Bagle.i et les zip protégés par mot de passe

Le
Nicob
Salut !

Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?

Bloquer les ZIP ?
Bloquer une chaine quelconque ?


Nicob
Vos réponses Page 1 / 7
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
T0t0
Le #1099931
"Nicob" news:
Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?
Bloquer les ZIP ?


A mon avis, c'est sortir la grosse artillerie :-)

Bloquer une chaine quelconque ?


Oui, filtrer sur le contenu ou l'objet peut être une idée.

J'avais fait comme ca pour sven, ca marchait très bien.
Par contre, il me semble que j'en ai reçu un qui n'avait pas du tout
cette tête là...


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Frederic Bonroy
Le #1099930
Nicob wrote:

Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?

Bloquer les ZIP ?
Bloquer une chaine quelconque ?


On peut les bloquer heuristiquement si on a la possibilité d'analyser le
corps du message. S'il y a un nombre de 5 chiffres dans un message très
court avec un ZIP au bout alors on peut filtrer.

Du moins d'après les messages que j'ai vus.

T0t0
Le #1099929
"T0t0" news:
Par contre, il me semble que j'en ai reçu un qui n'avait pas du tout
cette tête là...


Je m'autoréponds ;-)
Il s'agissait en fait de bagle.f, à filtrer aussi vu qu'il utilise le
même principe de zip protégé.



--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

joke0
Le #1099928
Salut,

Nicob:
Bloquer une chaine quelconque ?


Dans le corps du ver, les mots security, password (2x)
reviennent dans chaque phrase de conclusion:

1) For security reasons attached file is password protected. The password is "%s".
2) For security purposes the attached file is password protected. Password is "%s".
3) Attached file protected with the password for security reasons. Password is %s.

Le terme "e-mail account" revient souvent aussi dans la phrase d'intro et le titre.

Le nom des PJ:
Attach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message

Je pense que tu peux filtrer facilement sur le nom des PJ.

--
joke0

Frederic Bonroy
Le #1099927
joke0 wrote:

Dans le corps du ver, les mots security, password (2x)
reviennent dans chaque phrase de conclusion:

1) For security reasons attached file is password protected. The password is "%s".
2) For security purposes the attached file is password protected. Password is "%s".
3) Attached file protected with the password for security reasons. Password is %s.


J'ai un échantillon ici avec le message suivant:

You have won!!!

pass: 80400


Donc "pass" au lieu de "password".

Ronald
Le #1099926
On Wed, 03 Mar 2004 14:19:20 +0100, Nicob wrote:

Salut !

Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?

Bloquer les ZIP ?
Bloquer une chaine quelconque ?


Nicob
J'ai droit à indice, c'est quoi le type mime application/octet-stream ou

application/zip?

joke0
Le #1099925
Salut,

Frederic Bonroy:
J'ai un échantillon ici avec le message suivant:
You have won!!!
pass: 80400


Je parle de I-Worm.Bagle.i aka W32/
http://vil.nai.com/vil/content/v_101071.htm

Tu parles de I-Worm.Bagle.h aka W32/ aka
http://vil.nai.com/vil/content/v_101069.htm

Je pense que Nicob parle de la version KAV (petit i) ;-)

--
joke0

joke0
Le #1099924
Salut,

Ronald:
J'ai droit à indice, c'est quoi le type mime
application/octet-stream ou application/zip?


Content-Type: application/octet-stream

Bien vu :-)

--
joke0

Frederic Bonroy
Le #1099922
joke0 wrote:

Je pense que Nicob parle de la version KAV (petit i) ;-)


On voit où ça mène. :-(

Laurent Wacrenier
Le #1099782
joke0
Je pense que tu peux filtrer facilement sur le nom des PJ.


Je suppose aussi que le fait qu'il s'agisse d'un ZIP chiffré doit
doit être identifiable dans les données elles même..

Publicité
Poster une réponse
Anonyme