Ce matin, en regardant mes mails, j'ai trouvé un mail avec une archive
RAR malformée en PJ. AVP me dit détecter Mimail (Decodeur_TPS.rar /
Decodeur TPS.exe Infected: TrojanDropper.JS.Mimail.b)
Ce qui m'étonne, c'est que l'AV en ligne de KAV arrive à décompresser
l'archive alors qu'elle apparait chez moi comme invalide, même si je
peux en extraire quelques fichiers :
nicob@bobby:~/ > unzip -l Decodeur_TPS.rar
Archive: Decodeur_TPS.rar
warning [Decodeur_TPS.rar]: 844049 extra bytes at beginning or within
zipfile (attempting to process anyway)
Length Date Time Name
-------- ---- ---- ----
5968 03-24-00 18:27 Implatation.gif
18082 03-24-00 17:43 LUDIPIPO.BRD
5459 10-29-99 11:14 Principe.gif
60775 03-24-00 18:35 typon.jpg
-------- -------
90284 4 files
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
joke0
Salut,
Nicob:
Ce matin, en regardant mes mails, j'ai trouvé un mail avec une archive RAR malformée en PJ.
C'est soit nouveau soit fait pour un petit nombre de personnes, car je n'ai jamais lu de description avec un rar.
AVP me dit détecter Mimail (Decodeur_TPS.rar / Decodeur TPS.exe Infected: TrojanDropper.JS.Mimail.b)
Ce dropper est assez vieux (fin février 2003) et est en fait une POC d'exploitation d'une vulnérabilité de IE à base de codebase et de mhtml. Le ver Mimail.a utilise le même exploit. (cf le bugtraq)
Ce qui m'étonne, c'est que l'AV en ligne de KAV arrive à décompresser l'archive alors qu'elle apparait chez moi comme invalide, même si je peux en extraire quelques fichiers :
La malformation est voulue comme pour le ver mimail.c, mais tous les fichiers contenus sont bien extraits. Il faudrait surtout savoir ce qui est droppé (si tu as une copie pour moi ;-)
C'est grave, docteur ?
C'est bénin :)
-- joke0
Salut,
Nicob:
Ce matin, en regardant mes mails, j'ai trouvé un mail avec une
archive RAR malformée en PJ.
C'est soit nouveau soit fait pour un petit nombre de personnes,
car je n'ai jamais lu de description avec un rar.
AVP me dit détecter Mimail (Decodeur_TPS.rar / Decodeur
TPS.exe Infected: TrojanDropper.JS.Mimail.b)
Ce dropper est assez vieux (fin février 2003) et est en fait une
POC d'exploitation d'une vulnérabilité de IE à base de codebase
et de mhtml. Le ver Mimail.a utilise le même exploit.
(cf le bugtraq)
Ce qui m'étonne, c'est que l'AV en ligne de KAV arrive à
décompresser l'archive alors qu'elle apparait chez moi comme
invalide, même si je peux en extraire quelques fichiers :
La malformation est voulue comme pour le ver mimail.c, mais tous
les fichiers contenus sont bien extraits. Il faudrait surtout
savoir ce qui est droppé (si tu as une copie pour moi ;-)
Ce matin, en regardant mes mails, j'ai trouvé un mail avec une archive RAR malformée en PJ.
C'est soit nouveau soit fait pour un petit nombre de personnes, car je n'ai jamais lu de description avec un rar.
AVP me dit détecter Mimail (Decodeur_TPS.rar / Decodeur TPS.exe Infected: TrojanDropper.JS.Mimail.b)
Ce dropper est assez vieux (fin février 2003) et est en fait une POC d'exploitation d'une vulnérabilité de IE à base de codebase et de mhtml. Le ver Mimail.a utilise le même exploit. (cf le bugtraq)
Ce qui m'étonne, c'est que l'AV en ligne de KAV arrive à décompresser l'archive alors qu'elle apparait chez moi comme invalide, même si je peux en extraire quelques fichiers :
La malformation est voulue comme pour le ver mimail.c, mais tous les fichiers contenus sont bien extraits. Il faudrait surtout savoir ce qui est droppé (si tu as une copie pour moi ;-)
C'est grave, docteur ?
C'est bénin :)
-- joke0
Tweakie
On Mon, 1 Dec 2003, Nicob wrote:
Salut !
Salut,
Ce qui m'étonne, c'est que l'AV en ligne de KAV arrive à décompress er l'archive alors qu'elle apparait chez moi comme invalide, même si je peux en extraire quelques fichiers : [...]
C'est grave, docteur ?
Tu as essaye' de l'ouvrir avec winzip/winrar ? Je suppose que c'est fait pour fonctionner avec un de ces deux la.
Sinon, je veux bien une copie a tweakie-at-mail.nu (ou a downloader quelque part, a ta convenance) stp :-)
-- Tweakie
On Mon, 1 Dec 2003, Nicob wrote:
Salut !
Salut,
Ce qui m'étonne, c'est que l'AV en ligne de KAV arrive à décompress er
l'archive alors qu'elle apparait chez moi comme invalide, même si je
peux en extraire quelques fichiers :
[...]
C'est grave, docteur ?
Tu as essaye' de l'ouvrir avec winzip/winrar ? Je suppose
que c'est fait pour fonctionner avec un de ces deux la.
Sinon, je veux bien une copie a tweakie-at-mail.nu (ou
a downloader quelque part, a ta convenance) stp :-)
Ce qui m'étonne, c'est que l'AV en ligne de KAV arrive à décompress er l'archive alors qu'elle apparait chez moi comme invalide, même si je peux en extraire quelques fichiers : [...]
C'est grave, docteur ?
Tu as essaye' de l'ouvrir avec winzip/winrar ? Je suppose que c'est fait pour fonctionner avec un de ces deux la.
Sinon, je veux bien une copie a tweakie-at-mail.nu (ou a downloader quelque part, a ta convenance) stp :-)
-- Tweakie
joke0
Salut,
joke0:
C'est soit nouveau soit fait pour un petit nombre de personnes, car je n'ai jamais lu de description avec un rar.
Soit les deux à la fois :o)
Dans le mail, je vois: Delivered-To:
ça ressemble à un m-id, mais je ne trouve pas la correspondance sur usenet :-/
[TrojanDropper.JS.Mimail.b]
Le ver Mimail.a utilise le même exploit.
Cette fois-ci, il est utilisé pour dropper le ver Torvil.d
KAV, VirusScan sont incapables de voir le ver alors qu'ils détectent le dropper, par contre F-Prot n'a aucun problème.
Pourtant, je ne vois pas la difficulté :-/
-- joke0
Salut,
joke0:
C'est soit nouveau soit fait pour un petit nombre de
personnes, car je n'ai jamais lu de description avec un rar.
Soit les deux à la fois :o)
Dans le mail, je vois:
Delivered-To: pan.2003.02.15.13.32.18.911076.1960@nicob.net
ça ressemble à un m-id, mais je ne trouve pas la correspondance
sur usenet :-/
[TrojanDropper.JS.Mimail.b]
Le ver Mimail.a utilise le même exploit.
Cette fois-ci, il est utilisé pour dropper le ver Torvil.d
KAV, VirusScan sont incapables de voir le ver alors qu'ils
détectent le dropper, par contre F-Prot n'a aucun problème.
C'est soit nouveau soit fait pour un petit nombre de personnes, car je n'ai jamais lu de description avec un rar.
Soit les deux à la fois :o)
Dans le mail, je vois: Delivered-To:
ça ressemble à un m-id, mais je ne trouve pas la correspondance sur usenet :-/
[TrojanDropper.JS.Mimail.b]
Le ver Mimail.a utilise le même exploit.
Cette fois-ci, il est utilisé pour dropper le ver Torvil.d
KAV, VirusScan sont incapables de voir le ver alors qu'ils détectent le dropper, par contre F-Prot n'a aucun problème.
Pourtant, je ne vois pas la difficulté :-/
-- joke0
joke0
Salut,
joke0:
[TrojanDropper.JS.Mimail.b]
Le ver Mimail.a utilise le même exploit.
Cette fois-ci, il est utilisé pour dropper le ver Torvil.d:
http://vil.nai.com/vil/content/v_100758.htm
- « Dropped .HTM files contain MIME encoded copies of the worm, followed by Exploit-CodeBase code to automatically execute the virus when a file is accessed on an unpatched system. »
- « Spreading Via Usenet »
le mail est justement adressé à: Delivered-To:
ça ressemble fort à un m-id, mais je ne trouve pas le message sur usenet et Google Groups :-/
Cette fois-ci le ver a "capturé" une vraie archive appellée "Decodeur TPS" et je n'ai pas vu dans la description une mention de cette pratique (j'ai lu en diagonale).
KAV, VirusScan sont incapables de voir le ver alors qu'ils détectent le dropper, par contre F-Prot n'a aucun problème.
Pourtant, je ne vois pas la difficulté :-/
-- joke0
Salut,
joke0:
[TrojanDropper.JS.Mimail.b]
Le ver Mimail.a utilise le même exploit.
Cette fois-ci, il est utilisé pour dropper le ver Torvil.d:
http://vil.nai.com/vil/content/v_100758.htm
- « Dropped .HTM files contain MIME encoded copies of the worm,
followed by Exploit-CodeBase code to automatically execute the
virus when a file is accessed on an unpatched system. »
- « Spreading Via Usenet »
le mail est justement adressé à:
Delivered-To: pan.2003.02.15.13.32.18.911076.1960@nicob.net
ça ressemble fort à un m-id, mais je ne trouve pas le
message sur usenet et Google Groups :-/
Cette fois-ci le ver a "capturé" une vraie archive appellée
"Decodeur TPS" et je n'ai pas vu dans la description une mention
de cette pratique (j'ai lu en diagonale).
KAV, VirusScan sont incapables de voir le ver alors qu'ils
détectent le dropper, par contre F-Prot n'a aucun problème.
Cette fois-ci, il est utilisé pour dropper le ver Torvil.d:
http://vil.nai.com/vil/content/v_100758.htm
- « Dropped .HTM files contain MIME encoded copies of the worm, followed by Exploit-CodeBase code to automatically execute the virus when a file is accessed on an unpatched system. »
- « Spreading Via Usenet »
le mail est justement adressé à: Delivered-To:
ça ressemble fort à un m-id, mais je ne trouve pas le message sur usenet et Google Groups :-/
Cette fois-ci le ver a "capturé" une vraie archive appellée "Decodeur TPS" et je n'ai pas vu dans la description une mention de cette pratique (j'ai lu en diagonale).
KAV, VirusScan sont incapables de voir le ver alors qu'ils détectent le dropper, par contre F-Prot n'a aucun problème.
