Nombre impressionnants de virus !

csangouard · 20 Août 2003

On sent que le Msblast.exe a fait son chemin !

Des mails vérolés avec des .pif en pièces jointes par dizaines aujourd'hui... C'est pareil chez vous ?

Fort heureusement, je n'utilise que mon webmail, donc aucun risque de virus, mais c'est impressionnant !

Monique · 20 Août 2003

Bonjour,

Je n'ai pas vraiment compté, mais depuis ce matin j'ai reçu pas loin de 100 mails infectés de W32.Sobig.F@mm. !!!
Un virus apparu hier... heureusement que Norton a réagi immédiatement, la mise à jour a eu lieu le jour même.

Amicalement,
Monique

Olivier · 20 Août 2003

Idem pour moi

Bonjour,

Idem pour moi

peut etre une solution, j'ai fais un petit script qui efface les mails... :

La variable $valid est la liste des adresses autorisées (il est possible de la creer sous la forme d'un fichier annexe, .... ;-) )

Connexion par IMAP sur le port 143, ce code source efface tous les messages dont les adresses ne sont pas dans la liste.

A lancer par une tache CRON par exemple

Code:

<?php
$server = "xxx.xxx.xxx.xxx";
$login = "xxxx";
$password = "xxxx";

$valid = array ( "mailbox1@host1", "mailbox2@host2" ); 

$mbox = imap_open ("{".$server.":143}", $login, $password);
$nb = imap_num_msg($mbox);
for ( $i=$nb ; $i >= 1 ; $i-- ) {
unset ($act);
$overview = imap_header ($mbox, $i);
$mailbox = $overview->from[0]->mailbox;
$host = $overview->from[0]->host;
$msgno = $overview->Msgno;
$email = strtolower($mailbox."@".$host);
for ( $j=0 ; $j < count($valid) ; $j++ ) { if ( strtolower($valid[$j]) == $email ) { $act = 1; } }
if (!$act) { imap_delete($mbox, $msgno); }
}
imap_close($mbox, CL_EXPUNGE);
?>

Amicalement

Olivier FABRE
www.podologie.fr

Cherche hebergeur désesperement qui accepte plus de 45000 hits/jours....

zehunter · 20 Août 2003

<encens ON>
gloire a toi linux !!!
</encens OFF>

Olivier · 20 Août 2003

j'ai un FreeBSD 5.1 + un XP pro + pc portable XP pro en WiFi, on ne peut pas se passer totalement de Microsoft.... j'ai essayé pourtant... il y a des applications qui ne tournent que sous win32 et des périphériques aussi qui ne tournent que sous win32 ....

de plus Win XP fonctionne nickel maintenant ;-)

moutyk · 20 Août 2003

Salut moi aussi 1 centaine de mails contaminés aujourd'hui :twisted: :twisted:

Objet : "Thank you" "My details" "your application"

Texte : Please see the attached file for details.

Et le fichier joint : application.pif et un tas d'autres .pif

Vive le web !

Bye ++

lolilol · 20 Août 2003

ouf je suis pas le seul...

Le pire.... c'est qu'une fois que vitre mail est sur un SITE.... c'est fini!!!!!

Kmacleod · 20 Août 2003

Il faut juste trouver le bon lecteur de messagerie qui permet de voir le titre sans ouvrir le mail (supprimer par exemple les apercus - qui ouvrent bien pour lire)
Avec tout les mails recus, même pas infecté et sans anti virus.
Faut dire que les mails en anglais, je ne les ouvre pas.
Les FW ou re à quelqu'un que j'ai pas ecrit, c'est louche
Ceux ou mon nom est dans le titre, c'est déjà au moins du spam
De bon outils (netscape ou une messagerie sur le web plsutot que sur le disue dur) et un peu de jugeote.
Mais ç a n'enpèche pas les mails d'arriver :evil:

Olivier · 21 Août 2003

ils font pas mal de degats ces virus.... maintenant la grande mode : SPAM viral avec comme adresse d'envoi a soi meme et a d'autre personne SA PROPRE ADRESSE MAIL, histoire de bien se faire emmerdé par la suite

je recupère plein de mail refusés avec mon adresse comme adresse d'envoi et comme j'utilise mon propre serveur SMTP je remarque bien que c'est pas moi qui les envoie

sympa non ?

HDClic · 21 Août 2003

Petit soft sympa pour récuperer ses mails sans se faire viruser,
il permet de tout simplement lire la source de l'email sans devoir tous les télécharger, ainsi, vous pouvez faire le tri directement sur le server de mail a partir d'une interface simple a comprendre.

Mail magic h**p://www.geeba.org/magic/

Olivier · 21 Août 2003

tu peux aussi utiliser Telnet pour faire cela

herveG · 21 Août 2003

hier environ 30 mails me reviennent en erreur egalement comme si j avais envoyé des pieces jointes contaminées : "nous n avons pas pu delivrer votre message a machin car votre courier etait contaminé".....

ActuCritique · 21 Août 2003

Comme tlm je suis écoeuré par ces mails (700 hier soir).

HDClic a dit:
Petit soft sympa pour récuperer ses mails sans se faire viruser,
il permet de tout simplement lire la source de l'email sans devoir tous les télécharger, ainsi, vous pouvez faire le tri directement sur le server de mail a partir d'une interface simple a comprendre.

Mail magic h**p://www.geeba.org/magic/

Pas mal ton soft, mais il fait pas les filtres (ou j'ai pas trouvé), qq1 aurait le meme type de soft avec en plus une fonctionnalité filtre permettant la suppression automatique des mails contenant dans le titre "Approved", "Movie", "Sceensaver", "Thank you"...

HDClic · 21 Août 2003

non effectivement, il n'a pas la fonctionnalité de filtre, mais l'avantage, c que tu vois aussitot les objets des messages et peux les deleter directement sur ton serveur Pop

Mirgolth · 21 Août 2003

ActuCritique a dit:
Pas mal ton soft, mais il fait pas les filtres (ou j'ai pas trouvé), qq1 aurait le meme type de soft avec en plus une fonctionnalité filtre permettant la suppression automatique des mails contenant dans le titre "Approved", "Movie", "Sceensaver", "Thank you"...

Salut,

Perso, j'ai abandonné OE il y a 3 semaines pour The Bat!. Je pense qu'il satisfera tous tes besoins en terme de filtres, suppression de mails directement sur le serveur ou encore de modèles de mails !

Mirgolth

Mirgolth · 21 Août 2003

Edit: Double post...

Olivier · 21 Août 2003

j'ai realisé à l'instant un petit prog (qui a moi est très utile) :

je vais rajouter des filtres...

Lecture et Affichage des Headers, possibilité d'effacer en masse, etc...

il existe d'autre programmes deja compilés, mais celui ci est en php.

certe on peut aussi utiliser telnet pour effacer les emails,

mais la je voulais créer moi même un petit prog (par amusement, par fun...)

je vous le livre, et dites moi ce que vous en pensez :

Code:

<?

$email = "votre.adresse@email.fr";

$server = "pop.wanadoo.fr";

$login = "xxxxx";

$password = "xxxxx";




$mbox = imap_open ("{".$server.":110/pop3}", $login, $password);

$nb = imap_num_msg($mbox);




if ($exit == "valid") { 

for($i=$nb; $i >= 1; $i--) { 

if ($clr[$i] == 1) { imap_delete($mbox, $i); } 

}

imap_close($mbox, CL_EXPUNGE);

?><center><font color=#006699 face=Verdana, Arial, Helvetica><br><b>Veuillez patienter....</b><meta http-equiv="refresh" content="0;url=index.php"><? 

exit;

}


function display_ext($df_size)
{ 
if($df_size >= 1073741824)
 	{
        $df_ext = "Go";
	}
elseif($df_size >= 1048576)
	{
        $df_ext = "Mo";
	}
elseif($df_size >= 1024)
	{
        $df_ext = "Ko";
	}
else	{
        $df_ext = "Bytes";
	}

return $df_ext;
}



function display_size($df_size)
{ 
if($df_size >= 1073741824)
 	{
        $df_size = round($df_size / 1073741824 * 100) / 100;
	}
elseif($df_size >= 1048576)
	{
        $df_size = round($df_size / 1048576 * 100) / 100;
	}
elseif($df_size >= 1024)
	{
        $df_size = round($df_size / 1024 * 100) / 100;
	}
else	{
        $df_size = $df_size;
	}

return $df_size;
}

?>

<head>

<style>
BODY, P, TABLE, TR, TD, INPUT, TEXTAREA, SPAN, SELECT, OPTION { COLOR: #006699; FONT-SIZE: 14px; FONT-FAMILY: Trebuchet MS, Verdana, Arial, Helvetica, sans-serif; }

.gensmall { font-size : 11px; }

.input_button { FONT-FAMILY: Verdana, Arial, Helvetica, sans-serif; FONT-SIZE: 8pt; COLOR: #006699; background-color: #FFFFFF; BORDER-RIGHT: #006699 1px solid; BORDER-LEFT: #006699 1px solid; BORDER-TOP: #006699 1px solid; BORDER-BOTTOM: #006699 1px solid;
}

</style>



<script>

ie = document.all?1:0
ns4 = document.layers?1:0

function CA(isOnload){
var trk=0;
for (var i=0;i<frm.elements.length;i++)
{
var e = frm.elements[i];
if ((e.name != 'allbox') && (e.type=='checkbox'))
{
if (isOnload != 1)
{
trk++;
e.checked = frm.allbox.checked;
if (frm.allbox.checked)
{
hL(e);
}
else
{
dL(e);
}
}
else
{
e.tabIndex = i;

if (e.checked)
{
hL(e);
}
else
{
dL(e);
}
}
}
}
}


function CCA(CB){
if (CB.checked)
hL(CB);
else
dL(CB);
var TB=TO=0;
for (var i=0;i<frm.elements.length;i++)
{
var e = frm.elements[i];
if ((e.name != 'allbox') && (e.type=='checkbox'))
{
TB++;
if (e.checked)
TO++;
}
}

if (TO==TB)
frm.allbox.checked=true;
else
frm.allbox.checked=false;
}
function hL(E){
if (ie)
{
while (E.tagName!="TR")
{E=E.parentElement;}
}
else
{
while (E.tagName!="TR")
{E=E.parentNode;}
}
E.className = "H";
}
function dL(E){
if (ie)
{
while (E.tagName!="TR")
{E=E.parentElement;}
}
else
{
while (E.tagName!="TR")
{E=E.parentNode;}
}
E.className = "";
}

</script>



</head>

<body>

<form action="index.php" name=check method=post>


<input type="hidden" name="exit" value="">

<script>
var frm = document.check;

function SynchDrop(){
if (frm.nullbox)
frm.nullbox.selectedIndex=frm.tobox.selectedIndex;
}
</script>


<h1>Liste des messages</h1>

<?

echo $nb." message(s) pour ".$email."<br><br>";

if ($nb != "0") { 

?>

<table cellspacing=0 cellpadding=0 border=0 width=100%>
<td width=30 valign=center><input onclick=CA(); type="checkbox" name=allbox style="cursor:hand"></td>
<td><u>Sélectionner ou annuler la sélection de tous les messages</u></td>
<td width=150 align=right valign=center><input type="button" Value="Supprimer message(s)" class="input_button" style="cursor:hand" onclick="this.form.exit.value='valid'; document.check.submit();" ></td>
</table>

<br>

<?

for ($i=1; $i<=$nb; $i++) {

$overview = imap_header ($mbox, $i);

$subject = $overview->subject;

$date = $overview->date;

$fromaddress = $overview->fromaddress;

$Size = $overview->Size;

$affich_size = display_size($Size)." ".display_ext($Size); 

?>

<table cellspacing=0 cellpadding=0 border=0 width=100%>
<td align=left width=30 valign=center <? if ($i%2 != 0) { echo "bgcolor=#EAEDF4"; } ?> ><? echo "<input onclick=CCA(this); type=\"checkbox\" name=\"clr[".$i."]\" value=\"1\" style=\"cursor:hand\">"; ?></td>
<td align=left width=400 class="gensmall" <? if ($i%2 != 0) { echo "bgcolor=#EAEDF4"; } ?> ><? echo $subject; ?></td>
<td align=left width=200 class="gensmall" <? if ($i%2 != 0) { echo "bgcolor=#EAEDF4"; } ?> ><? echo $fromaddress; ?></td>
<td align=left width=300 class="gensmall" <? if ($i%2 != 0) { echo "bgcolor=#EAEDF4"; } ?> ><? echo $date; ?></td>
<td align=right class="gensmall" <? if ($i%2 != 0) { echo "bgcolor=#EAEDF4"; } ?> ><? echo $affich_size; ?></td>
</table>

<?

}

}

imap_close($mbox);

?>

</form>

HDClic · 21 Août 2003

Voici une petite info qui pourra peux etre vous aider :

Après l'épidémie Blaster, de nombreux autres virus / vers se sont inspirés de sa méthode de propagation. Parmi l'un de ces dérivés, on peut citer "MSBlast.D, W32.Welchia ou W32/Nachia". Il s'agit d'un ver assez original dérivé de Blaster qui se charge d'installer un patch pour couvrir la faille située dans les systèmes d'exploitations Windows dont se sert justement Blaster pour infecter ses victimes.

Mais ce ver ne fait pas que du bien autour de soit puisque sur chaque PC infecté, il se charge de surcharger les réseaux en envoyant pas moins de 300 requêtes sur des adresses différentes à chaque tentative de contamination.

Outre "W32/Nachia", on peut également signaler la propagation massive du ver SoBig qui utilise les adresses mails se trouvant sur les pages Web et dans les carnets d'adresses des PC infectés pour se propager.

Ce ver se traduit par l'arrivée dans les messageries de mails possédant des intitulés similaires à ceux cités ci-dessous :

- Re: Details
- Re: Approved
- Re: Re: My details
- Re: Thank you!
- Re: That movie
- Re: Wicked screensaver
- Re: Your application
- Thank you!
- Your details

Il est généralement accompagné d'une pièce jointe, si celle-ci est éxecutée, le PC non protégé est obligatoirement infecté. Les PC infectés par ce ver possède le fichier "winppr32.exe" (source du virus) dans leur répertoire Windows.

Ce ver intègre des fonctionnalités pour envoyer des fichiers présents sur votre ordinateur à des serveurs distants. Hormis cela, le ver peut également recevoir des mises à jour à travers des serveurs pour, par exemple, accueillir un trojan sur les PC infectés

EDIT: il y a ca aussi pour les utilisateur de P2P :

Selon une information émanant de symantec, celèbre éditeur anti-virus, un ver baptisé W32.Bacterra.Worms est apparu en date du 10 aout 2003.

Aussi connu sous le nom de "Worm.P2P.Bacterra.a" ce ver s'attaque au réseau edonkey (eMule et overnet) en créant une multitude de fichiers.

Infos sur le ver :

Taille : 80 Kbytes

Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP.

systèmes non affectés : Linux, Macintosh, Microsoft IIS, OS/2, UNIX, Windows 3.x.

Lorsque le ver est présent dans le système, il va réaliser différentes actions :

Création d'un dossier C:\Windows\Temp\Install\Win32\System\Backup\DonkeyBacteria

Insertion de ± 300 copies de lui-meme, chaque copie ayant un nom unique et différent

Le ver va chercher et trouver le fichier shared.dat ( ce fichier contient les informations concernant les fichiers et dossiers partagés par edonkey); le ver va alors ajouter le repertoire C:\Windows\Temp\Install\Win32\System\Backup\DonkeyBacteria à la liste des repertoires partagés et permettre ainsi à d'autres utilisateurs de télécharger le ver.

Instructions pour supprimer le ver si vous etes contaminé : (pour symantec anti-virus et Norton anti-virus)

Désactivez la restauration du système (Windows me et Xp)

Effectuez une màj de vos définitions de virus.

Effectuez un scan complet de votre pc et supprimez les fichiers infectés.

Note : Donc a moins d'etre sure, on ne download pas de fichier de 80Ko

@+++

Mirgolth · 21 Août 2003

Je ne vois qu'une seule explication à tout ces Worms et autres Virii : C'est Le SOULEVEMENT des MACHINES ! :lol:

Mirgolth

Olivier · 21 Août 2003

je viens de visiter le site t3, effectivement c'est le soulèvement des machines qui commence.... ;-)

Qaghan · 21 Août 2003

HDClic a dit:
Outre "W32/Nachia", on peut également signaler la propagation massive du ver SoBig qui utilise les adresses mails se trouvant sur les pages Web et dans les carnets d'adresses des PC infectés pour se propager.

Ce ver se traduit par l'arrivée dans les messageries de mails possédant des intitulés similaires à ceux cités ci-dessous :

- Re: Details
- Re: Approved
- Re: Re: My details
- Re: Thank you!
- Re: That movie
- Re: Wicked screensaver
- Re: Your application
- Thank you!
- Your details

Merci HDClic, pour ces infos car je commencais a me demander ce qui se passait...
Depuis ce matin je viens de recevoir des messages "Return mail: User Unknown" en provenance du mailer d'AOL... Bien entendu, je n'ai jamais envoye ces messages. Heureusement qu'AOL renvoie l'entete du message original:

Code:

Received: from  NOM-BMU9LZ61VCE (lns-th2-8-82-64-112-18.adsl.proxad.net [82.64.112.18]) by rly-xh02.mx.aol.com (v95.1) with ESMTP id MAILRELAYINXH24-48c3f44db8ca6; Thu, 21 Aug 2003 10:47:42 -0400
From: <#########>
To: <a7blingblink@aol.com>
Subject: Your details
Date: Thu, 21 Aug 2003 16:47:44 +0200
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
	boundary="_NextPart_000_0067D7DC"
X-AOL-IP: 82.64.112.18
X-AOL-SCOLL-SCORE: 0:XXX:XX
X-AOL-SCOLL-URL_COUNT: 0
Message-ID: <200308211048.48c3f44db8ca6@rly-xh02.mx.aol.com>

J'ai cache le champs from car il contient mon adresse e-mail... Ce vers est terrible car il se fait passer pour n'importe qui lorsqu'il se reproduit...

Olivier,

HISTOMOBILE · 21 Août 2003

J'ai prêté mon modem adsl à ma femme et suis sur 56k modem.

Milliard, j'ai jamais vu ça, outlook ne parvient pas à suivre les mails infectés, Ca fait deux qu'il tourne et milliard, j'ai toujours des mails qui arrivent avec un décalage de près de 2 heures qui commence à rester constant.

Quid demain matin ?

Je sais pas si j'en ai déjà reçu 1000 mais celà ne doit pas en être loin sur l'après midi.

Monique · 21 Août 2003

Bonsoir,

Je n'étais pas très attentive quand l'information est passée hier soir à la radio, je ne peux donc pas être très précise...
La situation semble particulièrement catastrophique dans les pays scandinaves : en une nuit un million de mails infectés reçus par une grosse boîte (ou un ministère, je ne sais plus), des boîtes de messagerie bloquées... et des FAI qui ont suspendu leurs services !

Amicalement,
Monique

Kmacleod · 21 Août 2003

Ce qui me fait raler quand à ces virus, c'est de voir la difference de virus reçus en fonction de serveur de mail.
Sur le mail du site : rien
Sur le mail d'un FAI : rien
Sur le mail d'un site spécialisé : rien
Sur une site de mail (le plus grand au monde) : 50 messages par jour dont la moitiè pour me dire "le mail que vous avez envoyé est infecté du virus worn32)
Je me demande s'il n'y a pas un problème avec les Mailer deamon, qui doublent la quantité de mail envoyés pour dire celà. Le jour ou les mailer deamon se diront, le mail est vérolé, je le met à la poubelle, on aura fait des progrès ! :evil:
Effectivement si je me mets à créer un virus, je ne vais pas me mettre comme expéditeur, mais je vais mettre l'adresse mail que j'ai trouvé sur le PC de tous les PC que le virus va infecter.
Quand à ceux qui ouvrent des mails avec des pieces jointes et dont le titre est "RE Thank you", on se pose des questions :roll:

Monique · 23 Août 2003

Bonsoir,

Pour les curieux, un article intéressant et inquiètant aussi...

Amicalement,
Monique