Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

O.Fournier

Virus Netsky.P encore

Messages recommandés

B'Jour tous,

 

Bien que l'arrosage massif des virus se calme (sans les folies prédites vers les 12-14/04) Netsky.P est encore diffusé en masse.

 

Une variante actuelle mérite l'attention : la pièce jointe a l'apparence d'un banal fichier TEXTE mais en fait c'est un .EXE (ce suffixe est décalé, donc invisible ou peu visible).

 

Exemple ci-dessous (en rouge le titre de la pièce jointe) :

From - Thu Apr 15 16:24:02 2004

X-UIDL: 789

X-Mozilla-Status: 0000

X-Mozilla-Status2: 00000000

Return-Path: <noreply@paypal.com>

Received: from libertysurf.fr (195.220.92.105) by mail.libertysurf.net (6.5.036)

        id 407CD36D00363261 for xxxxxxxxx@libertysurf.fr; Thu, 15 Apr 2004 16:00:27 +0200

Message-ID: <407CD36D00363261@mail04.pds.libertysurf.fr> (added by postmaster@libertysurf.fr)

From: noreply@paypal.com

To: xxxxxxxxxxx@libertysurf.fr

Subject: Congratulations!

Date: Thu, 15 Apr 2004 15:57:41 +0200

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0016----=_NextPart_000_0016"

X-Priority: 3

X-MSMail-Priority: Normal

 

This is a multi-part message in MIME format.

 

------=_NextPart_000_0016----=_NextPart_000_0016

Content-Type: text/plain;

charset="Windows-1252"

Content-Transfer-Encoding: 7bit

 

Your bill is attached to this mail.

 

 

------=_NextPart_000_0016----=_NextPart_000_0016

Content-Type: application/octet-stream;

name="confirm.txt                                                                  .exe"

Content-Transfer-Encoding: base64

Content-Disposition: attachment;

filename="confirm.txt                                                                  .exe"

 

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAYAAAAA4fug4AtAnNIbgBTM0hV2luZG93cyBQcm9ncmFtDQokUEUAAEwBAwAAAAAA

AAAAAAAAAADgAA8BCwEAAAAEAAAAcgAAAAAAAAAgAQAAEAAAACAAAAAAQAAAEAAAAAIAAAQA

.... (suite code Netsky.P effacée par OF)

 

En passant on notera que le faux serveur utilisé pour la diffusion, libertysurf, est en fait TISCALI depuis plus d'un an ...

 

() En repassant on notera aussi que le faux envoyeur (Paypal très connu !) peut induire en erreur le receveur qui se demandera ce qu'il a pu payer (bill = facture) ??? Et donc voudra savoir en ouvrant la pièce ! Vicieux, non ? :P

 

Sauf que ça vient des USA ! Les cons ils ne parlent ni français, ni espagnol, ni italien, ni ... !!!!

 

() RE-RE en repassant : noter aussi que les guillemets permettent les nombreux intervalles dans le nom long (LFN) du fichier (ici "confirm.txt ... .exe" !).

Modifié par O.Fournier

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Olivier, bonsoir à tous,

 

Oui, c'est vicieux ! j'avais lu çà lorsque SecUser a sorti l'alerte !

 

Parfois nous, Français, on peut penser que la langue anglaise fréquemment utilisée dans ces spams virussés est facilement repérée et on ne se laisse pas prendre ! et on plaint les anglais qui pourraient trouver celà plus naturel et plus piégeux !

En réalité, les quelques mots en Anglais comportent souvent des erreurs qui font que les Anglais les repèrent aussi... même un Anglais/Américain avec un "langage de la rue" fait beaucoup d'erreurs mais pas celles là !

Ainsi j'ai reçu aujourd'hui un message dont l'objet était "your are naked?" un Américain n'écrirait pas çà !

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×