Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ipl_001

Spoofing de nom de fichier !!!

Messages recommandés

Bonsoir à tous,

 

Je reçois aujourd'hui dans ma boîte, un message avec un fichier joint qui comporte un nom que je n'ai jamais vu !

 

J'ai Outlook Express 6 : en apparence, le fichier s'appelle "read it immediately (26.2 Ko)" et, en réalité, son nom est "important_auction.pif"

 

De : Mail Delivery System <MAILER-DAEMON@minitel.net>

Objet : Undelivered Mail Returned to Sender

 

Voici le contenu (intrigant) :

X-Apparently-To: delindex40@yahoo.fr via 216.109.117.233; Thu, 29 Apr 2004 11:41:28 -0700

X-YahooFilteredBulk: 193.252.91.23

Return-Path: <>

Received: from 193.252.91.23  (EHLO smtp6.minitel.net) (193.252.91.23)

  by mta237.mail.scd.yahoo.com with SMTP; Thu, 29 Apr 2004 11:41:23 -0700

Received: by smtp6.minitel.net (Postfix) via BOUNCE

id 3455810287; Thu, 29 Apr 2004 20:40:41 +0200 (MET DST)

Date: Thu, 29 Apr 2004 20:40:41 +0200 (MET DST)

From: MAILER-DAEMON@minitel.net (Mail Delivery System)

Subject: Undelivered Mail Returned to Sender

To: delindex40@yahoo.fr

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="71633103B8.1083264041/smtp6.minitel.net"

Message-Id: <20040429184041.3455810287@smtp6.minitel.net>

 

This is a MIME-encapsulated message.

 

--71633103B8.1083264041/smtp6.minitel.net

Content-Description: Notification

Content-Type: text/plain

 

                        --------------------------------

                          CECI EST UN MESSAGE D'ERREUR

                        --------------------------------

                            THIS IS AN ERROR MESSAGE

                        --------------------------------

 

This is the Postfix program at host smtp6.minitel.net.

 

I'm sorry to have to inform you that the message returned

below could not be delivered to one or more destinations.

 

For further assistance, please contact <postmaster@minitel.net>

 

If you do so, please include this problem report. You can

delete your own text from the message returned below.

 

The Postfix program

 

<lekiosque@fth.net>: host mx.fteb.net[193.252.85.12] said: 550 Error: Message

    content rejected

 

--71633103B8.1083264041/smtp6.minitel.net

Content-Description: Undelivered Message

Content-Type: message/rfc822

 

Received: by smtp6.minitel.net (Postfix)

id 71633103B8; Thu, 29 Apr 2004 20:40:31 +0200 (MET DST)

Delivered-To: lekiosque@minitel.net

Received: from minitel.net (Mix-Caen-111-3-149.w80-9.abo.wanadoo.fr [80.9.118.149])

by smtp6.minitel.net (Postfix) with ESMTP id 21A84FE8E

for <lekiosque@minitel.net>; Thu, 29 Apr 2004 20:40:07 +0200 (MET DST)

From: delindex40@yahoo.fr

To: lekiosque@minitel.net

Subject: read it immediatelly

Date: Thu, 29 Apr 2004 20:56:07 +0200

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0007_0000327C.00005DB9"

X-Priority: 3

X-MSMail-Priority: Normal

Message-Id: <20040429184007.21A84FE8E@smtp6.minitel.net>

 

This is a multi-part message in MIME format.

 

------=_NextPart_000_0007_0000327C.00005DB9

Content-Type: text/plain;

charset="Windows-1252"

Content-Transfer-Encoding: 7bit

 

let it!

 

------=_NextPart_000_0007_0000327C.00005DB9

Content-Type: application/octet-stream;

name="important_auction.pif"

Content-Transfer-Encoding: base64

Content-Disposition: attachment;

filename="important_auction.pif"

 

etc. (fichier)

Comment l'objet du message initial est-il devenu le nom de fichier ?

Partager ce message


Lien à poster
Partager sur d’autres sites

B'Soir tous, Salut Gérard-IPL_001,

 

le nom du virus/ver ? (Si tu l'as scanné). Les 3 premières lignes du code de ton .PIF ?

 

Me semble bien que j'ai déjà vu un truc de ce genre ... Cela ressemble à la lignée des Netsky avec des fichiers .PIF assez légers (10-35 Ko).

 

On notera que le HELO xxxxx.xxx habituel est devenu " EHLO smtp6.minitel.net)"

Modifié par O.Fournier

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Olivier, bonsoir à tous,

le nom du virus/ver ?  (Si tu l'as scanné).  Les 3 premières lignes du code de ton .PIF ?
Il s'agit de I-Worl/Netsky.C

 

3 premières lignes : filename="important_auction.pif"

 

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAuAAAAGsiX1YvQzEFL0MxBS9DMQWsXz8FI0MxBcdcOwU0QzEFL0MwBXBDMQWsS2wF

IkMxBcdcOgUqQzEFl0U3BS5DMQVSaWNoL0MxBQAAAAAAAAAAQ29tcHJlc3NlZCBieSBQZXRp

Partager ce message


Lien à poster
Partager sur d’autres sites
...en apparence, le fichier s'appelle "read it immediately (26.2 Ko)" et, en réalité, son nom est "important_auction.pif"...

Comment l'objet du message initial est-il devenu le nom de fichier ?

Je ne vois rien d'anormal, le titre du mail est "read it immediately" et comporte un fichier attaché "important_auction.pif". Il n'y a aucun lien entre le titre d'un mail et son contenu.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Clafouti, bonsoir à tous,

... Je ne vois rien d'anormal, le titre du mail est "read it immediately" et comporte un fichier attaché "important_auction.pif". Il n'y a aucun lien entre le titre d'un mail et son contenu.
Oui, le fichier ne devrait pas porter ce nom là ! c'est bien pour çà que j'ai lancé cette discussion !

En fait, le créateur du virus a stocké l'email lui-même (avec son fichier joint) comme attachement, voilà pourquoi le "nom du fichier" est le nom de l'email... en regardant de plus près (ce n'est pas affiché), le fichier joint -infecté- est un .eml, c'est à dire un message ! avec cette combine, on peut mettre n'importe quel nom et aucune extension !

Partager ce message


Lien à poster
Partager sur d’autres sites

Je ne pense pas que ce soit ça. C'est beaucoup plus simple : à la base, il y a une personne X (que nous ne connaissons pas) infectée par un virus. Ce virus s'est envoyé à tous les correspondants du carnet d'adresse de cette personne. Le virus est vicieux et au lieu de mettre comme expéditeur l'adresse de monsieurs X, il a pris una adresse e-mail quelconque, et, pas de chance, il s'est expédié avec TON adresse e-mail en guise d'expéditeur. Le contenu du mail, généré par le virus est "Let it" et est accompagné du virus lui-même en pièce attachée ("important_auction.pif"). Le mail ainsi généré arrive sur le serveur "smtp6.minitel.net" qui détecte le virus ("550 Error: Message content rejected"). Le serveur décide alors d'avertir ce qu'il croit être l'expéditeur (toi en l'occurence) et t'envoie un mail signalant le rejet ("I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations."), et joint le mail d'origine (contenant le virus) en pièce attachée (=fichier .eml).

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci Clafouti !

 

Tu dois avoir raison ! Avec tous ces messages truqués, j'en viens à oublier que "I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations." pourrait être vrai ! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Les vraies réponses des serveurs (si ils sont bien configurés) sont de renvoyé un message d'erreur mais sans le virus (ou fichier attaché).

Dans le cas d'une réponse "sorry, etc " c'est que c'est le virus lui meme qui envoie le mail en se faisant passer pour un mail d'erreur de distribution.

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×