Bonjour
je poste cet article à la fois sur fr.comp.securite.virus et
fr.usenet.abus.d, mais je pense que le suivi concerne plutôt le deuxième.
Cela fait plusieurs fois que je reçois le message ci-dessous :
-----------------------
This e-mail is generated by the www.unipa.it mail server to warn you
that the e-mail
sent by allos@unipa.it to
[suit une longue liste d'adresses dont la mienne]
is infected with virus: HTML/IFrame_Exploit*.
Please contact your system administrator for further information.
------------------------
Suit une série de conseils à la personne infectée et aux récipiendaires,
à l'occasion desquels la liste des adresses en CC est à nouveau reprise
par deux fois.
Comment faire comprendre à l'administrateur de ce serveur que :
- la personne réellement infectée n'apparaît probablement même pas dans
la liste d'adresses, étant donné que j'ai cru comprendre que de plus en
plus de virus s'expédient avec une adresse forgée de toutes pièces ;
- la diffusion de toutes ces adresses en CC et dans le corps du message
ne peut, me semble-t-il, qu'accroître le risque de diffusion de virus en
offrant des adresses supplémentaires à leur appétit : il suffit qu'une
des personnes en question choppe à son tour un virus pour que celui se
diffuse allègrement à nouveau à toute la liste, non ?
Ci-dessous le code-source du message (sans les adresses en CC). Si
quelqu'un peut me dire à qui écrire pour essayer de faire part de mes
remarques ?
Josie
----------------
From - Thu Dec 04 13:38:05 2003
X-UIDL: 1050150491.2688
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <ravms@www.unipa.it>
Received: from mwinf0104.wanadoo.fr (mwinf0104.wanadoo.fr)
by mwinb0403 (SMTP Server) with LMTP; Thu, 04 Dec 2003 12:07:28 +0100
X-Sieve: Server Sieve 2.2
Received: from www.unipa.it (www.unipa.it [147.163.1.5])
by mwinf0104.wanadoo.fr (SMTP Server) with ESMTP
id 130DE18001C9; Thu, 4 Dec 2003 12:07:25 +0100 (CET)
Received: from www.unipa.it (www.unipa.it [192.168.2.2])
by www.unipa.it (8.11.6/8.11.6) with SMTP id hB4AHQ709464;
Thu, 4 Dec 2003 11:17:26 +0100
X-RAV-AntiVirus: This e-mail has been scanned for viruses on host:
www.unipa.it
Message-Id: <200312041017.hB4AHQ709464@www.unipa.it>
From: "RAV AntiVirus" <ravms@www.unipa.it>
To:
Cc: [une soixantaine d'adresses]
-----------------------
This e-mail is generated by the www.unipa.it mail server to warn you
that the e-mail
sent by allos@unipa.it to [à nouveau les 60 adresses]
is infected with virus: HTML/IFrame_Exploit*.
Please contact your system administrator for further information.
If you are the sender:
-------------------
The scanned e-mail has your address in the <From> header field. Either your
computer is infected or someone's computer having your e-mail address in
the address book has been infected.
(Please note that some viruses are sending e-mails directly from your
computer.
Our advise is to check your computer using an up-to-date antivirus product).
If you are the receiver:
---------------------
Please contact the sender: very probably he/she doesn't know he/she has
a computer virus.
Actions taken for the infected files:
-------------------------------------
The infected file was saved to quarantine with name:
1070533045-dfhB4AHL709429.
The file (part0000:)->(IFRAME0000) attached to mail (with
subject:failure message) sent by allos@unipa.it to
[60 adresses]
is infected with virus: HTML/IFrame_Exploit*.
Cannot clean this file.
The file was successfully deleted by RAV AntiVirus.
The file (part0001:gcspbg.exe) attached to mail (with subject:failure
message) sent by allos@unipa.it to
[60 adresses]
is infected with virus: Win32/Swen.A@mm.
Cannot clean this file.
The file was successfully deleted by RAV AntiVirus.
------------------------
this is a copy of the e-mail header:
RAV AntiVirus for Linux i386 version: 8.4.0 (snapshot-20020919)
Scan engine 8.11 for i386.
Last update: Tue, 02 Dec 2003 23:39:13 +01
Scanning for 84493 malwares (viruses, trojans and worms).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
joke0
Salut,
josie labeille:
je poste cet article à la fois sur fr.comp.securite.virus et fr.usenet.abus.d, mais je pense que le suivi concerne plutôt le deuxième.
Les antivirus qui surveillent les serveurs smtp et les messageries individuelles sont assez souvent configurés par défaut pour envoyer un avertissement aux destinataires et à l'expéditeur *apparent* d'une bestiole, ce qui est bien entendu stupide et qui ne faut qu'augmenter le traffic pour rien.
Tu peux lire un article de F. Skulason (éditeur de l'antivirus F-Prot) sur le sujet:
http://google.fr/groups?threadmü ing.google.com
Peut-être que la situation va s'améliorer petit en à petit?
Fu2 annulé
-- joke0
Salut,
josie labeille:
je poste cet article à la fois sur fr.comp.securite.virus et
fr.usenet.abus.d, mais je pense que le suivi concerne plutôt
le deuxième.
Les antivirus qui surveillent les serveurs smtp et les
messageries individuelles sont assez souvent configurés par
défaut pour envoyer un avertissement aux destinataires et à
l'expéditeur *apparent* d'une bestiole, ce qui est bien entendu
stupide et qui ne faut qu'augmenter le traffic pour rien.
Tu peux lire un article de F. Skulason (éditeur de l'antivirus
F-Prot) sur le sujet:
je poste cet article à la fois sur fr.comp.securite.virus et fr.usenet.abus.d, mais je pense que le suivi concerne plutôt le deuxième.
Les antivirus qui surveillent les serveurs smtp et les messageries individuelles sont assez souvent configurés par défaut pour envoyer un avertissement aux destinataires et à l'expéditeur *apparent* d'une bestiole, ce qui est bien entendu stupide et qui ne faut qu'augmenter le traffic pour rien.
Tu peux lire un article de F. Skulason (éditeur de l'antivirus F-Prot) sur le sujet:
http://google.fr/groups?threadmü ing.google.com
Peut-être que la situation va s'améliorer petit en à petit?
Fu2 annulé
-- joke0
Frederic Bonroy
Les antivirus qui surveillent les serveurs smtp et les messageries individuelles sont assez souvent configurés par défaut pour envoyer un avertissement aux destinataires et à l'expéditeur *apparent* d'une bestiole, ce qui est bien entendu stupide et qui ne faut qu'augmenter le traffic pour rien.
C'est une décision qui a été prise aussi à mon université. Puis un jour les administrateurs se sont aperçus qu'il était tout à fait possible que des virus s'envoient avec une adresse expéditeur inexistante, ce qui les a conduits à configurer le serveur de sorte qu'il vérifie d'abord que l'adresse expéditeur existe bel et bien avant d'envoyer l'avertissement. En voyant l'annonce dans un forum interne j'ai contacté le responsable par courrier pour lui dire que les virus emploient de plus en plus souvent des adresses tout à fait existantes mais faussées, et que ces avertissements, en plus d'augmenter le trafic, peuvent faire faire des bêtises aux gens qui les reçoivent (exemple: formatage) alors qu'en fait ils ne sont pas infectés. Je lui ai aussi demandé de lire le truc de Frisk.
Je n'ai jamais reçu de réponse. Pendant quelque temps par contre, à chaque fois que j'envoyais du courrier à une adresse universitaire, je recevais en retour un message disant qu'il servait à vérifier que l'adresse expéditeur (donc la mienne) était correcte. J'ajoute que dans l'annonce évoquée ci-dessus, le responsable avait reconnu que la procédure de vérification n'était pas toujours fiable car tous les serveurs ne la supportaient pas.
Conclusion: à votre avis?
Les antivirus qui surveillent les serveurs smtp et les
messageries individuelles sont assez souvent configurés par
défaut pour envoyer un avertissement aux destinataires et à
l'expéditeur *apparent* d'une bestiole, ce qui est bien entendu
stupide et qui ne faut qu'augmenter le traffic pour rien.
C'est une décision qui a été prise aussi à mon université. Puis un jour
les administrateurs se sont aperçus qu'il était tout à fait possible que
des virus s'envoient avec une adresse expéditeur inexistante, ce qui les
a conduits à configurer le serveur de sorte qu'il vérifie d'abord que
l'adresse expéditeur existe bel et bien avant d'envoyer l'avertissement.
En voyant l'annonce dans un forum interne j'ai contacté le responsable
par courrier pour lui dire que les virus emploient de plus en plus
souvent des adresses tout à fait existantes mais faussées, et que ces
avertissements, en plus d'augmenter le trafic, peuvent faire faire des
bêtises aux gens qui les reçoivent (exemple: formatage) alors qu'en fait
ils ne sont pas infectés. Je lui ai aussi demandé de lire le truc de Frisk.
Je n'ai jamais reçu de réponse. Pendant quelque temps par contre, à
chaque fois que j'envoyais du courrier à une adresse universitaire, je
recevais en retour un message disant qu'il servait à vérifier que
l'adresse expéditeur (donc la mienne) était correcte. J'ajoute que dans
l'annonce évoquée ci-dessus, le responsable avait reconnu que la
procédure de vérification n'était pas toujours fiable car tous les
serveurs ne la supportaient pas.
Les antivirus qui surveillent les serveurs smtp et les messageries individuelles sont assez souvent configurés par défaut pour envoyer un avertissement aux destinataires et à l'expéditeur *apparent* d'une bestiole, ce qui est bien entendu stupide et qui ne faut qu'augmenter le traffic pour rien.
C'est une décision qui a été prise aussi à mon université. Puis un jour les administrateurs se sont aperçus qu'il était tout à fait possible que des virus s'envoient avec une adresse expéditeur inexistante, ce qui les a conduits à configurer le serveur de sorte qu'il vérifie d'abord que l'adresse expéditeur existe bel et bien avant d'envoyer l'avertissement. En voyant l'annonce dans un forum interne j'ai contacté le responsable par courrier pour lui dire que les virus emploient de plus en plus souvent des adresses tout à fait existantes mais faussées, et que ces avertissements, en plus d'augmenter le trafic, peuvent faire faire des bêtises aux gens qui les reçoivent (exemple: formatage) alors qu'en fait ils ne sont pas infectés. Je lui ai aussi demandé de lire le truc de Frisk.
Je n'ai jamais reçu de réponse. Pendant quelque temps par contre, à chaque fois que j'envoyais du courrier à une adresse universitaire, je recevais en retour un message disant qu'il servait à vérifier que l'adresse expéditeur (donc la mienne) était correcte. J'ajoute que dans l'annonce évoquée ci-dessus, le responsable avait reconnu que la procédure de vérification n'était pas toujours fiable car tous les serveurs ne la supportaient pas.
