Salut, Nooooooooooooooon, mais vu dans la presse de ce jour, que c'est à partir de 12.ooh (dans 6mn) que tout ce déclanche. salut < AMcD wrote:
Jean-Louis Noel wrote:
Surtout que je (f-prot) ne l'ais pas encore vu ici. C'est toujours Swen qui est premier puis Mydoom.A ensuite Mimail.A.
Je pose ouvertement la question : quelqu'un l'a-t-il déjà vu ce Mydoom.B ?
Bye,
Yo !
Jean-Louis
busybee
Les piste en cours... 1/D'après le premiers indices, il paraîtrait que l'auteur de Mydoom peut être un universitaire américain var le ver ne s'envoit à aucune adresse en .edu 2/La première apparition du virus à eu lieu en Russie PS:Peut-on lire le code du programme et avec quel outil? A+
"AMcD" a écrit dans le message de news: 401c5f9f$0$11211$
Les piste en cours...
1/D'après le premiers indices, il paraîtrait que l'auteur de Mydoom peut
être un universitaire américain var le ver ne s'envoit à aucune adresse en
.edu
2/La première apparition du virus à eu lieu en Russie
PS:Peut-on lire le code du programme et avec quel outil?
A+
"AMcD" <arnold.mcdonald@free.fr> a écrit dans le message de news:
401c5f9f$0$11211$626a54ce@news.free.fr...
Les piste en cours... 1/D'après le premiers indices, il paraîtrait que l'auteur de Mydoom peut être un universitaire américain var le ver ne s'envoit à aucune adresse en .edu 2/La première apparition du virus à eu lieu en Russie PS:Peut-on lire le code du programme et avec quel outil? A+
"AMcD" a écrit dans le message de news: 401c5f9f$0$11211$
1/D'après le premiers indices, il paraîtrait que l'auteur de Mydoom peut être un universitaire américain var le ver ne s'envoit à aucune adresse en ..edu
Qu'ils disent...
Qu'est-ce qui empêche un Brésilien d'écrire un virus qui ne s'envoie pas aux adresses en .edu? :-)
2/La première apparition du virus à eu lieu en Russie
Qu'ils disent...
PS:Peut-on lire le code du programme et avec quel outil?
Oui, avec un désassembleur ou si vous aimez le risque avec un débogueur.
Désassembleur: cherchez Interactive Disassembler (IDA) sur http://www.simtel.net
Débogueur: http://home.t-online.de/home/OllyDbg
busybee schreef:
1/D'après le premiers indices, il paraîtrait que l'auteur de Mydoom peut
être un universitaire américain var le ver ne s'envoit à aucune adresse en
..edu
Qu'ils disent...
Qu'est-ce qui empêche un Brésilien d'écrire un virus qui ne s'envoie pas
aux adresses en .edu? :-)
2/La première apparition du virus à eu lieu en Russie
Qu'ils disent...
PS:Peut-on lire le code du programme et avec quel outil?
Oui, avec un désassembleur ou si vous aimez le risque avec un débogueur.
Désassembleur: cherchez Interactive Disassembler (IDA) sur
http://www.simtel.net
1/D'après le premiers indices, il paraîtrait que l'auteur de Mydoom peut être un universitaire américain var le ver ne s'envoit à aucune adresse en ..edu
Qu'ils disent...
Qu'est-ce qui empêche un Brésilien d'écrire un virus qui ne s'envoie pas aux adresses en .edu? :-)
2/La première apparition du virus à eu lieu en Russie
Qu'ils disent...
PS:Peut-on lire le code du programme et avec quel outil?
Oui, avec un désassembleur ou si vous aimez le risque avec un débogueur.
Désassembleur: cherchez Interactive Disassembler (IDA) sur http://www.simtel.net
Débogueur: http://home.t-online.de/home/OllyDbg
AMcD
Frederic Bonroy wrote:
Oui, avec un désassembleur ou si vous aimez le risque avec un débogueur.
Certes. Mais tu devrais appuyer un peu plus sur le fait qu'utiliser un débogueur peut s'avérer extrêment dangereux ! Uniquement à utiliser que si on maîtrise le processus hein...
Mais le problème des vers actuels est qu'ils sont packés et qu'aucun désassembleur ne dépacke. Il faut donc insérer quelques manipulations supplémentaires.
Oui, avec un désassembleur ou si vous aimez le risque avec un
débogueur.
Certes. Mais tu devrais appuyer un peu plus sur le fait qu'utiliser un
débogueur peut s'avérer extrêment dangereux ! Uniquement à utiliser que si
on maîtrise le processus hein...
Mais le problème des vers actuels est qu'ils sont packés et qu'aucun
désassembleur ne dépacke. Il faut donc insérer quelques manipulations
supplémentaires.
Oui, avec un désassembleur ou si vous aimez le risque avec un débogueur.
Certes. Mais tu devrais appuyer un peu plus sur le fait qu'utiliser un débogueur peut s'avérer extrêment dangereux ! Uniquement à utiliser que si on maîtrise le processus hein...
Mais le problème des vers actuels est qu'ils sont packés et qu'aucun désassembleur ne dépacke. Il faut donc insérer quelques manipulations supplémentaires.
Certes. Mais tu devrais appuyer un peu plus sur le fait qu'utiliser un débogueur peut s'avérer extrêment dangereux ! Uniquement à utiliser que si on maîtrise le processus hein... C'est évident. se lancer dans le debug sans maîtriser = infection.
Pour ceux que ça interresserait, un article que j'ai écris sur le désassemblage de vers avec IDA (la référence pour l'analyse de malwares):
http://miscmag.com/articles/index.php3?page`8
Mais le problème des vers actuels est qu'ils sont packés et qu'aucun désassembleur ne dépacke. Il faut donc insérer quelques manipulations supplémentaires.
J'en profite pour te filer ce que tu cherchais AMcD (et nicob): http://n.brulez.free.fr/sstic03-asprotect.pdf
J'ai sortis mon document .tex et je l'ai compilé directement (d'ou la date). Ya peut être des problèmes de mise en page ou autre, j'ai pas vraiment regardé.
Ca présente les techniques de protection d'exécutables PE qu'utilise Asprotect, plus complexe que les packers que l'on trouve sur les vers, qui ne sont vraiment pas méchants.
Pour finir, j'ai des exemplaires de Mydoom.b et comme je ne peux pas les partager, je vais donner le hash MD5 pour ceux qui auraient des versions bizzares et qui ne seraient pas si il s'agit d'une version b ou non. Il s'agit de la version qu'ont les éditeurs anti virus. (d'ou le non partage.)
A noter qu'il ya aussi des mydoom.a infectés qui circulent:
Avec win95.spaces.1445.a et win32.xorala.
Voila.
Cordialement,
Nicolas Brulez.
Certes. Mais tu devrais appuyer un peu plus sur le fait qu'utiliser un
débogueur peut s'avérer extrêment dangereux ! Uniquement à utiliser que si
on maîtrise le processus hein...
C'est évident. se lancer dans le debug sans maîtriser = infection.
Pour ceux que ça interresserait, un article que j'ai écris sur le
désassemblage de vers avec IDA (la référence pour l'analyse de malwares):
http://miscmag.com/articles/index.php3?page`8
Mais le problème des vers actuels est qu'ils sont packés et qu'aucun
désassembleur ne dépacke. Il faut donc insérer quelques manipulations
supplémentaires.
J'en profite pour te filer ce que tu cherchais AMcD (et nicob):
http://n.brulez.free.fr/sstic03-asprotect.pdf
J'ai sortis mon document .tex et je l'ai compilé directement (d'ou la date).
Ya peut être des problèmes de mise en page ou autre, j'ai pas vraiment
regardé.
Ca présente les techniques de protection d'exécutables PE qu'utilise
Asprotect, plus complexe que les packers que l'on trouve sur les vers,
qui ne sont vraiment pas méchants.
Pour finir, j'ai des exemplaires de Mydoom.b et comme je ne peux pas les
partager, je vais donner le hash MD5 pour ceux qui auraient des versions
bizzares et qui ne seraient pas si il s'agit d'une version b ou non.
Il s'agit de la version qu'ont les éditeurs anti virus. (d'ou le non
partage.)
Certes. Mais tu devrais appuyer un peu plus sur le fait qu'utiliser un débogueur peut s'avérer extrêment dangereux ! Uniquement à utiliser que si on maîtrise le processus hein... C'est évident. se lancer dans le debug sans maîtriser = infection.
Pour ceux que ça interresserait, un article que j'ai écris sur le désassemblage de vers avec IDA (la référence pour l'analyse de malwares):
http://miscmag.com/articles/index.php3?page`8
Mais le problème des vers actuels est qu'ils sont packés et qu'aucun désassembleur ne dépacke. Il faut donc insérer quelques manipulations supplémentaires.
J'en profite pour te filer ce que tu cherchais AMcD (et nicob): http://n.brulez.free.fr/sstic03-asprotect.pdf
J'ai sortis mon document .tex et je l'ai compilé directement (d'ou la date). Ya peut être des problèmes de mise en page ou autre, j'ai pas vraiment regardé.
Ca présente les techniques de protection d'exécutables PE qu'utilise Asprotect, plus complexe que les packers que l'on trouve sur les vers, qui ne sont vraiment pas méchants.
Pour finir, j'ai des exemplaires de Mydoom.b et comme je ne peux pas les partager, je vais donner le hash MD5 pour ceux qui auraient des versions bizzares et qui ne seraient pas si il s'agit d'une version b ou non. Il s'agit de la version qu'ont les éditeurs anti virus. (d'ou le non partage.)
Certes. Mais tu devrais appuyer un peu plus sur le fait qu'utiliser un débogueur peut s'avérer extrêment dangereux ! Uniquement à utiliser que si on maîtrise le processus hein...
C'est évident. se lancer dans le debug sans maîtriser = infection.
Oh, même en maîtrisant. Et ça arrive même aux cadors. Je crois que c'est arrivé à Ször si j'ai bonne mémoire...
Pour ceux que ça interresserait, un article que j'ai écris sur le désassemblage de vers avec IDA (la référence pour l'analyse de malwares):
Oui, il est sympa l'ami IDA. Mais bon, 400 USD, il pousse un peu quand même notre ami belge. Peut pas me payer ça moi. Oui, il y a bien une version gratos, mais lourdingue à manipuler. Enfin bon, c'est la vie.
J'en profite pour te filer ce que tu cherchais AMcD (et nicob): http://n.brulez.free.fr/sstic03-asprotect.pdf
Cool. Merci. À charge de revanche...
J'ai sortis mon document .tex et je l'ai compilé directement (d'ou la date). Ya peut être des problèmes de mise en page ou autre, j'ai pas vraiment regardé.
Nan, nan, ça boume.
Ca présente les techniques de protection d'exécutables PE qu'utilise Asprotect, plus complexe que les packers que l'on trouve sur les vers, qui ne sont vraiment pas méchants.
Certes. Tu as des liens sur le crack de HASP ?
Pour finir, j'ai des exemplaires de Mydoom.b et comme je ne peux pas les partager,
Heu, pourquoi ? Qu'est-ce qui t'empêche de redistribuer ?
je vais donner le hash MD5 pour ceux qui auraient des versions bizzares et qui ne seraient pas si il s'agit d'une version b ou non. Il s'agit de la version qu'ont les éditeurs anti virus. (d'ou le non partage.)
Ha OK. En fait ce qui m'intéressait c'est juste de voir le coup de l'auto-inferction-automatique-sans-cliquage. Toi qui peux voir, bullshit ?
Sinon, il n'y a que les diteurs d'AV qui l'ont ou quoi ? Non, parce que, je commence à douter...
Certes. Mais tu devrais appuyer un peu plus sur le fait qu'utiliser
un
débogueur peut s'avérer extrêment dangereux ! Uniquement à utiliser
que si
on maîtrise le processus hein...
C'est évident. se lancer dans le debug sans maîtriser = infection.
Oh, même en maîtrisant. Et ça arrive même aux cadors. Je crois que c'est
arrivé à Ször si j'ai bonne mémoire...
Pour ceux que ça interresserait, un article que j'ai écris sur le
désassemblage de vers avec IDA (la référence pour l'analyse de
malwares):
Oui, il est sympa l'ami IDA. Mais bon, 400 USD, il pousse un peu quand même
notre ami belge. Peut pas me payer ça moi. Oui, il y a bien une version
gratos, mais lourdingue à manipuler. Enfin bon, c'est la vie.
J'en profite pour te filer ce que tu cherchais AMcD (et nicob):
http://n.brulez.free.fr/sstic03-asprotect.pdf
Cool. Merci. À charge de revanche...
J'ai sortis mon document .tex et je l'ai compilé directement (d'ou la
date).
Ya peut être des problèmes de mise en page ou autre, j'ai pas vraiment
regardé.
Nan, nan, ça boume.
Ca présente les techniques de protection d'exécutables PE qu'utilise
Asprotect, plus complexe que les packers que l'on trouve sur les vers,
qui ne sont vraiment pas méchants.
Certes. Tu as des liens sur le crack de HASP ?
Pour finir, j'ai des exemplaires de Mydoom.b et comme je ne peux pas
les
partager,
Heu, pourquoi ? Qu'est-ce qui t'empêche de redistribuer ?
je vais donner le hash MD5 pour ceux qui auraient des
versions
bizzares et qui ne seraient pas si il s'agit d'une version b ou non.
Il s'agit de la version qu'ont les éditeurs anti virus. (d'ou le non
partage.)
Ha OK. En fait ce qui m'intéressait c'est juste de voir le coup de
l'auto-inferction-automatique-sans-cliquage. Toi qui peux voir, bullshit ?
Sinon, il n'y a que les diteurs d'AV qui l'ont ou quoi ? Non, parce que, je
commence à douter...
Certes. Mais tu devrais appuyer un peu plus sur le fait qu'utiliser un débogueur peut s'avérer extrêment dangereux ! Uniquement à utiliser que si on maîtrise le processus hein...
C'est évident. se lancer dans le debug sans maîtriser = infection.
Oh, même en maîtrisant. Et ça arrive même aux cadors. Je crois que c'est arrivé à Ször si j'ai bonne mémoire...
Pour ceux que ça interresserait, un article que j'ai écris sur le désassemblage de vers avec IDA (la référence pour l'analyse de malwares):
Oui, il est sympa l'ami IDA. Mais bon, 400 USD, il pousse un peu quand même notre ami belge. Peut pas me payer ça moi. Oui, il y a bien une version gratos, mais lourdingue à manipuler. Enfin bon, c'est la vie.
J'en profite pour te filer ce que tu cherchais AMcD (et nicob): http://n.brulez.free.fr/sstic03-asprotect.pdf
Cool. Merci. À charge de revanche...
J'ai sortis mon document .tex et je l'ai compilé directement (d'ou la date). Ya peut être des problèmes de mise en page ou autre, j'ai pas vraiment regardé.
Nan, nan, ça boume.
Ca présente les techniques de protection d'exécutables PE qu'utilise Asprotect, plus complexe que les packers que l'on trouve sur les vers, qui ne sont vraiment pas méchants.
Certes. Tu as des liens sur le crack de HASP ?
Pour finir, j'ai des exemplaires de Mydoom.b et comme je ne peux pas les partager,
Heu, pourquoi ? Qu'est-ce qui t'empêche de redistribuer ?
je vais donner le hash MD5 pour ceux qui auraient des versions bizzares et qui ne seraient pas si il s'agit d'une version b ou non. Il s'agit de la version qu'ont les éditeurs anti virus. (d'ou le non partage.)
Ha OK. En fait ce qui m'intéressait c'est juste de voir le coup de l'auto-inferction-automatique-sans-cliquage. Toi qui peux voir, bullshit ?
Sinon, il n'y a que les diteurs d'AV qui l'ont ou quoi ? Non, parce que, je commence à douter...
