Worm.SomeFool.Gen-1 (??)

[O.Fournier]

Re-B'jour,

 

Je viens de me ramasser ça dans ma boite "spéciale n'importe quoi" (connue et publiée partout, excellent !).

 

From - Tue May 11 13:32:12 2004

X-UIDL: 1084264942.22063.mrelay3-1

X-Mozilla-Status: 0001

X-Mozilla-Status2: 00000000

Return-Path: <>

Delivered-To: [email protected]

Received: (qmail 21923 invoked from network); 11 May 2004 08:42:21 -0000

Received: from unknown (HELO hiphop.mediaserv.net) (213.188.164.24)

  by mrelay3-1.free.fr with SMTP; 11 May 2004 08:42:21 -0000

Received: from phoenix.mediaserv.net (phoenix.mediaserv.net [213.188.164.9])

by hiphop.mediaserv.net (8.12.8p1/8.12.6) with ESMTP id i4B8g0R3030534

for <[email protected]>; Tue, 11 May 2004 04:42:00 -0400

Received: from localhost (phoenix [127.0.0.1])

by phoenix.mediaserv.net (Postfix) with ESMTP id 1D3ED112665

for <[email protected]>; Tue, 11 May 2004 04:42:16 -0400 (AST)

MIME-Version: 1.0

Subject: VIRUS (Worm.SomeFool.Gen-1) IN MAIL FROM YOU

In-Reply-To: <[email protected]>

Message-Id: <VS24989-168@phoenix>

Content-Type: multipart/report; report-type=delivery-status;

    boundary="----------=_1084264936-24989-59"

From: amavisd-new <[email protected]>

To: <[email protected]>

Date: Tue, 11 May 2004 04:42:16 -0400 (AST)

 

This is a multi-part message in MIME format...

 

------------=_1084264936-24989-59

Content-Type: text/plain; charset="iso-8859-1"

Content-Disposition: inline

Content-Transfer-Encoding: 7bit

 

VIRUS ALERT

 

Our content checker found

    virus: Worm.SomeFool.Gen-1

    banned name: document_4351.pif

in email presumably from you (<[email protected]>), to the following recipient:

-> [email protected]

 

Please check your system for viruses,

or ask your system administrator to do so.

 

Delivery of the email was stopped!

 

 

For your reference, here are headers from your email:

------------------------- BEGIN HEADERS -----------------------------

Return-Path: <[email protected]>

Received: from nplus.gf (dyn-83-157-151-30.ppp.tiscali.fr [83.157.151.30])

by phoenix.mediaserv.net (Postfix) with ESMTP id 7C1C9112736

for <[email protected]>; Tue, 11 May 2004 04:42:11 -0400 (AST)

From: [email protected]

To: [email protected]

Subject: Re: Re: Re: Your document

Date: Tue, 11 May 2004 10:41:54 +0200

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0001_00005531.00001449"

X-Priority: 3

X-MSMail-Priority: Normal

Message-Id: <[email protected]>

-------------------------- END HEADERS ------------------------------

 

------------=_1084264936-24989-59

Content-Type: message/delivery-status

Content-Disposition: inline

Content-Transfer-Encoding: 7bit

Content-Description: Delivery error report

 

Reporting-MTA: dns; phoenix

Received-From-MTA: smtp; phoenix.mediaserv.net ([127.0.0.1])

Arrival-Date: Tue, 11 May 2004 04:42:16 -0400 (AST)

 

Final-Recipient: rfc822; [email protected]

Action: failed

Status: 5.7.1

Diagnostic-Code: smtp; 550 5.7.1 Message content rejected, id=24989-168 - VIRUS: Worm.SomeFool.Gen-1

Last-Attempt-Date: Tue, 11 May 2004 04:42:16 -0400 (AST)

 

------------=_1084264936-24989-59

Content-Type: text/rfc822-headers

Content-Disposition: inline

Content-Transfer-Encoding: 7bit

Content-Description: Undelivered-message headers

 

Received: from nplus.gf (dyn-83-157-151-30.ppp.tiscali.fr [83.157.151.30])

by phoenix.mediaserv.net (Postfix) with ESMTP id 7C1C9112736

for <[email protected]>; Tue, 11 May 2004 04:42:11 -0400 (AST)

From: [email protected]

To: [email protected]

Subject: Re: Re: Re: Your document

Date: Tue, 11 May 2004 10:41:54 +0200

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0001_00005531.00001449"

X-Priority: 3

X-MSMail-Priority: Normal

Message-Id: <[email protected]>

 

------------=_1084264936-24989-59--

 

Le plus marrant c'est que mon log me signale 2 pièces : "partie 1-2 et partie 2-3" qui sont absentes !

 

Inconnu dans les signatures récentes des AV habituels.

 

Désolé pas le temps de chercher, mais s'il y en a que ça intéresse ...

Modifié le 11 mai 2004 par tesgaz

[Gen]

Le Ver.UnPeuFou.Gen

[Y@kuz@]

Y'a une récompense pour désigner l'auteur ? parce que là j'ai une piste sérieuse

 

Salut O.Fournier, après je vais t'écouter dire que tu recois plein de virus et spams , laisser même un mail "fourre-tout" est pas prudent , à moins que ce soit le but ... afin de tester ta sécurité.

Modifié le 11 mai 2004 par Y@kuz@

[_Michel_]

Salut,

 

Il s'agit d'un autre nom pour NetSky-B : http://www.sophos.com/virusinfo/analyses/w32netskyb.html

 

Il cherche les adresses e-mails présentes sur l'ordinateur infecté, s'envoie à l'une de ces adresses et met comme expéditeur une autre des adresses qu'il a récoltées. Jamais l'expéditeur véritable bien sûr. Ton mail est donc présent sur une machine contaminée.

 

Certaines boîtes de réception ont un antivirus qui scanne tout courrier arrivant (entreprises par exemple). Le logiciel peut être réglé pour indiquer à l'expéditeur par mail qu'il est contaminé le cas échéant. Evidemment ça ne sert à rien d'autre ici qu'à encombrer le réseau. C'est exactement ce qui t'es arrivé.

 

L'adresse ip de la personne contaminée au moment de la réception du mail infecté par phoenix.mediaserv.net (qui t'envoie ce mail apparemment) était 83.157.151.30 (Tiscali, dynamique). C'est tout ce qu'on peut dire je crois.