cache de cette machine, etc mais aussi lorsque cette machine est connectée à Internet va chercher des adresses sur les serveurs de news. Swen récupére donc plein d'adresses pour s'autoenvoyer et envoyer aux adresses récupérées dans le cache de la machine infectée ou sur les serveurs de news. ## y a t il des solutions? ## 1) Désabonner l'adresse actuelle (une dizaine de jours suffisent pour ne plus recevoir de ce virus/spam aprés le dernier post avec cette adresse sur la liste) et se reinscrire avec une adresse valide contenant spam ou delete (car swen n'envoit pas son programme à des adresses contenant ces deux mots). 2) S'assurer que ceux qui sont sous windows (sig) et sur la liste Debian ait un antivirus à jour. 3) Utiliser les filtres des mailers vers un dossier (e.g)spam pour les detruire ensuite, ne pas faire un filtre de renvoi à l'expediteur (ça ne ferait que propager le virus, dont c'est le but) 4) les listmaster debian cherchent une solution serveur ou indiqueront un message, lors de l'inscription, prévenant de l'infection exterieure (volontaire?) qui touchent les listes debian et informeront des solutions définies au dessus... ### voilà, c'est une proposition, il y a peut etre des erreurs ou des ajouts à faire... bonne journée, -- patrice -- Tout le monde savait que c'était impossible. Est arrivé un qui ne le savait pas et qui l'a fait! Marcel Pagnol
Re: FAQ ou how-to sur Swen
## y a t il des solutions? ## 1) Désabonner l'adresse actuelle (une dizaine de jours suffisent pour ne plus recevoir de ce virus/spam aprés le dernier post avec cette adresse sur la liste) et se reinscrire avec une adresse valide contenant spam ou delete (car swen n'envoit pas son programme à des adresses contenant ces deux mots). Se désabonner est inutile, il suffit d'écrire sur la liste avec une adresse contenant spam. 2) S'assurer que ceux qui sont sous windows (sig) et sur la liste Debian ait un antivirus à jour. La majorité ne viennent pas là et surtout pas de ceux sous linux?? 3) Utiliser les filtres des mailers vers un dossier (e.g)spam pour les detruire ensuite, ne pas faire un filtre de renvoi à l'expediteur (ça ne ferait que propager le virus, dont c'est le but) oui 4) les listmaster debian cherchent une solution serveur ou indiqueront un message, lors de l'inscription, prévenant de l'infection exterieure (volontaire?) qui touchent les listes debian et informeront des solutions définies au dessus... à suivre F.B
Swen
bonjour, J'ai reçu un petit cadeau avec le nom de qqun de la liste qui, je pense, n'est pas en cause. Un autre nom apparaît dans le cadeau mais je n'ai pas réussi à retrouver l'origine du mail. Ce qui est un peu génant c'est que ma véritable adresse y apparaît également, sans l'anti-spam. Je crains le pire C'est arrivé chez d'autres aussi ? -- jean-michel
Re: Swen
Bonjour, Jean-Michel OLTRA a écrit: bonjour, J'ai reçu un petit cadeau avec le nom de qqun de la liste qui, je pense, n'est pas en cause. J'ai reçu aussi un mail parlant de paintball, avec un fichier en attachement. un file rapide dessus m'a appris que c'était une exécutable msdos... :-( Un autre nom apparaît dans le cadeau mais je n'ai pas réussi à retrouver l'origine du mail. J'ai tout éffacé avant. D'ailleurs, ce mail est allé se charger directement dans la corbeille de mon Mozilla. Ce qui est un peu génant c'est que ma véritable adresse y apparaît également, sans l'anti-spam. Je crains le pire Je n'ai pas regardé jusque-là, mais je crois me souvenir que ce mail était destiné à undiscloser recipients ou un truc comme ça. (j'avoue ne pas savoir ce que cela veut dire). C'est arrivé chez d'autres aussi ? Oui, j'en ai bien peur. Cordialement. -- NON AUX BREVETS SUR LES LOGICIELS. Voir http://swpat.ffii.org/ eric b
Re: Swen
Un beau jour, [EMAIL PROTECTED] [EMAIL PROTECTED] nous a dit: C'est arrivé chez d'autres aussi ? Oui, j'en ai bien peur. Idem, je l'ai eu ici aussi, mais je l'ai viré de suite celui là, j'aurais du attendre. -- Lucas
Re: Swen
J'ai reçu un petit cadeau avec le nom de qqun de la liste qui, je pense, n'est pas en cause. Un autre nom apparaît dans le cadeau mais je n'ai pas réussi à retrouver l'origine du mail. Ce qui est un peu génant c'est que ma véritable adresse y apparaît également, sans l'anti-spam. Je crains le pire C'est arrivé chez d'autres aussi ? -- Oui, une réponse en privé suivie de quelques messages et enfin un en Cc sur la liste, mon adresse est dedans, j'ai renoué du coup avec la trentaine de Swens journaliers... François Boisson
Re: Swen
On Sun, Nov 16, 2003 at 12:24:35PM +, François Boisson wrote: Oui, une réponse en privé suivie de quelques messages et enfin un en Cc sur la liste, mon adresse est dedans, j'ai renoué du coup avec la trentaine de Swens journaliers... J'ai ça aussi, suite à un post accidentel sans -nospam... Mais ce dont Jean-Michel parle est différent, après avoir regardé dans mon .junk: C'est un mail d'un correspondant régulier de duf, mais l'adresse est fausse (@sendmoreinfo.com), et ça vient avec un attachement en linux.zip.scr... /Y
Re: Swen
François Boisson a écrit : Oui, une réponse en privé suivie de quelques messages et enfin un en Cc sur la liste, mon adresse est dedans, j'ai renoué du coup avec la trentaine de Swens journaliers... Idem pour moi : je me suis trouvé malencontreusement désabonné des listes debian à cause d'un pb chez mon FAI... Presque plus de Swen ! Réabonnement à la liste, retour des Swen :( Cependant, le virus est réapparu *avant* que je réponde publiquement sur la liste (une ou deux réponses en PV sur i10n seulement). De là à penser que l'intervention sur la liste n'est pas en cause, mais bien l'inscription, il n'y a qu'un pas... Je ne m'y risquerai pas, je ne connais pas suffisamment le fonctionnement des listes Debian pour juger ;) Claude
Re: Swen
Le dimanche 16 novembre 2003, Yves Rutschle a écrit... bonjour, Oui, une réponse en privé suivie de quelques messages et enfin un en Cc sur la liste, mon adresse est dedans, j'ai renoué du coup avec la trentaine de Swens journaliers... J'ai ça aussi, suite à un post accidentel sans -nospam... Mais ce dont Jean-Michel parle est différent, après avoir regardé dans mon .junk: C'est un mail d'un correspondant régulier de duf, mais l'adresse est fausse (@sendmoreinfo.com), et ça vient avec un attachement en linux.zip.scr... Eh bien j'ai fait les deux, avec un sans no-spam ce matin, milledieu, mais la sanction vient d'arriver, mailfilter vient de me dégager 3 MAX_SIZE_DENY, donc ce n'est pas le post malencontreux de ce matin qui est en cause, mais bien la récupération, je ne sais pas comment, de mon adresse. Le mail qui impliquait notre ami de sendmoreinfo.com faisait état d'une réponse, dont voici ce que je possède. On Thursday 13 November 2003, at 15 h 52, the keyboard of br =?iso-8859-1?q?Roger Bouchard?= [EMAIL PROTECTED] wrote:br br Alors si ce Roger Bouchard se reconnait j'aimerais bien, si il existe physiquement, qu'il vérifie si une de ses machines n'a pas attrapé une cochonnerie... -- jean-michel
Re: Swen
Ainsi parla [EMAIL PROTECTED] le 320ème jour de l'an 2003: Bonjour, Jean-Michel OLTRA a écrit: bonjour, J'ai reçu un petit cadeau avec le nom de qqun de la liste qui, je pense, n'est pas en cause. J'ai reçu aussi un mail parlant de paintball, avec un fichier en attachement. un file rapide dessus m'a appris que c'était une exécutable msdos... :-( Un autre nom apparaît dans le cadeau mais je n'ai pas réussi à retrouver l'origine du mail. J'ai tout éffacé avant. D'ailleurs, ce mail est allé se charger directement dans la corbeille de mon Mozilla. Ce qui est un peu génant c'est que ma véritable adresse y apparaît également, sans l'anti-spam. Je crains le pire J'ai pas vu ça. Je n'ai pas regardé jusque-là, mais je crois me souvenir que ce mail était destiné à undiscloser recipients ou un truc comme ça. (j'avoue ne pas savoir ce que cela veut dire). Ça veut dire qu'aucun destinataire principal était spécifié (le champ To: ), par contre comme moi tu étais spécifié en BCC. -- .,p***=b_ Nicolas Rueff ?P .__ `*b Montbéliard - France |P .d?'`, 9| http://rueff.tuxfamily.org M: |} |- H' [EMAIL PROTECTED] | `#?_._oH' +33 6 77 64 44 80 `H. ``' GPG 0xDD44DAB4 `#?. ICQ 97700474 `^~. We are Penguin. Resistance is futile. You will be assimilated. pgpAO3eM58vp5.pgp Description: PGP signature
Re: swen
Le dimanche 16 novembre 2003, Roger Bouchard a écrit... bonjour, Eh oui, j'existe bel et bien! Enchanté. J'ai posé la question sur les domaines fictifs mais je vais y réflechir à 2 fois a l'avenir avant de poster sur la liste car a chaque fois je suis enterre par les swen que les filtres de yahoo arrivent mal a eliminer :-( Il faut mettre un anti-spam dans ton adresse et ça devrait suffire. Eviter de mettre des gens en Cc peut-être ? Je vais me tenir tranquille pour éviter tout ces desagrements mais mon but ultime est justement d'installer un réseau linux avec un domaine bien réel celui-la pour justement controler mails, filtres,etc. Je ne pense pas qu'il y ait de rapport entre ton réseau et le fait que tu puisse être ennuyé, comme nous tous, par ce truc, qui, comme Phoenix, renait éternellement. qui a masque son adrese retour avec un 'antispam' mais apres avoir envoyé le fameux message. desolé... Oui mais ton adresse réelle n'est pas masquée. -- jean-michel
Re: swen
Le 12372ième jour après Epoch, Roger Bouchard écrivait: Eh oui, j'existe bel et bien! Alors arrête d'envoyer des virus : Trêve de bêtises, il est bizarre que swen envoie un message en changeant d'émetteur. Ce doit être une nouvelle mutation, ou alors un nouveau virus celui-là. J'ai posé la question sur les domaines fictifs mais je vais y réflechir à 2 fois a l'avenir avant de poster sur la liste car a chaque fois je suis enterre par les swen que les filtres de yahoo arrivent mal a eliminer :-( Il faut que tu mettes aussi la chaine spam dans ton adresse From: pour être sûr de ne pas crouler sous les swen. J'ai verifie mes 2 machines persos et tout semble ok. Si tes machines sont sous debian, alors il n'y a pas de souci pour le virus, ce n'est pas toi qui l'envoie. Par contre, il se peut que Wine soit assez bien fait pour simuler les trous de sécurité. Du coup si tu as un lecteur de mail sous Wine, il peut y avoir souci. Je vais me tenir tranquille pour éviter tout ces desagrements mais mon but ultime est justement d'installer un réseau linux avec un domaine bien réel celui-la pour justement controler mails, filtres,etc. Perso j'ai ça chez moi, et je le regrette de temps en temps :). En effet, je n'ai pas le choix, je dois recevoir les mails avant de les traiter, et ça me consomme pas mal de bande passante. Ceux qui poppent leurs mails peuvent utiliser des outils comme swendeleter avant de popper, de sorte qu'ils ne lisent que les mails sains. rhbaie qui a masque son adrese retour avec un 'antispam' mais apres avoir envoyé le fameux message. desolé... mais qui ne masque pas (encore) son adresse From: ... De toute façon, le fait de masquer ou non n'a qu'un impact pour toi. -- Dinner is ready when the smoke alarm goes off.
Re: Swen
Le 12372ième jour après Epoch, Jean-Michel OLTRA écrivait: bonjour, Ce qui est un peu génant c'est que ma véritable adresse y apparaît également, sans l'anti-spam. Je crains le pire Dans ce message aussi tu as oublié de mettre spam dans le champ From: ... Tu as intérêt à automatiser ça dans ton mailer à mon avis. -- Is this going to involve RAW human ecstasy?
Re: Swen
Jean-Michel OLTRA a dit : bonjour, Bonjour, J'ai reçu un petit cadeau avec le nom de qqun de la liste qui, je pense, n'est pas en cause. Un autre nom apparaît dans le cadeau mais je n'ai pas réussi à retrouver l'origine du mail. Pareil Ce qui est un peu génant c'est que ma véritable adresse y apparaît également, sans l'anti-spam. Je crains le pire Hélas oui. J'avais oublié de modifier mon adresse et je suis reparti comme en 40 avec la dizaine ou vingtaine de SWEN par jours (MailScanner fait remarquablement bien son boulot à ce sujet). J'ai hélas jeté le premier mail du coup impossible de savoir d'où cela vient. Florent C'est arrivé chez d'autres aussi ? A ma connaissance une de mes connaissances a le même problème. -- Quand les mouettes ont pied, il est temps de virer de bord (proverbe breton)
Re: Swen
Je recois des mails avec des virus tout les jours, environ 50 par jour, Mozilla les met en Junk, mais c'est super désagréable quand j'utilise mon interface WEB pour les regarder de l'exterieur. Je n'incriminais pas la mailling liste avant, mais j'ai créé un nouveau compte sur mon serveur pour ne pas noyer mes messages persos avec ceux de la mailing, et la aussi, spam à fond, alors que personne connais l'adresse (à part l'inscription à la mailing). Avec un peu d'imagination, j'imagine bien un petit malin qui à inscrit son adresse sur la mailing, et qui enregistre toutes nouvelles adresses qu'il recoit de celle ci. C'est méga chiant, des fois c'est des trucs en relation avec crosoft, des fois des virus, des fois des undelivred postmaster. C'est vraiment dommage, car pour mon cas, mon adresse perso que j'avais avant est complétement pourri, c'est horrible. Si quelqu'un a une solution pour s'en retourner? @+ Stephanfo Jean-Michel OLTRA a écrit : bonjour, J'ai reçu un petit cadeau avec le nom de qqun de la liste qui, je pense, n'est pas en cause. Un autre nom apparaît dans le cadeau mais je n'ai pas réussi à retrouver l'origine du mail. Ce qui est un peu génant c'est que ma véritable adresse y apparaît également, sans l'anti-spam. Je crains le pire C'est arrivé chez d'autres aussi ?
Re: Swen
Moi y'a le virus suivant dedans, mais il prend plusieurs formes, soit patch windows, soit .scr Voici mon rapport de norton Norton AntiVirus removed the attachment: Q887817.exe. The attachment was infected with the [EMAIL PROTECTED] virus. @+ Yves Rutschle a écrit : On Sun, Nov 16, 2003 at 12:24:35PM +, François Boisson wrote: Oui, une réponse en privé suivie de quelques messages et enfin un en Cc sur la liste, mon adresse est dedans, j'ai renoué du coup avec la trentaine de Swens journaliers... J'ai ça aussi, suite à un post accidentel sans -nospam... Mais ce dont Jean-Michel parle est différent, après avoir regardé dans mon .junk: C'est un mail d'un correspondant régulier de duf, mais l'adresse est fausse (@sendmoreinfo.com), et ça vient avec un attachement en linux.zip.scr... /Y
Re: Swen
Effectivement, j'avais pas pensé à la possibilité que qqun soit infecté et que ce ver rediffuse avec les adresse des mails recu Jean-Michel OLTRA a écrit : Le dimanche 16 novembre 2003, Yves Rutschle a écrit... bonjour, Oui, une réponse en privé suivie de quelques messages et enfin un en Cc sur la liste, mon adresse est dedans, j'ai renoué du coup avec la trentaine de Swens journaliers... J'ai ça aussi, suite à un post accidentel sans -nospam... Mais ce dont Jean-Michel parle est différent, après avoir regardé dans mon .junk: C'est un mail d'un correspondant régulier de duf, mais l'adresse est fausse (@sendmoreinfo.com), et ça vient avec un attachement en linux.zip.scr... Eh bien j'ai fait les deux, avec un sans no-spam ce matin, milledieu, mais la sanction vient d'arriver, mailfilter vient de me dégager 3 MAX_SIZE_DENY, donc ce n'est pas le post malencontreux de ce matin qui est en cause, mais bien la récupération, je ne sais pas comment, de mon adresse. Le mail qui impliquait notre ami de sendmoreinfo.com faisait état d'une réponse, dont voici ce que je possède. On Thursday 13 November 2003, at 15 h 52, the keyboard of br =?iso-8859-1?q?Roger Bouchard?= [EMAIL PROTECTED] wrote:br br Alors si ce Roger Bouchard se reconnait j'aimerais bien, si il existe physiquement, qu'il vérifie si une de ses machines n'a pas attrapé une cochonnerie...
Re: Swen
Moi aussi, et j'en ai vraiment marre, comment savoir d'ou ca viens pour enrayer le truc. Florent Alleau a écrit : Jean-Michel OLTRA a dit : bonjour, Bonjour, J'ai reçu un petit cadeau avec le nom de qqun de la liste qui, je pense, n'est pas en cause. Un autre nom apparaît dans le cadeau mais je n'ai pas réussi à retrouver l'origine du mail. Pareil Ce qui est un peu génant c'est que ma véritable adresse y apparaît également, sans l'anti-spam. Je crains le pire Hélas oui. J'avais oublié de modifier mon adresse et je suis reparti comme en 40 avec la dizaine ou vingtaine de SWEN par jours (MailScanner fait remarquablement bien son boulot à ce sujet). J'ai hélas jeté le premier mail du coup impossible de savoir d'où cela vient. Florent C'est arrivé chez d'autres aussi ? A ma connaissance une de mes connaissances a le même problème.
Re: Swen
Le dimanche 16 novembre 2003, Stéphane RATELET a écrit... bonjour, Avec un peu d'imagination, j'imagine bien un petit malin qui à inscrit son adresse sur la mailing, et qui enregistre toutes nouvelles adresses qu'il recoit de celle ci. Non, ce n'est pas ça, voir les archives pour des précisions, se sont les newsgroups qui fournissent les adresses à swen. Il y a de gros thread là dessus sur Octobre. Si quelqu'un a une solution pour s'en retourner? mettre le mot 'spam' dans ton champ From: et Reply-To: également pour faire bon poids. C'est arrivé chez d'autres aussi ? J'ai renoué avec ce troll, non pas pour parler du Swen de base, on en a déjà parlé, mais parce que j'ai reçu quelque chose ne venant pas des éternels Postmaster Cie mais de quelqu'un bien réel avec une adresse daubée, avec un morceau de réponse dedans, et c'est la première fois. -- jean-michel
[Swen] [humeur] Re: Swen
Bonjour J'ai un gros probleme : apres avoir recu des spams de generation 1 (les swens) et de generation 2 (les messages d'anti-virus detectant les swens), je me prends des rafales de messages de generation 3 (des gens qui ralent parce qu'ils se prennent des swens de generation 1 et 2). C'est pourquoi je vous demande serieusement (et amicalement) : - de rajouter une balise [Swen] aux courriels parlant de cette ordure - de rajouter la chaine spam a votre adresse electronique (mon adresse [EMAIL PROTECTED] n'en a recu aucun, O ironie) - de ne plus en parler. Ne mettez aucune addresse electronique sans la chaine spam dans vos champs From, To et Reply-to, et si vous vous etes trompe de temps en temps, pas de panique, ca s'arrete tout seul apres une dizaine de jours. Merci, merci. Daniel -- http://yo.dan.free.fr/
Re: Swen
Le 12372ième jour après Epoch, Stéphane RATELET écrivait: Moi aussi, et j'en ai vraiment marre, comment savoir d'ou ca viens pour enrayer le truc. Perso, j'utilise une 'feature' perso ajoutée à amavis-ng, pour envoyer un message à abuse et root du domaine émetteur. Ce domaine était depuis le début fiable à plus de 95% (à la louche). Cette technique a donné pas mal de bons résultats, et j'ai souvent reçu des mails 'humains' confirmant qu'effectivement l'abonné de leur service était bien infecté et qu'il avait été warned ou même suspendu le temps qu'il désinfecte sa machine. Il semble malheureusement que Swen ait subi une évolution et que le domaine d'émission (le champ 'MAIL FROM:' du dialogue smtp, modifié avec l'option -f des MTA classiques) soit maintenant forgé. Comme je suis assez nul en Perl, je ne me sens pas le courage de faire un petit script qui analyse les champs Received: du message pour déterminer avec exactitude l'origine du virus. Si une bonne âme se sent le courage de faire ça, je suis prêt à l'aider pour ce qui est de savoir déterminer les champs Received: forgés de ceux qui sont réels. -- Virtue is a relative term. -- Spock, Friday's Child, stardate 3499.1
Re: [Swen] [humeur] Re: Swen
Le 12372ième jour après Epoch, Daniel Déchelotte écrivait: Bonjour J'ai un gros probleme : apres avoir recu des spams de generation 1 (les swens) et de generation 2 (les messages d'anti-virus detectant les swens), je me prends des rafales de messages de generation 3 (des gens qui ralent parce qu'ils se prennent des swens de generation 1 et 2). Tu pourrais me faire parvenir (mon adresse nospam est valide aussi) un exemple de message de génération 3, à condition qu'il contienne les entêtes complètes du message disant venir de toi? C'est pour améliorer les conditions dans lesquelles j'envoie des génération 2 qui étaient jusqu'à present correctement ciblés. C'est pourquoi je vous demande serieusement (et amicalement) : [...] - de ne plus en parler. Ne mettez aucune addresse electronique sans la chaine spam dans vos champs From, To et Reply-to, et si vous vous etes trompe de temps en temps, pas de panique, ca s'arrete tout seul apres une dizaine de jours. Pas sûr. Je reçois encore (1 à 2 par jours) des messages destinés à une adresse qui n'est plus utilisée dans les ML depuis maintenant le début octobre. En ce qui concerne le champ To, ça risque par contre d'être difficile quand on écrit à la ML. Comment résoudre ça d'ailleurs, car murphy doit être littéralement *bombardé* de Swen. Listmaster peut peut-être nous confirmer ça d'ailleurs. Merci, merci. De rien, de rien. -- I have a bone to pick, and a few to break. -- Anonymous
Re: [Swen] [humeur] Re: Swen
[EMAIL PROTECTED] (François TOURDE) a écrit : | J'ai un gros probleme : apres avoir recu des spams de generation 1 | (lesswens) et de generation 2 (les messages d'anti-virus detectant | lesswens), je me prends des rafales de messages de generation 3 (des | gens qui ralent parce qu'ils se prennent des swens de generation 1 et | 2). | | Tu pourrais me faire parvenir (mon adresse nospam est valide aussi) un | exemple de message de génération 3, à condition qu'il contienne les | entêtes complètes du message disant venir de toi? Mais non. :) Mon courriel lui-meme etait de degre 2 : je faisais allusion a ces courriels sur la liste qui disent Je me recois plein de virus depuis que je suis sur DUF, suis-je le seul ?. Non, mon FAI ne m'a pas averti qu'eux-memes avaient ete avertis que j'envoyais des virus. Ceci etant dit, je serais tres prudent avant d'envoyer des notifications automatiques de virus a [EMAIL PROTECTED] : apres tout, justement, une partie non negligeable des pourriels que je recois viennent de logiciels anti-virus. Daniel -- http://yo.dan.free.fr/
Re: Swen
Le dim 16/11/2003 à 18:23, Jean-Michel OLTRA a écrit : C'est arrivé chez d'autres aussi ? J'ai renoué avec ce troll, non pas pour parler du Swen de base, on en a déjà parlé, mais parce que j'ai reçu quelque chose ne venant pas des éternels Postmaster Cie mais de quelqu'un bien réel avec une adresse daubée, avec un morceau de réponse dedans, et c'est la première fois. je ne sais pas si c'est lié, mais depuis quelque temps, je reçois du pourriel (et une masse!)avec comme expéditeur...mon adresse! Pourtant, je suis bien sûr de n'avoir pas été vérôlé (je n'ai que linux à la maison). -- alain [EMAIL PROTECTED] enlever le point r e t i r e r pour répondre
Re: [Swen] [humeur] Re: Swen
Le 12372ième jour après Epoch, Daniel Déchelotte écrivait: [EMAIL PROTECTED] (François TOURDE) a écrit : | J'ai un gros probleme : apres avoir recu des spams de generation 1 | (lesswens) et de generation 2 (les messages d'anti-virus detectant | lesswens), je me prends des rafales de messages de generation 3 (des | gens qui ralent parce qu'ils se prennent des swens de generation 1 et | 2). | | Tu pourrais me faire parvenir (mon adresse nospam est valide aussi) un | exemple de message de génération 3, à condition qu'il contienne les | entêtes complètes du message disant venir de toi? Mais non. :) Mon courriel lui-meme etait de degre 2 : je faisais allusion a ces courriels sur la liste qui disent Je me recois plein de virus depuis que je suis sur DUF, suis-je le seul ?. Non, mon FAI ne m'a pas averti qu'eux-memes avaient ete avertis que j'envoyais des virus. Zut, j'ai raté un degré alors. Je m'a gourré. Désolé. Je pensais que tu recevais des messages de gens qui pensaient que tu envoyais des virus toi-même. Euh... Quelqu'un suit là, parce que moi, j'ai même du mal à comprendre ce que j'écris :( Ceci etant dit, je serais tres prudent avant d'envoyer des notifications automatiques de virus a [EMAIL PROTECTED] : apres tout, justement, une partie non negligeable des pourriels que je recois viennent de logiciels anti-virus. J'ai été assez prudent sur ce coup. J'ai comparé les traces des Received: valides avec le domaine utilisé dans le -f (ou équivalent) du mailer, et ça matche très bien en général. J'évite le truc du genre return to sender, qui utilise le champ From: ou Reply-To: ou équivalent, et qui est en permanence fake. Mais il m'est arrivé d'avoir 1 ou 2 messages dans une semaine qui étaient envoyés à des innocents. Ça fait du 0,01% d'erreur pour les jours fastes, et les gens qui le reçoivent doivent penser comme moi quand j'en reçoit un: Mais quelle grosse lame ce c.n, il a rien compris aux virus :) -- Conversation, n.: A vocal competition in which the one who is catching his breath is called the listener.
Re: [Swen] [humeur]
François TOURDE a écrit, dimanche 16 novembre 2003, à 23:05 : Le 12372ième jour après Epoch, Daniel Déchelotte écrivait: [EMAIL PROTECTED] (François TOURDE) a écrit : | J'ai un gros probleme : apres avoir recu des spams de generation 1 | (lesswens) et de generation 2 (les messages d'anti-virus detectant | lesswens), je me prends des rafales de messages de generation 3 (des | gens qui ralent parce qu'ils se prennent des swens de generation 1 et | 2). Il y a aussi la génération 1.4 des vrais swens déguisés en messages d'antivirus :) [...] Euh... Quelqu'un suit là, parce que moi, j'ai même du mal à comprendre ce que j'écris :( Si tu es atteint par un virus, un bon grog et au lit ;) [...] Mais quelle grosse lame ce c.n, il a rien compris aux virus :) Il y a pire, comme le renvoi du virus à une longue liste d'expéditeurs supposés ... -- Jacques L'helgoualc'h
Re: [pour infos virus] plus que 1 à 5 swen par jour
Le 12349ième jour après Epoch, Vincent Renardias écrivait: On Wed, 2003-10-22 at 22:13, Philippe Merlin wrote: Pour moi toujours un bon rythme, pas de répit env : 40 par jour pour une adresse, pour l'adresse Kde Debian seulement 2. D'ou l'utilité avoir un ClamAV ou autre antivirus sur son serveur de mail... On a alors plus a se preoccuper de ce genre de problème... :-) Euh... Si un peu quand même... La bande passante prise par la réception de ces virus sur ma machine est pas négligeable (Je suis mon propre MX sur une liaison ADSL 512). ClamAV et Amavis n'y peuvent rien. Et Swen prends pas mal de place en quarantaine. Faut gérer le nettoyage de tout ça (J'ai dû patcher tmpreaper un petit peu). -- About the use of language: it is impossible to sharpen a pencil with a blunt ax. It is equally vain to try to do it with ten blunt axes instead. -- Edsger Dijkstra
Re: [pour infos virus] plus que 1 à 5 swen par jour
On Wed, Oct 22, 2003 at 07:13:07PM +0200, Nicolas Rueff wrote: le Wed, 22 Oct 2003 12:21:08 +0200, patrice [EMAIL PROTECTED] s'exprima en ces termes: bonjour, Juste pour dire que je n'ai plus que 1 à 5 swen par jour (avec l'ancienne email), et mon dernier poste avec un mail sensible à swen etait le 10 octobre, donc finalement le traffic du virus se reduit petit à petit... pour les autres c'est pareil? Retour d'expérience: après un seul mail posté sur DUF à partir d'une adresse decoy une seule fois le 12 octobre, voici les résultats: 1) sven v.1 (celui de 142 ko, i.e. sans images attachées): 2) sven v.2 (celui de 154 ko): Arg, c'est swen et pas sven. Amicalement, Sven Luther
Re: [pour infos virus] plus que 1 5 swen par jour
le Thu, 23 Oct 2003 13:27:27 +0200, Sven Luther [EMAIL PROTECTED] s'exprima en ces termes: On Wed, Oct 22, 2003 at 07:13:07PM +0200, Nicolas Rueff wrote: le Wed, 22 Oct 2003 12:21:08 +0200, patrice [EMAIL PROTECTED] s'exprima en ces termes: bonjour, Juste pour dire que je n'ai plus que 1 à 5 swen par jour (avec l'ancienne email), et mon dernier poste avec un mail sensible à swen etait le 10 octobre, donc finalement le traffic du virus se reduit petit à petit... pour les autres c'est pareil? Retour d'expérience: après un seul mail posté sur DUF à partir d'une adresse decoy une seule fois le 12 octobre, voici les résultats: 1) sven v.1 (celui de 142 ko, i.e. sans images attachées): 2) sven v.2 (celui de 154 ko): Arg, c'est swen et pas sven. Oops. C'est à cause de mon cran qui me fait confondre les v et les w (j'ai bon, là ;) ?) /N __ Nicolas Rueff [EMAIL PROTECTED] http://rueff.tuxfamily.org +33 6 77 64 44 80 -- 97. Go get your backup tape. (You _do_ have a backup tape?) --Top 100 things you don't want the sysadmin to say __ pgpfuKkmavvBl.pgp Description: PGP signature
Re: [pour infos virus] plus que 1 à 5 swen par jour
On Wed, 2003-10-22 at 22:13, Philippe Merlin wrote: Pour moi toujours un bon rythme, pas de répit env : 40 par jour pour une adresse, pour l'adresse Kde Debian seulement 2. D'ou l'utilité avoir un ClamAV ou autre antivirus sur son serveur de mail... On a alors plus a se preoccuper de ce genre de problème... :-)
[pour infos virus] plus que 1 5 swen par jour
bonjour, Juste pour dire que je n'ai plus que 1 à 5 swen par jour (avec l'ancienne email), et mon dernier poste avec un mail sensible à swen etait le 10 octobre, donc finalement le traffic du virus se reduit petit à petit... pour les autres c'est pareil? patrice -- Rejettes l'industrie et son profit, les voleurs et les bandits disparaitront. Lao-tseu
Re: [pour infos virus] plus que 1 5 swen par jour
Le Mercredi 22 Octobre 2003 12:21, patrice a posté : Juste pour dire que je n'ai plus que 1 à 5 swen par jour (avec l'ancienne email), et mon dernier poste avec un mail sensible à swen etait le 10 octobre, donc finalement le traffic du virus se reduit petit à petit... pour les autres c'est pareil? 42 depuis 00h00 -- MP
Re: [pour infos virus] plus que 1 à 5 swen par jour
Le 12347ième jour après Epoch, [EMAIL PROTECTED] écrivait: bonjour, Juste pour dire que je n'ai plus que 1 à 5 swen par jour (avec l'ancienne email), et mon dernier poste avec un mail sensible à swen etait le 10 octobre, donc finalement le traffic du virus se reduit petit à petit... pour les autres c'est pareil? Chez moi aussi ça diminue. J'en suis à 35/jour ... C'est encore beaucoup mais c'est 20 fois moins que dans sa période d'activité la plus intense pour moi. La solution a été de mettre no-spam dans mon adresse duf. C'est une adresse qui est valide chez moi, mais qui n'a jamais reçu un seul Swen. -- We is confronted with insurmountable opportunities. -- Walt Kelly, Pogo
Re: [pour infos virus] plus que 1 5 swen par jour
Le mercredi 22 octobre 2003, François TOURDE a écrit... bonjour, Chez moi aussi ça diminue. J'en suis à 35/jour ... C'est encore beaucoup mais c'est 20 fois moins que dans sa période d'activité la plus intense pour moi. Pareil pour moi: que 14 depuis 8 h. L'adresse anti-spam est valide depuis le 19 octobre. Je pense que ça baisse d'une manière générale, ma boite libertysurf n'est qu'à 45 % pleine depuis lundi. -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: [pour infos virus] plus que 1 à 5 swen par jour
On Wed, 22 Oct 2003 12:21:08 +0200 patrice [EMAIL PROTECTED] wrote: bonjour, Juste pour dire que je n'ai plus que 1 à 5 swen par jour (avec l'ancienne email), et mon dernier poste avec un mail sensible à swen etait le 10 octobre, donc finalement le traffic du virus se reduit petit à petit... pour les autres c'est pareil? flux journalier dont ceux sur une adresse ayant fait un seul message le 12/10, depuis j'utilise l'adresse avec anti-spam... 21/10: 22 dont 20 20/10: 45 dont 40 19/10: 102 dont 100 18:10: 108 dont 100 17:10: 188 dont 167 16/10: 191 dont 168 15/10: 179 dont 151 14/10: 336 dont 182 13/10: 324 dont 159 patrice -- Rejettes l'industrie et son profit, les voleurs et les bandits disparaitront. Lao-tseu -- Pensez à lire la FAQ de la liste avant de poser une question : http://savannah.nongnu.org/download/debfr-faq/html/ To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [pour infos virus] plus que 1 5 swen par jour
le Wed, 22 Oct 2003 12:21:08 +0200, patrice [EMAIL PROTECTED] s'exprima en ces termes: bonjour, Juste pour dire que je n'ai plus que 1 à 5 swen par jour (avec l'ancienne email), et mon dernier poste avec un mail sensible à swen etait le 10 octobre, donc finalement le traffic du virus se reduit petit à petit... pour les autres c'est pareil? Retour d'expérience: après un seul mail posté sur DUF à partir d'une adresse decoy une seule fois le 12 octobre, voici les résultats: 1) sven v.1 (celui de 142 ko, i.e. sans images attachées): 2003/10/12 2 2003/10/13 7 2003/10/14 12 2003/10/15 4 2003/10/16 12 2003/10/17 6 2003/10/18 3 2003/10/19 3 2003/10/20 4 2) sven v.2 (celui de 154 ko): 2003/10/12 3 2003/10/13 15 2003/10/14 28 2003/10/15 10 2003/10/16 14 2003/10/17 9 2003/10/18 10 2003/10/19 9 2003/10/20 11 Cumul: 2003/10/12 5 2003/10/13 22 2003/10/14 40 2003/10/15 14 2003/10/16 26 2003/10/17 15 2003/10/18 13 2003/10/19 12 2003/10/20 15 A noter: plus rien à partir du 21 ??? /N __ Nicolas Rueff [EMAIL PROTECTED] http://rueff.tuxfamily.org +33 6 77 64 44 80 -- When the instructor is late, he will meet the principal in the hall. If the instructor is late and does not meet the principal, the instructor is late to the faculty meeting. -- Murphy's Laws of Teaching n°8 __ pgpYAnLVw6vKL.pgp Description: PGP signature
Re: [pour infos virus] plus que 1 5 swen par jour
Pour moi toujours un bon rythme, pas de répit env : 40 par jour pour une adresse, pour l'adresse Kde Debian seulement 2. Philou75 Le Mercredi 22 Octobre 2003 12:21, patrice a écrit : bonjour, Juste pour dire que je n'ai plus que 1 à 5 swen par jour (avec l'ancienne email), et mon dernier poste avec un mail sensible à swen etait le 10 octobre, donc finalement le traffic du virus se reduit petit à petit... pour les autres c'est pareil? patrice -- Rejettes l'industrie et son profit, les voleurs et les bandits disparaitront. Lao-tseu
Comment ne plus recevoir Swen (précision)
Suite à plusieurs messages privés, je réponds publiquement par ces précisions: - Swen récupère les adresses des messages adressés à la liste par l'intermédiaire des serveurs news. Etre abonné ou non n'y change rien. Un contributeur non abonné ayant donné une bonne adresse recevra le virus. - La liste ne peut rien. Elle dispose déjà d'antivirus mais ne peut agir sur des courriers ne passant pas par elle. - Depuis que j'ai inséré .anti-spam dans mon adresse, je ne reçois pas de virus sur cette adresse. Le flux se tarit progressivement. - Mettre une adresse bidon type [EMAIL PROTECTED] évite les virus pour soi mais n'empêche pas la surcharge de traffic Internet, swen envoyant quand même les messages. François Boisson
Re: [HS]Vous aussi, faites joujou avec Swen!
Le 12 octobre 2003, benoit, à bout, prit son clavier pour taper sur son écran: Message de Loïc Le Guyader, le samedi 11 octobre : Je vous laisse découvrir les *.proxad.net, *.nerim.net, ... qui me font penser que Swen mais à jour cette liste de serveur de news avec ceux qu'il a infecté. je pense que c'est faux, tous mes swen ont la meme somme md5 (du moins les suivants, choisis avec de bons intervalles en date de reception) b09e26c292759d654633d3c8ed00d18d dgqbkztn.exe b09e26c292759d654633d3c8ed00d18d ecbbip.exe b09e26c292759d654633d3c8ed00d18d flegls.exe b09e26c292759d654633d3c8ed00d18d q287465.exe b09e26c292759d654633d3c8ed00d18d Q565129.exe b09e26c292759d654633d3c8ed00d18d Q653942.exe Bizarre, alors l'auteur de Swen à lui-même intégré des adresses du genre charlebourg-1-81-57-17-*.fbx.proxad.net (une FreeBox de chez Free) ou aboukir-101-1-*-pparis.adsl.nerim.net (un ADSLien de chez Nerim). Bizarre. @+ -- JabberID: [EMAIL PROTECTED] Pixar's Toy Story: Over 1/3 Billion dollars world box office so far. pgpeQx8E4POSr.pgp Description: PGP signature
Re: [HS]Vous aussi, faites joujou avec Swen!
le Sat, 11 Oct 2003 21:29:15 +0200, Loïc Le Guyader [EMAIL PROTECTED] s'exprima en ces termes: Salut, Non, ne jetez plus les innombrables exemplaires de Swen que vous recevez, et qui sont, malheureusement, inutilisables sur pauvre Debian. En effet, Swen trimbale avec lui une liste de seveur de news compressé. Comment la récupérer? C'est simple: Étape 1: Sauver l'attachement du courriel (swen.exe pour l'exemple) Étape 2: Copier la liste compressé dans un fichier (swen.news) dd bs=1 skip=100144 if=swen.exe of=swen.press Si le fichier swen.news ne commence pas par «SZDD», l'offset n'est pas bon, demerdez-vous pour le trouver. Étape 2: Récupérez le décompresseur: http://www.kyz.uklinux.net/downloads/xfd_SZDD.lha Décompresser cette archive (apt-get install lha), puis compiler sddexpand et finalement: sddexpand swen.news Étape 3: less swen.news Je vous laisse découvrir les *.proxad.net, *.nerim.net, ... qui me font penser que Swen mais à jour cette liste de serveur de news avec ceux qu'il a infecté. Vérifiez que votre liste est différente de la mienne pour confirmer cette hypothése (oui c'est ça le jeux, et oui je m'excuse de n'avoir qu'un Swen sous la main ;o) ). Le md5sum de mon swen.news: b953eb2b35353307d6e7da0f131ded90 swen.news Tous mes svens ont la même md5 (la même que la tienne). Ça m'étonnerai qu'il se modifie. Par contre, un strings sur sven.exe remonte un ensemble de chaînes intéressantes: f-prot, blackice, zonealarm, safeweb ... D'ici à ce qu'il ne s'exécute que sur des machines totalement non protégées pour éviter de se faire repérer, il n'y a qu'un pas. Autre constat du string: le pool de chaines utilisées pour forger les champs: - une version patch krosoft: + To: Client, Consumer, Partner, User, Customer, Commercial + Subject: Upgrade, Pack, Update, Patch, Critical, Net, Latest, New, Last, Newest, Current +Aussi du FW, du Newsgroup, ... - une version can't deliver: + Subject: Notice, Report, Announcement, Advice, Letter, Failure, Abort, Error, Bug, User unknown, Mailer, Sender, Returned To, Message, Mail Undelivered, Undeliverable, Returned Concernant la liste fournie, ça ressemble à une liste issue d'un scan, mais sur quel critère ? D'autres trucs rigolos (allez voir): des listes top 10 google pour la duplication du virus sur les réseaux p2p avec des noms intéressants, une url(http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacilluswidth=6set=c nt0 06). Bon, on va tenter d'y aller avec winice pour y voir plus clair. /N __ Nicolas Rueff [EMAIL PROTECTED] http://rueff.tuxfamily.org +33 6 77 64 44 80 -- break; /* don't do magic till later */ -- Larry Wall in stab.c from the perl source code __ pgpgeNFSPrvfH.pgp Description: PGP signature
Re: [HS]Vous aussi, faites joujou avec Swen!
Le 12 octobre 2003, Nicolas Rueff, à bout, prit son clavier pour taper sur son écran: le Sat, 11 Oct 2003 21:29:15 +0200, Loïc Le Guyader [EMAIL PROTECTED] s'exprima en ces termes: b953eb2b35353307d6e7da0f131ded90 swen.news Tous mes svens ont la même md5 (la même que la tienne). Ça m'étonnerai qu'il se modifie. Par contre, un strings sur sven.exe remonte un ensemble de chaînes intéressantes: f-prot, blackice, zonealarm, safeweb ... D'ici à ce qu'il ne s'exécute que sur des machines totalement non protégées pour éviter de se faire repérer, il n'y a qu'un pas. Non, il cherche des processus portant ces noms et les arrête. une url(http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacilluswidth=6set=c nt0 06). C'était un compteur, qui a depuis été désactivé par un message indiquant que vous êtes infecté (qui n'a plus l'air d'y être non plus). @+ -- JabberID: [EMAIL PROTECTED] Toy Story: US$177M domestic box office receipts and an Oscar so far. pgpVSH7Ycs2x8.pgp Description: PGP signature
Re: [HS]Vous aussi, faites joujou avec Swen!
le Sun, 12 Oct 2003 12:18:57 +0200, Loïc Le Guyader [EMAIL PROTECTED] s'exprima en ces termes: Le 12 octobre 2003, Nicolas Rueff, à bout, prit son clavier pour taper sur son écran: le Sat, 11 Oct 2003 21:29:15 +0200, Loïc Le Guyader [EMAIL PROTECTED] s'exprima en ces termes: b953eb2b35353307d6e7da0f131ded90 swen.news Tous mes svens ont la même md5 (la même que la tienne). Ça m'étonnerai qu'il se modifie. Par contre, un strings sur sven.exe remonte un ensemble de chaînes intéressantes: f-prot, blackice, zonealarm, safeweb ... D'ici à ce qu'il ne s'exécute que sur des machines totalement non protégées pour éviter de se faire repérer, il n'y a qu'un pas. Non, il cherche des processus portant ces noms et les arrête. Ouaip, mon reverse le confirme. Ça me parait bourrin pourtant: c'est pas comme ça qu'il peut se faire discret. /N __ Nicolas Rueff [EMAIL PROTECTED] http://rueff.tuxfamily.org +33 6 77 64 44 80 -- Suppose for a moment that the automobile industry had developed at the same rate as computers and over the same period: how much cheaper and more efficient would the current models be? If you have not already heard the analogy, the answer is shattering. Today you would be able to buy a Rolls-Royce for $2.75, it would do three million miles to the gallon, and it would deliver enough power to drive the Queen Elizabeth II. And if you were interested in miniaturization, you could place half a dozen of them on a pinhead. -- Christopher Evans __ pgp3Kj6vrzfdF.pgp Description: PGP signature
Re: [HS]Vous aussi, faites joujou avec Swen!
Loïc Le Guyader a écrit, dimanche 12 octobre 2003, à 10:51 : Le 12 octobre 2003, benoit, à bout, prit son clavier pour taper sur son écran: Message de Loïc Le Guyader, le samedi 11 octobre : Je vous laisse découvrir les *.proxad.net, *.nerim.net, ... qui me font penser que Swen mais à jour cette liste de serveur de news avec ceux qu'il a infecté. je pense que c'est faux, tous mes swen ont la meme somme md5 (du moins les suivants, choisis avec de bons intervalles en date de reception) b09e26c292759d654633d3c8ed00d18d dgqbkztn.exe [...] kif-kif b09e26c292759d654633d3c8ed00d18d angcm.com b09e26c292759d654633d3c8ed00d18d bndsrw.exe b09e26c292759d654633d3c8ed00d18d bqlmvjbz.exe b09e26c292759d654633d3c8ed00d18d cbkqkv.exe b09e26c292759d654633d3c8ed00d18d gbhbvwe.exe b09e26c292759d654633d3c8ed00d18d gwqtkgcx.exe b09e26c292759d654633d3c8ed00d18d INSTALLATION26.exe b09e26c292759d654633d3c8ed00d18d INSTALLER1.exe b09e26c292759d654633d3c8ed00d18d Installer3.exe b09e26c292759d654633d3c8ed00d18d q534194.exe b09e26c292759d654633d3c8ed00d18d Q717395.exe b09e26c292759d654633d3c8ed00d18d Update62.exe de617e4b7caef22d5322d379711d96c3 swen.press b953eb2b35353307d6e7da0f131ded90 swen.news J'ai aussi dans mes archives un ancêtre apparu en mars 2003, avec sensiblement les mêmes sujet/to/from, par exemple : , | From: Microsoft Corporation Technical Support [EMAIL PROTECTED] | To: Microsoft Customer | SUBJECT: Newest Microsoft Security Patch. | Mime-Version: 1.0 | Content-Type: multipart/mixed; boundary=dotWsMZkijyr | Message-Id: [EMAIL PROTECTED] | Date: Tue, 3 Jun 2003 11:22:44 +0200 (CEST) ` message de 205Ko environ, avec un *.exe de 155648 octets, md5sum : 4613a17f12531d21c683023ffa4b4a34 P284671.exe 4613a17f12531d21c683023ffa4b4a34 patch392.exe 4613a17f12531d21c683023ffa4b4a34 PATCH722-39.exe 4613a17f12531d21c683023ffa4b4a34 patch.exe 4613a17f12531d21c683023ffa4b4a34 q179042.exe 4613a17f12531d21c683023ffa4b4a34 q268960.exe 4613a17f12531d21c683023ffa4b4a34 q268960.exe Il y a 4 SZDD là-dedans ... Bizarre, alors l'auteur de Swen à lui-même intégré des adresses du genre charlebourg-1-81-57-17-*.fbx.proxad.net (une FreeBox de chez Free) ou aboukir-101-1-*-pparis.adsl.nerim.net (un ADSLien de chez Nerim). Bizarre. ... Vous avez dit bizarre ? Une remarque aussi, la prolifération de swen a coïncidé avec l'apparition des wildcards *.(com|net) chez verisign. -- Jacques L'helgoualc'h
Re: [HS]Vous aussi, faites joujou avec Swen!
Le 12 octobre 2003, Jacques L'helgoualc'h, à bout, prit son clavier pour taper sur son écran: b09e26c292759d654633d3c8ed00d18d dgqbkztn.exe [...] kif-kif b09e26c292759d654633d3c8ed00d18d angcm.com Oui, la aussi, ils ont la même liste http://www.vsantivirus.com/swen-a.htm Pour ceux qui n'ont pas la chance de recevoir swen ;) J'ai aussi dans mes archives un ancêtre apparu en mars 2003, Gibe-quelquechose. avec sensiblement les mêmes sujet/to/from, par exemple : [...] Il y a 4 SZDD là-dedans ... Je peut en avoir un. Bizarre, alors l'auteur de Swen à lui-même intégré des adresses du genre charlebourg-1-81-57-17-*.fbx.proxad.net (une FreeBox de chez Free) ou aboukir-101-1-*-pparis.adsl.nerim.net (un ADSLien de chez Nerim). Bizarre. ... Vous avez dit bizarre ? Moi j'ai dit bizarre? Comme c'est étrange. Une remarque aussi, la prolifération de swen a coïncidé avec l'apparition des wildcards *.(com|net) chez verisign. Oui, et dans la liste de Swen, il y a «cabale.usenet-fr.net», mais je n'en dirai pas plu -- JabberID: [EMAIL PROTECTED] Toy Story: US$154M domestic box office receipts so far. pgpjoWxvSnd8R.pgp Description: PGP signature
Re: [HS]Vous aussi, faites joujou avec Swen!
Le dimanche 12 octobre 2003, Nicolas Rueff a écrit... bonjour, Ouaip, mon reverse le confirme. Ça me parait bourrin pourtant: c'est pas comme ça qu'il peut se faire discret. Il y a un outil sous Linux pour désassembler (essayer tout au moins...) ? -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: [HS]Vous aussi, faites joujou avec Swen!
Le 12 octobre 2003, Jean-Michel OLTRA, à bout, prit son clavier pour taper sur son écran: Ouaip, mon reverse le confirme. Ça me parait bourrin pourtant: c'est pas comme ça qu'il peut se faire discret. Il y a un outil sous Linux pour désassembler (essayer tout au moins...) ? Hou la honte, tout le monde lit l'hexa ici ... Sinon objdump de binutils. Mais je pense que tu cherches plutôt un décompilateur, et là c'est plus coton. Voir http://www.program-transformation.org/twiki/bin/view/Transform/DeCompilation REC est le mieux que j'ai trouvé pour l'instant. Il y a bien Boomerang qui a l'air de marcher mieux, mais il est hébergé chez sourceforge.net @+ -- JabberID: [EMAIL PROTECTED] Pixar Animation Studios: Reality is not our business. Pixar's Toy Story $184,592,498 domestic, $49 million overseas and counting. pgp0b47MilCS3.pgp Description: PGP signature
Re: [HS]Vous aussi, faites joujou avec Swen!
On Sun, Oct 12, 2003 at 02:31:41PM +0200, Jean-Michel OLTRA wrote: Il y a un outil sous Linux pour désassembler (essayer tout au moins...) ? objdump -D /bin/ls /Y - qui va laver ses yeux après avoir vu de l'asm x86 -- Slang will lead to the ruination of a good language.
Re: [HS]Vous aussi, faites joujou avec Swen!
Le 12337ième jour après Epoch, Loïc Le Guyader écrivait: Le 12 octobre 2003, Jacques L'helgoualc'h, à bout, prit son clavier pour taper sur son écran: b09e26c292759d654633d3c8ed00d18d dgqbkztn.exe [...] kif-kif b09e26c292759d654633d3c8ed00d18d angcm.com Oui, la aussi, ils ont la même liste http://www.vsantivirus.com/swen-a.htm Pour ceux qui n'ont pas la chance de recevoir swen ;) J'ai aussi dans mes archives un ancêtre apparu en mars 2003, Gibe-quelquechose. avec sensiblement les mêmes sujet/to/from, par exemple : [...] Il y a 4 SZDD là-dedans ... Je peut en avoir un. Bizarre, alors l'auteur de Swen à lui-même intégré des adresses du genre charlebourg-1-81-57-17-*.fbx.proxad.net (une FreeBox de chez Free) ou aboukir-101-1-*-pparis.adsl.nerim.net (un ADSLien de chez Nerim). Bizarre. ... Vous avez dit bizarre ? Moi j'ai dit bizarre? Comme c'est étrange. Une remarque aussi, la prolifération de swen a coïncidé avec l'apparition des wildcards *.(com|net) chez verisign. Oui, et dans la liste de Swen, il y a «cabale.usenet-fr.net», mais je n'en dirai pas plu Allez, rajoutons un peu de mystère ... Jusqu'à hier, Amavis arrivait à déterminer sans problème le domaine du vrai émetteur du message (à partir probablement du MAIL FROM: de SMTP), et j'en profitais pour prévenir l'ISP du souci. Maintenant, ce n'est plus le cas. Ou en tout cas pas toujours. Je ne vois pas ce qui aurait pû faire changer le comportement du virus, mis à part l'arrivée d'une nouvelle souche. J'ai pas encore automatisé le calcul du md5sum de chaque virus, mais je crois que je vais le faire. -- It looked like something resembling white marble, which was probably what it was: something resembling white marble. -- Douglas Adams, The Hitchhikers Guide to the Galaxy
Re: [HS]Vous aussi, faites joujou avec Swen!
le Sun, 12 Oct 2003 14:31:41 +0200, Jean-Michel OLTRA [EMAIL PROTECTED] s'exprima en ces termes: Le dimanche 12 octobre 2003, Nicolas Rueff a écrit... bonjour, Ouaip, mon reverse le confirme. Ça me parait bourrin pourtant: c'est pas comme ça qu'il peut se faire discret. Il y a un outil sous Linux pour désassembler (essayer tout au moins...) ? objdump -x en apprend pas mal sur un binaire, strings sur les chaînes à l'intérieur, mais pour désassembler j'y suis aller depuis vmware + win$ + winice. /N - Debian User qui n'hésite pas à désassembler chez l'ennemi __ Nicolas Rueff [EMAIL PROTECTED] http://rueff.tuxfamily.org +33 6 77 64 44 80 -- Any given program, when running, is obsolete. __ pgpOY2PTXphvk.pgp Description: PGP signature
Re: [HS]Vous aussi, faites joujou avec Swen!
Le Sun, 12 Oct 2003 17:20:18 +0200, François TOURDE a écrit : Jusqu'à hier, Amavis arrivait à déterminer sans problème le domaine du vrai émetteur du message (à partir probablement du MAIL FROM: de SMTP), et j'en profitais pour prévenir l'ISP du souci. Sujet : (No subject) Date : 2003.10.09 02:14 De :MS Corporation Internet Security Section [EMAIL PROTECTED] À : Microsoft Customer [EMAIL PROTECTED] -- Return-Path:[EMAIL PROTECTED] -- Message-ID: [EMAIL PROTECTED] Delivered-To: [EMAIL PROTECTED] Received: (qmail 20580 invoked from network); 9 Oct 2003 00:16:13 - Received: from maynard.mail.mindspring.net (207.69.200.243) by mrelay1-2.free.fr with SMTP; 9 Oct 2003 00:16:13 - Received: from dialup-65.56.167.121.dial1.raleigh1.level3.net ([65.56.167.121] helo=cyykrve) by maynard.mail.mindspring.net with smtp (Exim 3.33 #1) id 1A7OSE-0005Yd-00; Wed, 08 Oct 2003 20:14:55 -0400 Je dirais que c'est le champ Return-Path, identique sur deux messages qui se suivent. nicolas patrois : pts noir asocial -- PEACE M : La guerre, ça amène la mort, les épidémie, la vermine... la souffrance, la destruction, la peur... P : ...Et les pacifistes !
Swen (encore lui)
Juste une heure après avoir poster un message avec comme adresse [EMAIL PROTECTED], j'ai déjà reçu 5 virus donc 1) Une personne au moins ayant regardé la liste en 11h29 et 13h24 est infectée 2) Si je ne reçois pas le message, je reçois cependant la notification du serveur de mail disant que user.avirer n'existe pas et mon antivirus est quand même sollicité. Ce message va servir de test pour savoir si effectivement une adresse contenant le nom spam n'est pas utilisée par Swen. François Boisson
Re: Swen (encore lui)
le Sat, 11 Oct 2003 14:59:05 +, François Boisson [EMAIL PROTECTED] s'exprima en ces termes: Juste une heure après avoir poster un message avec comme adresse [EMAIL PROTECTED], j'ai déjà reçu 5 virus donc 1) Une personne au moins ayant regardé la liste en 11h29 et 13h24 est infectée 2) Si je ne reçois pas le message, je reçois cependant la notification du serveur de mail disant que user.avirer n'existe pas et mon antivirus est quand même sollicité. Ce message va servir de test pour savoir si effectivement une adresse contenant le nom spam n'est pas utilisée par Swen. Par contre, ce matin j'ai inscrit un utilisateur bidon, sans poster: tjrs pas de sven en vue. /N __ Nicolas Rueff [EMAIL PROTECTED] http://rueff.tuxfamily.org +33 6 77 64 44 80 -- -- nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nb sp;= nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbs p;n= Ton firewall a des fuites !) -+- tT in Guide du Fmblien Assassin : firewall avec des élastiques là ? -+- __ pgpGpBlnB2hog.pgp Description: PGP signature
Re: Swen (encore lui)
le Sat, 11 Oct 2003 14:59:05 +, François Boisson [EMAIL PROTECTED] s'exprima en ces termes: Juste une heure après avoir poster un message avec comme adresse [EMAIL PROTECTED], j'ai déjà reçu 5 virus donc 1) Une personne au moins ayant regardé la liste en 11h29 et 13h24 est infectée 2) Si je ne reçois pas le message, je reçois cependant la notification du serveur de mail disant que user.avirer n'existe pas et mon antivirus est quand même sollicité. Ce message va servir de test pour savoir si effectivement une adresse contenant le nom spam n'est pas utilisée par Swen. François Boisson Autre constat après test: l'inscription simple (sans poster) ne provoque pas de réception de sven. /N __ Nicolas Rueff [EMAIL PROTECTED] http://rueff.tuxfamily.org +33 6 77 64 44 80 -- Au fait, l'interface Windows permet de faire plus de choses. On peut lancer 4 programmes. -- Jayce - Et ça ne fait que commencer -- __ pgpQlnVhS0Taz.pgp Description: PGP signature
Re: Swen (encore lui)
Le 12336ième jour après Epoch, François Boisson écrivait: Juste une heure après avoir poster un message avec comme adresse [EMAIL PROTECTED], j'ai déjà reçu 5 virus donc 1) Une personne au moins ayant regardé la liste en 11h29 et 13h24 est infectée Faux... Ton message a eu le temps de passer dans les archives, et dans les niouz-groupes. Donc TOUS les infectés de Swen peuvent potentiellement te renvoyer un virus. D'ailleurs, tu dis toi-même avoir reçu 5 virus, viennent-ils tous de la même machine ou du même ISP ? -- A child of five could understand this! Fetch me a child of five.
Re: Swen (encore lui)
On Sat, 11 Oct 2003 17:23:46 +0200 Nicolas Rueff [EMAIL PROTECTED] wrote: Par contre, ce matin j'ai inscrit un utilisateur bidon, sans poster: tjrs pas de sven en vue. j'aurais pu le dire, j'ai un ami qui écoute la liste depuis longtemps sans poster, et il m'a confirmé ne pas recevoir de virus... Il me semble fort probable/possible qu'un mécanisme d'archivage temps-réel (vu la réactivité de Sven) de la liste soit en cause. Peut-être simplement une passerelle de type mail/news... (vu la quantité d'info brassées *automatiquement*, une virus y passe largement inaperçu) Il faudrait avoir accès à la liste des inscrits, et pouvoir éliminer les adresses de ce type ... -- mailto:[EMAIL PROTECTED] debfr-faq : http://savannah.nongnu.org/download/debfr-faq/html/
Re: Swen (comment ne plus en recevoir!)
On Sat, 11 Oct 2003 17:23:46 +0200 Nicolas Rueff [EMAIL PROTECTED] wrote: le Sat, 11 Oct 2003 14:59:05 +, François Boisson [EMAIL PROTECTED] s'exprima en ces termes: Juste une heure après avoir poster un message avec comme adresse [EMAIL PROTECTED], j'ai déjà reçu 5 virus donc 1) Une personne au moins ayant regardé la liste en 11h29 et 13h24 est infectée 2) Si je ne reçois pas le message, je reçois cependant la notification du serveur de mail disant que user.avirer n'existe pas et mon antivirus est quand même sollicité. Ce message va servir de test pour savoir si effectivement une adresse contenant le nom spam n'est pas utilisée par Swen. Par contre, ce matin j'ai inscrit un utilisateur bidon, sans poster: tjrs pas de sven en vue. Bon, aucun virus reçus pour [EMAIL PROTECTED] Donc pour ne plus en recevoir (progressivement, les anciennes adresses mettront un peu de temps à partir), il suffit à chaque envoi de mail sur cette liste de donner comme adresse une adresse du type [EMAIL PROTECTED] au lieu de [EMAIL PROTECTED], les personnes voulant répondre enlèveront le .anti-spam (classique), visiblement, Swen n'envoit pas à ces adresses (je le constate en ce moment). L'inscription ou non sur la liste n'y est pour rien (un post à cette liste suffit, abonné ou non). Par ailleurs, ne tapez pas trop sur les fautifs sous Windows, Swen est pénible, la maladresse de certains est pénible à supporter (j'ai une moyenne de 250 virus par jour depuis 2 semaines) mais il ne faut pas trop déraper dans le Y'a qu'à se débarrasser des débutants!, ça n'est pas très sain... François Boisson
bug xawtv -- retour vers une version anterieure? etait: Re: Swen (comment ne plus en recevoir!)
||| François Boisson a écrit : On Sat, 11 Oct 2003 17:23:46 +0200 [...] Bon, aucun virus reçus pour [EMAIL PROTECTED] Donc pour ne plus en recevoir (progressivement, les anciennes adresses mettront un peu de temps à partir), il suffit à chaque envoi de mail sur cette liste de donner comme adresse une adresse du type [EMAIL PROTECTED] au lieu de [EMAIL PROTECTED], les personnes voulant répondre enlèveront le .anti-spam (classique), visiblement, Swen n'envoit pas à ces adresses (je le constate en ce moment). 1er essai avec la nouvelle adresse: bonjour à tous, il y a quelques mois, xawtv fonctionnait plutot bien, mais depuis un upgrade, j'ai un bug(*) et les rapports de bug ne m'ayant pas donné de solution, est il possible de revenir et comment dans une version de xawtv plus ancienne? y a t il une méthode pour cela? merci d'avance, patrice (*)$ xawtv This is xawtv-3.72, running on Linux/i686 (2.4.18) Warning: Missing charsets in String to FontSet conversion Warning: Cannot convert string -*-fixed-bold-R-*-*-*-120-*-*-*-*,-*-*-*-R-*-*-*-120-*-*-*-* to type FontSet Warning: Missing charsets in String to FontSet conversion Warning: Unable to load any usable fontset Warning: Missing charsets in String to FontSet conversion Warning: Unable to load any usable fontset Erreur de segmentation -- Le public de la télévision est composé de gens qui n'ont rien à faire regardant des gens en train de le faire. The penguin Dictionnary of jokes. F. Metcalf.
Re: Swen (comment ne plus en recevoir!)
Le samedi 11 octobre 2003, François Boisson a écrit... bonjour, Bon, aucun virus reçus pour [EMAIL PROTECTED] Donc pour ne plus en recevoir (progressivement, les anciennes adresses mettront un peu de temps à partir), il suffit à chaque envoi de mail sur cette liste de donner comme adresse une adresse du type [EMAIL PROTECTED] au lieu de [EMAIL PROTECTED], Je relaie ta mesure, et vu que j'en reçois la dose, ce sera vite vu. -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: Swen (comment ne plus en recevoir!)
Le 12336ième jour après Epoch, François Boisson écrivait: Bon, aucun virus reçus pour [EMAIL PROTECTED] Donc pour ne plus en recevoir (progressivement, les anciennes adresses mettront un peu de temps à partir), Un peu? J'ai changé mon adresse email il y a plus d'une semaine, et j'ai encore une majorité de mails sur mon ancienne :( ... Faut être patient. il suffit à chaque envoi de mail sur cette liste de donner comme adresse une adresse du type [EMAIL PROTECTED] au lieu de [EMAIL PROTECTED], les personnes voulant répondre enlèveront le .anti-spam (classique), visiblement, Swen n'envoit pas à ces adresses (je le constate en ce moment). Tu veux dire que seul le champ 'From:' est pris en charge par ce virus ? C'est déjà un bon point. Une info intéressante pour les prochains virus :) Par ailleurs, ne tapez pas trop sur les fautifs sous Windows, Swen est pénible, la maladresse de certains est pénible à supporter (j'ai une moyenne de 250 virus par jour depuis 2 semaines) mais il ne faut pas trop déraper dans le Y'a qu'à se débarrasser des débutants!, ça n'est pas très sain... Oui, c'est vrai. Ne les tuons pas. On pourra toujours les utiliser pour faire le ménage, la vaisselle, mais hors de question qu'un débutant s'approche encore d'un clavier... :))) -- How many priests are needed for a Boston Mass?
Re: Swen (comment ne plus en recevoir!)
le Sat, 11 Oct 2003 17:54:33 +, François Boisson Bon, aucun virus reçus pour [EMAIL PROTECTED] Donc pour ne plus en recevoir (progressivement, les anciennes adresses mettront un peu de temps à partir), il suffit à chaque envoi de mail sur cette liste de donner comme adresse une adresse du type [EMAIL PROTECTED] au lieu de [EMAIL PROTECTED], les personnes voulant répondre enlèveront le .anti-spam (classique), visiblement, Swen n'envoit pas à ces adresses (je le constate en ce moment). OK, je tente, on va voir. Je continue aussi avec l'adresse decoy, pour cerner le nombre d'infectés-à-l'insu-de-leur-plein-gré /N __ Nicolas Rueff [EMAIL PROTECTED] http://rueff.tuxfamily.org +33 6 77 64 44 80 -- Q. Why is this so clumsy? A. The trick is to use Perl's strengths rather than its weaknesses. -- Larry Wall in [EMAIL PROTECTED] __ pgpVrByepyUe7.pgp Description: PGP signature
Re: Swen (comment ne plus en recevoir!)
François TOURDE a écrit, samedi 11 octobre 2003, à 18:27 : Le 12336ième jour après Epoch, François Boisson écrivait: [...] Tu veux dire que seul le champ 'From:' est pris en charge par ce virus ? C'est déjà un bon point. Une info intéressante pour les prochains virus :) Non, dans la première bordée de Swens que j'ai reçue, il y avait environ 10% ciblant mon « lhh+deb », qui n'apparaît qu'ici (et chez quelques correspondants, mais pas juste après la rentrée) dans le Mail-Reply-To:. Il paraît même que certains Message-ID: seraient utilisés ... Une autre idée, peut-on utilement insérer un commentaire (no spam) dans une adresse ? [...] Oui, c'est vrai. Ne les tuons pas. On pourra toujours les utiliser pour faire le ménage, la vaisselle, mais hors de question qu'un débutant s'approche encore d'un clavier... :))) ... alors débranche d'abord le mulot :) -- Jacques L'helgoualc'h
[HS]Vous aussi, faites joujou avec Swen!
Salut, Non, ne jetez plus les innombrables exemplaires de Swen que vous recevez, et qui sont, malheureusement, inutilisables sur pauvre Debian. En effet, Swen trimbale avec lui une liste de seveur de news compressé. Comment la récupérer? C'est simple: Étape 1: Sauver l'attachement du courriel (swen.exe pour l'exemple) Étape 2: Copier la liste compressé dans un fichier (swen.news) dd bs=1 skip=100144 if=swen.exe of=swen.press Si le fichier swen.news ne commence pas par «SZDD», l'offset n'est pas bon, demerdez-vous pour le trouver. Étape 2: Récupérez le décompresseur: http://www.kyz.uklinux.net/downloads/xfd_SZDD.lha Décompresser cette archive (apt-get install lha), puis compiler sddexpand et finalement: sddexpand swen.news Étape 3: less swen.news Je vous laisse découvrir les *.proxad.net, *.nerim.net, ... qui me font penser que Swen mais à jour cette liste de serveur de news avec ceux qu'il a infecté. Vérifiez que votre liste est différente de la mienne pour confirmer cette hypothése (oui c'est ça le jeux, et oui je m'excuse de n'avoir qu'un Swen sous la main ;o) ). Le md5sum de mon swen.news: b953eb2b35353307d6e7da0f131ded90 swen.news @+ -- JabberID: [EMAIL PROTECTED] Pixar Animation Studios: Reality is not our business. Pixar's Toy Story $184,849,036 domestic, $117.5M overseas and counting. That makes it number 21 in box office figures of all films ever released. pgp1BNRnU7Nqv.pgp Description: PGP signature
Re: [HS]Vous aussi, faites joujou avec Swen!
Loïc Le Guyader a écrit : [...] Vérifiez que votre liste est différente de la mienne pour confirmer cette hypothése (oui c'est ça le jeux, et oui je m'excuse de n'avoir qu'un Swen sous la main ;o) ). Le md5sum de mon swen.news: b953eb2b35353307d6e7da0f131ded90 swen.news Je peux te forwarder ceux que je reçois, si tu veux :-D (plusieurs centaines sur le serveur SMTP, une dizaine dans mes BAL). Claude
Re: [HS]Vous aussi, faites joujou avec Swen!
Message de Loïc Le Guyader, le samedi 11 octobre : Je vous laisse découvrir les *.proxad.net, *.nerim.net, ... qui me font penser que Swen mais à jour cette liste de serveur de news avec ceux qu'il a infecté. je pense que c'est faux, tous mes swen ont la meme somme md5 (du moins les suivants, choisis avec de bons intervalles en date de reception) b09e26c292759d654633d3c8ed00d18d dgqbkztn.exe b09e26c292759d654633d3c8ed00d18d ecbbip.exe b09e26c292759d654633d3c8ed00d18d flegls.exe b09e26c292759d654633d3c8ed00d18d q287465.exe b09e26c292759d654633d3c8ed00d18d Q565129.exe b09e26c292759d654633d3c8ed00d18d Q653942.exe ben -- In a world without walls or fences, what use do we have for windows or gates?
swen a tué la liste ?
Salut. Depuis 3 jours plus aucun message sur la liste ? Amitiés debianesques. Dom _ Envie de discuter en live avec vos amis ? Télécharger MSN Messenger http://www.ifrance.com/_reloc/m la 1ère messagerie instantanée de France
Re: swen a tué la liste ?
Et pourtant... Le jeu 09/10/2003 à 07:59, Dominique Billard a écrit : Salut. Depuis 3 jours plus aucun message sur la liste ? Amitiés debianesques. Dom _ Envie de discuter en live avec vos amis ? Télécharger MSN Messenger http://www.ifrance.com/_reloc/m la 1ère messagerie instantanée de France
Re: swen a tué la liste ?
Salut, J'ai ce mail par les archives. Plus aucun mail dela liste depuis hier/ce matin. __ jm
Re: swen a tué la liste ?
Le 12334ième jour après Epoch, jean-michel OLTRA écrivait: Salut, J'ai ce mail par les archives. Plus aucun mail dela liste depuis hier/ce matin. Il est possible que murphy ait encore été blacklisté, comme c'est déjà arrivé par le passé. Je ne sais plus où aller voir et comment le dé-blacklister. Si une âme charitable pouvait aller voir ... -- He who renders warfare fatal to all engaged in it will be the greatest benefactor the world has yet known. -- Sir Richard Burton
[HS]Swen, one more time...
bonjour, J'ai envoyé un courriel à listmaster pour savoir pourquoi je ne recevais plus les mails de la liste. En attendant une éventuelle réponse, j'aimerais que, si il y a un gestionnaire de liste sur DUF, celui ci se penche sur mon cas pour savoir quelle en est la raison. Je subodore un remplissage d'espace de stockage sur ma bal d'Online, puisque depuis ce matin j'ai bien du recevoir une 50aine de Swen en tous genres sur cette bal et autant dans ma trappe à pourriels sur libertysurf. En tout cas, un coup de chapeau à l'auteur de cette cochonnerie ! merci, -- jean-michel
Re: [HS]Swen, one more time...
Le 12334ième jour après Epoch, jean-michel OLTRA écrivait: bonjour, J'ai envoyé un courriel à listmaster pour savoir pourquoi je ne recevais plus les mails de la liste. En attendant une éventuelle réponse, j'aimerais que, si il y a un gestionnaire de liste sur DUF, celui ci se penche sur mon cas pour savoir quelle en est la raison. Demande aussi à ton hébergeur de mail si ce n'est pas lui qui a blacklisté DUF ... En tout cas, un coup de chapeau à l'auteur de cette cochonnerie ! Bof... J'irais pas jusque là quand même. -- Note that if I can get you to \su and say\ something just by asking, you have a very serious security problem on your system and you should look into it. (By Paul Vixie, vixie-cron 3.0.1 installation notes)
Re: swen a tué la liste ?
On Thu, Oct 09, 2003 at 07:59:22AM +0200, Dominique Billard wrote: Salut. Depuis 3 jours plus aucun message sur la liste ? Amitiés debianesques. Dom Salut, Vous n'êtes plus sur la liste. - I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. For further assistance, please send mail to postmaster If you do so, please include this problem report. You can delete your own text from the message returned below. The Postfix program [EMAIL PROTECTED]: host smtp.ifrance.com[62.39.122.15] said: 550 Requested mail action not taken : mailbox full -- Cordialement, Pasc -- Pascal Hakim +61-403-411-672 Do not bend.
Re: Swen suite (et fin pour ma part)
On Sat, Sep 27, 2003 at 01:15:58PM +, François Boisson wrote: (ceci dit, rien n'empéche non plus le gestionnaire de la liste à mettre un filtre...) Il y en a probablement. Il y en a ne serait ce que le refus de tout courrier venant de quelqu'un ayant une adresse en [EMAIL PROTECTED] ou [EMAIL PROTECTED] ou [EMAIL PROTECTED] (Il ne faut s'appeler Gustave Postmaster apparemment). Il y a surement un filtre antivirus. François Boisson Il y a plusieurs filtres... -Le filtre anti-virus (et anti-anti-virus ;-) -Plusieurs filtres anti-spam Il y a 108 messages dans junk/debian-user-french pour Octobre. Il n'y a pas de chiffres pour Septembre, on a dût les enlever plus tôt que prévu, car murphy.debian.org avait plus de 4Gb de virus et de spam le 23 Septembre... Pour les addresses genre [EMAIL PROTECTED], on bloque avec procmail et le test FROM_DAEMON (man procmailrc) Pasc (Listmaster pour Debian) -- Pascal Hakim +61-403-411-672 Do not bend.
Re: [HS] Les virus de Swen ...
Le dim 05/10/2003 à 01:44, benoit a écrit : quelques dizaines par jour, plus je poste plus j'en recois dirait-on. Je confirme cela... Je n'en recevait plus que 2 ou 3 par jour, et depuis que j'ai répondu à cette discussion je commence à en recevoir une dizaine par heure :( -- Ghislain MARY [EMAIL PROTECTED]
Re: [HS] Les virus de Swen ...
quelques dizaines par jour, plus je poste plus j'en recois dirait-on. Je confirme cela... Je n'en recevait plus que 2 ou 3 par jour, et depuis que j'ai répondu à cette discussion je commence à en recevoir une dizaine par heure :( La solution que j'ai trouvé est de passer par usenet, car toutes (à confirmer ?) les listes de dedian sont présentes comme forum sur usenet et également présent sur groups.google.com, alors p'tre qu'il y a des bots qui passent leur temps à parcourir ces groups pour récupérer des listes d'emails. enfin ceci n'est qu'un supposition de ma part Yoann
Re: [HS] Les virus de Swen ...
GM Je confirme cela... Je n'en recevait plus que 2 ou 3 par jour, et depuis GM que j'ai répondu à cette discussion je commence à en recevoir une GM dizaine par heure :( Cela m'intrigue. J'ai pas posté depuis des lustres, j'ai rien à ajouter à la discussion, d'ailleurs. Mais je suis curieux de tenter cette même expérience... a+ Fred
Re:[HS] Le virus swen...
Bonjour! J'ai desactive le filtre de msn pour voir. Depuis les 5-6 dernieres heures, un seul. Donc beaucoup moins qu'il y a 5-6 jours ou c'etait 10 a 20 a l'heure. rhb _ MSN Messenger : discutez en direct avec vos amis ! http://messenger.fr.msn.ca/
Swen, Amavis-ng, Clamav et compagnie
Salut, Comme j'en avais marre de recevoir sans arrêt ces virus, j'ai hacké un peu Amavis pour qu'il puisse prévenir l'ISP de l'émetteur. J'avais remarqué que Amavis/Exim savaient bien récupérer le domaine qui sert à émettre les mails (Ou alors le virus est assez con pour le mettre correctement dans le 'MAIL FROM:'), j'ai donc créé un Notifier dans Amavis qui renvoie un message d'info à certaines adresses du domaine en question. Si il y a des amateurs, n'hésitez pas. Par contre, comme je ne connais pas Perl, et que Amavis-ng est entièrement écrit comme ça, il se peut que mon script ne soit pas très... propre... En tout cas, il fonctionne correctement à mon goût. -- Vegetarians beware! You are what you eat.
[HS] Les virus de Swen ...
Salut tout le monde. C'est juste pour un petit sondage: Êtes vous encore victimes de ce ~#{^` de virus en ce moment? Personnellement, je continue à en recevoir pas mal, mais le volume est grandement descendu. De l'ordre d'une centaine par jour tout de même. -- I would rather spend 10 hours reading someone else's source code than 10 minutes listening to Musak waiting for technical support which isn't. -- Dr. Greg Wettstein, Roger Maris Cancer Center
Re: [HS] Les virus de Swen ...
On Sat, Oct 04, 2003 at 01:11:47PM +0200, François TOURDE wrote: C'est juste pour un petit sondage: Êtes vous encore victimes de ce ~#{^` de virus en ce moment? À l'est rien de nouveau, 179 reçus pendant la nuit. /Y
Re: [HS] Les virus de Swen ...
Par chez moi, c'est plus que 2 ou 3 par jour, en sachant que j'ai dépassé la centaine pendant un moment... C'est juste pour un petit sondage: Êtes vous encore victimes de ce ~#{^` de virus en ce moment? -- Ghislain MARY [EMAIL PROTECTED]
Re: [HS] Les virus de Swen ...
On Sat, Oct 04, 2003 at 01:11:47PM +0200, François TOURDE wrote : Salut tout le monde. C'est juste pour un petit sondage: Êtes vous encore victimes de ce ~#{^` de virus en ce moment? Personnellement, je continue à en recevoir pas mal, mais le volume est grandement descendu. De l'ordre d'une centaine par jour tout de même. idem de mon coté ... -- I would rather spend 10 hours reading someone else's source code than 10 minutes listening to Musak waiting for technical support which isn't. -- Dr. Greg Wettstein, Roger Maris Cancer Center -- Pensez à lire la FAQ de la liste avant de poser une question : http://savannah.nongnu.org/download/debfr-faq/html/ To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Les virus de Swen ...
François TOURDE wrote: Salut tout le monde. C'est juste pour un petit sondage: Êtes vous encore victimes de ce ~#{^` de virus en ce moment? Personnellement, je continue à en recevoir pas mal, mais le volume est grandement descendu. De l'ordre d'une centaine par jour tout de même. Sur un PC particulier, environ 10 du virus et 5-6 de notification de virus dans les mails que je n'ai jamais envoyé : imaginé un monde sans Cro$oft.
Re: [HS] Les virus de Swen ...
Salut, François TOURDE wrote: Salut tout le monde. C'est juste pour un petit sondage: Êtes vous encore victimes de ce ~#{^` de virus en ce moment? Personnellement, je continue à en recevoir pas mal, mais le volume est grandement descendu. De l'ordre d'une centaine par jour tout de même. ça à pas mal diminué de mon côté sur ma BAL wanadoo (l'excellent swen deleter fait le ménage toutes les 15 mins ;) mais certains passe le filtre :( ) et quelques uns sur... hotmail Tjrs aucun filtre chez eux apparamment :/. A+, J8.
Re: [HS] Les virus de Swen ...
Le Sat 4/10/2003, Ghislain MARY disait Par chez moi, c'est plus que 2 ou 3 par jour, en sachant que j'ai dépassé la centaine pendant un moment... Bah chez moi ça baisse plus que 6/700 par jour, c'était monté à 5000 après la sortie du virus. -- Erwan
Re: [HS] Les virus de Swen ...
François TOURDE a écrit: Salut tout le monde. C'est juste pour un petit sondage: Êtes vous encore victimes de ce ~#{^` de virus en ce moment? Personnellement, je continue à en recevoir pas mal, mais le volume est grandement descendu. De l'ordre d'une centaine par jour tout de même. Un peu moins mais ça continue... -- L'avenir, c'est à l'avance qu'il faut y penser. R. Brautigan
Re: [HS] Les virus de Swen ...
De mon cote, cela a l'air de se calmer aussi: toutatis:~ grep From .*Sun /tmp/redir-virus | wc -l 70 toutatis:~ grep From .*Mon /tmp/redir-virus | wc -l 131 toutatis:~ grep From .*Tue /tmp/redir-virus | wc -l 102 toutatis:~ grep From .*Wed /tmp/redir-virus | wc -l 83 toutatis:~ grep From .*Thu /tmp/redir-virus | wc -l 100 toutatis:~ grep From .*Fri /tmp/redir-virus | wc -l 106 C'est quand meme mieux que des 500 ou 1000 par jour... :-) E. On Sat, 2003-10-04 at 08:19, pascal wrote: François TOURDE a écrit: Salut tout le monde. C'est juste pour un petit sondage: Êtes vous encore victimes de ce ~#{^` de virus en ce moment? Personnellement, je continue à en recevoir pas mal, mais le volume est grandement descendu. De l'ordre d'une centaine par jour tout de même. Un peu moins mais ça continue... -- L'avenir, c'est à l'avance qu'il faut y penser. R. Brautigan
Re: [HS] Les virus de Swen ...
Le samedi 04 octobre 2003, François TOURDE a écrit... bonjour, C'est juste pour un petit sondage: Êtes vous encore victimes de ce ~#{^` de virus en ce moment? Après mise en place de quelques filtres sur ma bal Online, je ne suis pas trop enquiquiné, mais je dois faire une ouverture par le web de la bal avant lancement de Mutt pour que les filtres soient activés. Swendeleter en laisse trop pour mon modem. -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: [HS] Les virus de Swen ...
le Sat, 04 Oct 2003 13:11:47 +0200, [EMAIL PROTECTED] (François TOURDE) s'exprima en ces termes: Salut tout le monde. C'est juste pour un petit sondage: Êtes vous encore victimes de ce ~#{^` de virus en ce moment? Personnellement, je continue à en recevoir pas mal, mais le volume est grandement descendu. De l'ordre d'une centaine par jour tout de même. Stable à 40 / jour. /N __ Nicolas Rueff [EMAIL PROTECTED] http://rueff.tuxfamily.org +33 6 77 64 44 80 -- As far as we know, our computer has never had an undetected error. -- Weisert __ pgpQzggyIy6o4.pgp Description: PGP signature