Bagle.i et les zip protégés par mot de passe

"Nicob" <nicob@I.hate.spammers.com> wrote in message
news:pan.2004.03.03.13.19.19.338084@I.hate.spammers.com

Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?
Bloquer les ZIP ?

A mon avis, c'est sortir la grosse artillerie :-)

Bloquer une chaine quelconque ?

Oui, filtrer sur le contenu ou l'objet peut être une idée.
<http://www.viruslist.com/eng/alert.html?id81172>

J'avais fait comme ca pour sven, ca marchait très bien.
Par contre, il me semble que j'en ai reçu un qui n'avait pas du tout
cette tête là...


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Nicob wrote:

Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?

Bloquer les ZIP ?
Bloquer une chaine quelconque ?

On peut les bloquer heuristiquement si on a la possibilité d'analyser le
corps du message. S'il y a un nombre de 5 chiffres dans un message très
court avec un ZIP au bout alors on peut filtrer.

Du moins d'après les messages que j'ai vus.

"T0t0" <bibi@antionline.org> wrote in message
news:27c11b56c0518863e1a70920ed458ada.28089@mygate.mailgate.org

Par contre, il me semble que j'en ai reçu un qui n'avait pas du tout
cette tête là...

Je m'autoréponds ;-)
Il s'agissait en fait de bagle.f, à filtrer aussi vu qu'il utilise le
même principe de zip protégé.
<http://www.viruslist.com/eng/viruslist.html?id69912>



--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Salut,

Nicob:

Bloquer une chaine quelconque ?

Dans le corps du ver, les mots security, password (2x)
reviennent dans chaque phrase de conclusion:

1) For security reasons attached file is password protected. The password is "%s".
2) For security purposes the attached file is password protected. Password is "%s".
3) Attached file protected with the password for security reasons. Password is %s.

Le terme "e-mail account" revient souvent aussi dans la phrase d'intro et le titre.

Le nom des PJ:
Attach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message

Je pense que tu peux filtrer facilement sur le nom des PJ.

--
joke0

joke0 wrote:

Dans le corps du ver, les mots security, password (2x)
reviennent dans chaque phrase de conclusion:

1) For security reasons attached file is password protected. The password is "%s".
2) For security purposes the attached file is password protected. Password is "%s".
3) Attached file protected with the password for security reasons. Password is %s.

J'ai un échantillon ici avec le message suivant:

You have won!!!

pass: 80400


Donc "pass" au lieu de "password".

On Wed, 03 Mar 2004 14:19:20 +0100, Nicob wrote:

Salut !

Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?

Bloquer les ZIP ?
Bloquer une chaine quelconque ?


Nicob
J'ai droit à indice, c'est quoi le type mime application/octet-stream ou

application/zip?

Salut,

Frederic Bonroy:

J'ai un échantillon ici avec le message suivant:
You have won!!!
pass: 80400

Je parle de I-Worm.Bagle.i aka W32/Bagle.J@mm
http://vil.nai.com/vil/content/v_101071.htm

Tu parles de I-Worm.Bagle.h aka W32/Bagle.I@mm aka
http://vil.nai.com/vil/content/v_101069.htm

Je pense que Nicob parle de la version KAV (petit i) ;-)

--
joke0

Salut,

Ronald:

J'ai droit à indice, c'est quoi le type mime
application/octet-stream ou application/zip?

Content-Type: application/octet-stream

Bien vu :-)

--
joke0

joke0 wrote:

Je pense que Nicob parle de la version KAV (petit i) ;-)

On voit où ça mène. :-(

joke0 <joke0_NOSWEN@tiscali.fr> écrit:

Je pense que tu peux filtrer facilement sur le nom des PJ.

Je suppose aussi que le fait qu'il s'agisse d'un ZIP chiffré doit
doit être identifiable dans les données elles même..