Question piège : comment détecter/bloquer les instances de Bagle.i placées dans un ZIP protégé par mot de passe ? Bloquer les ZIP ?
A mon avis, c'est sortir la grosse artillerie :-)
Bloquer une chaine quelconque ?
Oui, filtrer sur le contenu ou l'objet peut être une idée. <http://www.viruslist.com/eng/alert.html?id81172>
J'avais fait comme ca pour sven, ca marchait très bien. Par contre, il me semble que j'en ai reçu un qui n'avait pas du tout cette tête là...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Frederic Bonroy
Nicob wrote:
Question piège : comment détecter/bloquer les instances de Bagle.i placées dans un ZIP protégé par mot de passe ?
Bloquer les ZIP ? Bloquer une chaine quelconque ?
On peut les bloquer heuristiquement si on a la possibilité d'analyser le corps du message. S'il y a un nombre de 5 chiffres dans un message très court avec un ZIP au bout alors on peut filtrer.
Du moins d'après les messages que j'ai vus.
Nicob wrote:
Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?
Bloquer les ZIP ?
Bloquer une chaine quelconque ?
On peut les bloquer heuristiquement si on a la possibilité d'analyser le
corps du message. S'il y a un nombre de 5 chiffres dans un message très
court avec un ZIP au bout alors on peut filtrer.
Question piège : comment détecter/bloquer les instances de Bagle.i placées dans un ZIP protégé par mot de passe ?
Bloquer les ZIP ? Bloquer une chaine quelconque ?
On peut les bloquer heuristiquement si on a la possibilité d'analyser le corps du message. S'il y a un nombre de 5 chiffres dans un message très court avec un ZIP au bout alors on peut filtrer.
Du moins d'après les messages que j'ai vus.
T0t0
"T0t0" wrote in message news:
Par contre, il me semble que j'en ai reçu un qui n'avait pas du tout cette tête là...
Je m'autoréponds ;-) Il s'agissait en fait de bagle.f, à filtrer aussi vu qu'il utilise le même principe de zip protégé. <http://www.viruslist.com/eng/viruslist.html?id69912>
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"T0t0" <bibi@antionline.org> wrote in message
news:27c11b56c0518863e1a70920ed458ada.28089@mygate.mailgate.org
Par contre, il me semble que j'en ai reçu un qui n'avait pas du tout
cette tête là...
Je m'autoréponds ;-)
Il s'agissait en fait de bagle.f, à filtrer aussi vu qu'il utilise le
même principe de zip protégé.
<http://www.viruslist.com/eng/viruslist.html?id69912>
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Par contre, il me semble que j'en ai reçu un qui n'avait pas du tout cette tête là...
Je m'autoréponds ;-) Il s'agissait en fait de bagle.f, à filtrer aussi vu qu'il utilise le même principe de zip protégé. <http://www.viruslist.com/eng/viruslist.html?id69912>
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
joke0
Salut,
Nicob:
Bloquer une chaine quelconque ?
Dans le corps du ver, les mots security, password (2x) reviennent dans chaque phrase de conclusion:
1) For security reasons attached file is password protected. The password is "%s". 2) For security purposes the attached file is password protected. Password is "%s". 3) Attached file protected with the password for security reasons. Password is %s.
Le terme "e-mail account" revient souvent aussi dans la phrase d'intro et le titre.
Le nom des PJ: Attach Information Readme Document Info TextDocument TextFile MoreInfo Message
Je pense que tu peux filtrer facilement sur le nom des PJ.
-- joke0
Salut,
Nicob:
Bloquer une chaine quelconque ?
Dans le corps du ver, les mots security, password (2x)
reviennent dans chaque phrase de conclusion:
1) For security reasons attached file is password protected. The password is "%s".
2) For security purposes the attached file is password protected. Password is "%s".
3) Attached file protected with the password for security reasons. Password is %s.
Le terme "e-mail account" revient souvent aussi dans la phrase d'intro et le titre.
Le nom des PJ:
Attach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message
Je pense que tu peux filtrer facilement sur le nom des PJ.
Dans le corps du ver, les mots security, password (2x) reviennent dans chaque phrase de conclusion:
1) For security reasons attached file is password protected. The password is "%s". 2) For security purposes the attached file is password protected. Password is "%s". 3) Attached file protected with the password for security reasons. Password is %s.
Le terme "e-mail account" revient souvent aussi dans la phrase d'intro et le titre.
Le nom des PJ: Attach Information Readme Document Info TextDocument TextFile MoreInfo Message
Je pense que tu peux filtrer facilement sur le nom des PJ.
-- joke0
Frederic Bonroy
joke0 wrote:
Dans le corps du ver, les mots security, password (2x) reviennent dans chaque phrase de conclusion:
1) For security reasons attached file is password protected. The password is "%s". 2) For security purposes the attached file is password protected. Password is "%s". 3) Attached file protected with the password for security reasons. Password is %s.
J'ai un échantillon ici avec le message suivant:
You have won!!!
pass: 80400
Donc "pass" au lieu de "password".
joke0 wrote:
Dans le corps du ver, les mots security, password (2x)
reviennent dans chaque phrase de conclusion:
1) For security reasons attached file is password protected. The password is "%s".
2) For security purposes the attached file is password protected. Password is "%s".
3) Attached file protected with the password for security reasons. Password is %s.
Dans le corps du ver, les mots security, password (2x) reviennent dans chaque phrase de conclusion:
1) For security reasons attached file is password protected. The password is "%s". 2) For security purposes the attached file is password protected. Password is "%s". 3) Attached file protected with the password for security reasons. Password is %s.
J'ai un échantillon ici avec le message suivant:
You have won!!!
pass: 80400
Donc "pass" au lieu de "password".
Ronald
On Wed, 03 Mar 2004 14:19:20 +0100, Nicob wrote:
Salut !
Question piège : comment détecter/bloquer les instances de Bagle.i placées dans un ZIP protégé par mot de passe ?
Bloquer les ZIP ? Bloquer une chaine quelconque ?
Nicob J'ai droit à indice, c'est quoi le type mime application/octet-stream ou
application/zip?
On Wed, 03 Mar 2004 14:19:20 +0100, Nicob wrote:
Salut !
Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?
Bloquer les ZIP ?
Bloquer une chaine quelconque ?
Nicob
J'ai droit à indice, c'est quoi le type mime application/octet-stream ou