Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Myki

[Météo] Pluie de virus fin mars sur la France..

Messages recommandés

Virus, cuvée exceptionnelle fin mars

Marc Olanié 26/03/2004

 

Les giboulées virales sont abondantes, en cette fin de mois. La 16ième (déjà !) version mutante de Netsky a vu le jour durant le week-end dernier, et encombre, avec un rythme soutenu, nos « inbox », parvenant parfois à égaler le débit des spammeurs. 16ième.. c’est vite dit. 17ième même, estime Kaspersky qui lui offre la lettre Q en guise d’immatriculation*. Description à lire avec attention, cette dernière édition semblant de plus en plus sophistiquée. Idem pour son concurrent Baggle, qui fait, toujours chez Kaspersky, l’objet d’une   qui date du début de l’année  - Mydoom donc se défend toujours bien. Ce serait même lui qui serait   parvenu à faire tomber le site de la RIAA, estime le rédacteur du Viruslist. Nous nous étions permis d’émettre cette hypothèse avant-hier déjà... les réactions des pirates sont parfois tellement prévisibles.

 

Restons encore un tout petit instant chez Kaspersky pour parcourir distraitement le papier d’humeur « Witty just is’nt funny » pour rebondir et entamer la lecture d’une analyse absolument passionnante sur la propagation de ce casseur de gateway ISSpublié conjointement par le Caida (des barbus également, mais plus dans le style ZZ-Top) et le département calcul de l’UCSD (systèmes pileux et informatiques aussi bien développés les uns que les autres). On ne peut en conclure qu’une chose : si les sudistes d’ISS avaient été aussi nombreux que les nordistes de Cisco, et ben Internet, il aurait bel et bien pris la pâtée. Notons au passage que, sans toutefois atteindre les niveaux glorieux du marché américain, le déploiement en France du virus Witty –donc la santé du marché ISS en nos contrées- semble loin d’être nulle. Un argument sérieux pour NetAsq ?

 

Rappelons que la première analyse détaillée a été émise par Matt Murphy  (in CSO du 24 courant ). Le Lurhq y va aussi de son descriptif , et fait remarquer que Witty est, en partie, écrit un peu à la diable, puisqu’il accède directement au disque. Si, par malheur, l’on travaille avec une architecture Raid légèrement ésotérique et que l’on se protège avec un logiciel ISS exploitant une version très spécifique de la dll iss-pam1, le recours à un bon backup est pratiquement obligatoire. Fermons le ban Witty.

 

Et tirons un obus de 105 sur lambulance Yahoo qui, signale triomphalement notre confrère Network World, vient de combler la faille ouvrant une possibilité d’attaque en cross site scripting. Il était temps, l’on commençait à voir apparaître sur deux ou trois « rings » de hack, la méthode détaillée d’exploitation du défaut dénoncé par GreyMagic. Ce qui laisserait à penser que l’assertion émise en fin d’article ( Yahoo does not know of any users who were affected by the vulnerability) doit sérieusement être prise avec des pincettes.

 

* Si les chasseurs de virus persistent dans cette voie, il sera plus difficile de désigner précisément une infection qu’une version de DLL Windows ou qu’un code SourceForge. A quand les dénominations du genre « Frodo U-1.3.2 Beta 4 (BWV 414, Köchel 23, Symantec 1694 ) » ?

 

Source Reseaux & Telecom

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Je recois tout les jours en ce moment, plusieurs fois même, des virus sur ma boite mail Yahoo...

Heureusement, j'utilise foxmail, et il ne se déclenche pas qd je les reçois...

Partager ce message


Lien à poster
Partager sur d’autres sites

B'Jour,

 

la réponse ?

 

Ben la v'là (en rouge et pourtant c'est seulement Netsky.D ->euh = mutant) :

From - Tue Mar 30 20:21:58 2004

X-UIDL: 759

X-Mozilla-Status: 0018

X-Mozilla-Status2: 00000000

Return-Path: <roussel@inserm484.u-clermont1.fr>

Received: from libertysurf.fr (193.48.240.102) by mail.libertysurf.net (6.5.036)

        id 406438C6007DED62 for xxxxxxxxxxxxx@libertysurf.fr; Tue, 30 Mar 2004 18:02:28 +0200

Message-ID: <406438C6007DED62@mail02.pds.libertysurf.fr> (added by postmaster@libertysurf.fr)

From: roussel@inserm484.u-clermont1.fr

To: xxxxxxxxxxx@libertysurf.fr

Subject: Re: Status

Date: Tue, 30 Mar 2004 16:40:52 +0200

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0016----=_NextPart_000_0016"

X-Priority: 3

X-MSMail-Priority: Normal

 

This is a multi-part message in MIME format.

 

------=_NextPart_000_0016----=_NextPart_000_0016

Content-Type: text/plain;

charset="Windows-1252"

Content-Transfer-Encoding: 7bit

 

Please read the attachment to get the message.

 

+++ Attachment: No Virus found

+++ Kaspersky AntiVirus - www.kaspersky.com

 

------=_NextPart_000_0016----=_NextPart_000_0016

Content-Type: application/octet-stream;

name="message.pif"

Content-Transfer-Encoding: base64

Content-Disposition: attachment;

filename="message.pif"

 

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAYAAAAA4fug4AtAnNIbgBTM0hV2luZG93cyBQcm9ncmFtDQokUEUAAEwBAwAAAAAA

u0iLQtw3RacRF3hi1rJE57c81xlkUSrw6jiJUy0buzy31U6q/Yae4eOFBwtma+woRLyEM9dG

etc ... (coupé par O.F.)

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Myki, tangui, Olivier, bonsoir à tous,

Je recois tout les jours en ce moment, plusieurs fois même, des virus sur ma boite mail Yahoo...

Heureusement, j'utilise foxmail, et il ne se déclenche pas qd je les reçois...

LOL

Chez moi non plus, même avec Outlook Express et même quand j'ouvre l'e-mail (pas le fichier) ! pourquoi voudrais-tu qu'il se déclenche ? ce n'est pas un virus qui infecte par affichage Html (Javascript ou autre).

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×