[News Sobig.F] - Rappel & Recommandations
Le
LaDDL
SoBig.F est la variante la plus récente dans la famille des virus
d'expédition de masse de Sobig.
Il effectuera sa mise à jour aujourd'hui à 19:00. Entre 19:00 et 22:00,
le virus essayera d'entrer en contact avec un ensemble prédéfini de
centres serveurs pour télécharger des mises à jour. En ce moment, on ne
sait pas exactement de que cette mise à jour fera.
La liste "de serveurs principaux" peut être mise à jour à distance en
employant des paquets UDP signés par les ports 995-999.
Le virus Sobig est une menace significative pour n'importe quel réseau.
Il ouvre des backdoors et se diffuse par partage de fichiers ou E-mail.
La détection et le nettoyage des machines infectées doivent être une
priorité.
Sobig peut être détecté de plusieurs façons :
- E-mail : Une machine infectée enverra de grandes quantités d'E-mail.
Elle n'utilisera pas le serveur habituel d'email mais enverra à la place
des modules de balayage de virus d'E-mail directement :
- Actuellement, tous les scanners d'AV détecteront Sobig-F.
- Le trafic de NTP : Le ver se synchronise serveurs de NTP.
Les Contre-Mesures à prendre :
- Bloquez tout le trafic outbound sur le port 25 à moins qu'il provienne
d'un serveur de mail connu.
- Exigez des utilisateurs de votre réseau d'employer le serveur de mail
autorisé.
- Mettez en place un AV sur ce serveur de mail.
- Bloquez le trafic d'arrivée UDP sur les ports 995-999 et 8998.
- Rappelez aux utilisateurs de NE PAS CLIQUER SUR LES PIECES JOINTES
Seulement Windows peut être infecté par ce virus.
NB :
Sobig spoof le champ "From" de l'adresse.
Il exploite les adresses E-mail trouvées dans les dossiers d'Internet
Explorer et les carnets d'adresses.
Veuillez configurer vos AV pour supprimer les avis envoyés aux
expéditeurs d'E-mail infectés par Sobig.
Plus de détails :
http://www.f-secure.com/v-descs/sobig_f.shtml
http://securityresponse.symantec.co...32.sobig.f@mm.html
d'expédition de masse de Sobig.
Il effectuera sa mise à jour aujourd'hui à 19:00. Entre 19:00 et 22:00,
le virus essayera d'entrer en contact avec un ensemble prédéfini de
centres serveurs pour télécharger des mises à jour. En ce moment, on ne
sait pas exactement de que cette mise à jour fera.
La liste "de serveurs principaux" peut être mise à jour à distance en
employant des paquets UDP signés par les ports 995-999.
Le virus Sobig est une menace significative pour n'importe quel réseau.
Il ouvre des backdoors et se diffuse par partage de fichiers ou E-mail.
La détection et le nettoyage des machines infectées doivent être une
priorité.
Sobig peut être détecté de plusieurs façons :
- E-mail : Une machine infectée enverra de grandes quantités d'E-mail.
Elle n'utilisera pas le serveur habituel d'email mais enverra à la place
des modules de balayage de virus d'E-mail directement :
- Actuellement, tous les scanners d'AV détecteront Sobig-F.
- Le trafic de NTP : Le ver se synchronise serveurs de NTP.
Les Contre-Mesures à prendre :
- Bloquez tout le trafic outbound sur le port 25 à moins qu'il provienne
d'un serveur de mail connu.
- Exigez des utilisateurs de votre réseau d'employer le serveur de mail
autorisé.
- Mettez en place un AV sur ce serveur de mail.
- Bloquez le trafic d'arrivée UDP sur les ports 995-999 et 8998.
- Rappelez aux utilisateurs de NE PAS CLIQUER SUR LES PIECES JOINTES
Seulement Windows peut être infecté par ce virus.
NB :
Sobig spoof le champ "From" de l'adresse.
Il exploite les adresses E-mail trouvées dans les dossiers d'Internet
Explorer et les carnets d'adresses.
Veuillez configurer vos AV pour supprimer les avis envoyés aux
expéditeurs d'E-mail infectés par Sobig.
Plus de détails :
http://www.f-secure.com/v-descs/sobig_f.shtml
http://securityresponse.symantec.co...32.sobig.f@mm.html
Poser une question
la meme chose en français:
http://securityresponse1.symantec.c....nsf/html/
"REMARQUE : En raison du temps nécessaire à la traduction, il est
possible que le contenu des documents traduits diffère du contenu
original, si celui-ci a été mis à jour alors que la traduction était en
cours. Le document en anglais contient toujours les dernières mises à
jour." Symantec
Hahaha... j'ai bien ri (jaune, je me prends 1Go par jour de Sobig sur mon
secondaire en ce moment), merci.
Cette mesure est illusoire. Par contre, on peut au moins empêcher que ca se
propage en refusant les mails avec extensions sur le serveur (attention,
sans renvoyer de bounce persolnalisé comme les antivirus !).
Exemple avec postfix (version < 2)
Ajouter la ligne suvante dans main.cf :
body_checks = regexp:/etc/postfix/body_checks
Puis dans le fichier body_checks, ajouter par exemple les 4 lignes (désolé,
ca wrappe):
/(filename|name)=".*.(asd|chm|hlp|hta|js|pif)"/ REJECT Message seems to be
a virus, rejecting. Please contact
/(filename|name)=".*.(scr|shb|shs|vb|vbe|vbs|wsf|wsh)"/ REJECT Message
seems to be a virus, rejecting. Please contact
/(filename|name)=".*.(dll|ocx)"/ REJECT ocx and dll attachements not
authorised, rejecting. Please contact
/(filename|name)="(Happy99|Navidad|prettypark).exe"/ REJECT Message seems
to be spam, rejecting. Please contact
A noter que
- Je particularise pour ocx et dll, des fois qu'il y aurait des gens qui
envoient ce genre de choses là
- Si le mail provient d'un vrai MTA, ce MTA enverra un bounce à l'expéditeur
(même faké :/).
- Si le mail provient directement d'un virus, a priori, il n'y aura pas de
bounce
- Avec postfix > 2.0, il faut aussi faire un mime-header-check je crois (pas
encore eu le temps de regarder, mais si quelqu'un a une solution toute
cuite, je prends)
--
Rbert CHERAMY Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
Bonjour oui j'imagine & tu n'es pas le seul malheureusement !
Sinon merci pour tes infos, le retour d'expérience est tjrs le bienvenue
(le tient par ex)
[...]
Efficace pour nos serveurs au bureau. Et qquns de nos clients/relations
;)
Pour t'aider vas jeter un oeil ici :
http://advosys.ca/papers/postfix-filtering.html
Non. La solution préconisée (bloquer tous les serveurs mails inconnus) est
impossible à mettre en oeuvre.
Donne moi une liste de "serveurs mails connus" pour que je puisse recevoir
des mails de tous mes correspondants (sachant que je reçois régulièrement
des mails de la part d'inconnus) et on en reparle.
--
Robert CHERAMY Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
Désolé mais là je ne te suis pas. N'oublies pas que ma recommandation
était générale.
Je ne vois pas en quoi on ne peut pas bloquer le traffic outbound sur le
port 25 sur des routeurs afin de se préserver des spammeurs.
J'entends par ce que tu appelles "serveurs mails connus & inconnus" :
whitelist, DNSBL lists, ignored list.