Demande 'signature(s)' Saser

Le
Thibaut
Bijour,


Quelqu'un aurait-il l'amabilité de poster la première et la dernière
ligne de la partie du mail multipart qui contient le ver dans les
couriers électroniques ?

Ceci me permettrait de mettre un filtre sur postfix de manière à ne pas
accepter ce type de mail lors de sa tentative d'entrée au niveau du
serveur smtp

Ca devrait ressembler à un truc comme ca :


=_NextPart_000_0016-=_NextPart_000_0016
Content-Type: application/octet-stream;
name="details.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="details.zip"

UEsDBAoAAAAAANVWijCjiB3egHMAAIBzAABUAAAAZGV0YWlscy50eHQgICAgICAgICAgICAg
[]
JFfBa293c0TfPuRj+ep5pTmgLRROYW1MhlBy8PJk45xMc2p2H0xpYjtTLz5UUJNDz+5uNA0Y
TGG8RXLcXOvFjE11CHjMTgMAAAAAAAAAAAAAAAAA


Merci d'avance

thibaut.
PS : les lignes envoyées sont celles qui correspondent à Netsky (je n'ai
plus le détail de la variante)
Elles permettent, en l'ajoutant dans le fichier body_checks de postfix
de rejeter le mail :

/^RSLxwtYBDB6FCv8ybBcS0zp9VU5of3K4BXuwyehTM0RI9IrSjVuwP94xfn0wgOjouKWzGXHVk3qg$/
REJECT
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Frederic Bonroy
Le #1468384

Quelqu'un aurait-il l'amabilité de poster la première et la dernière
ligne de la partie du mail multipart qui contient le ver dans les
couriers électroniques ?


Si vous recevez un Sasser par courrier, envoyez le aux éditeurs car il
est probable qu'ils ne l'auront pas encore vu. ;-)

(Les variantes connues de Sasser ne se propagent pas par courrier, et vu
sa nature il est peu probable qu'une telle variante naisse un jour.)

Faelan
Le #1468377
"Thibaut" news:40950ce8$0$31938$
Bijour,


Quelqu'un aurait-il l'amabilité de poster la première et la dernière
ligne de la partie du mail multipart qui contient le ver dans les
couriers électroniques ?

Ceci me permettrait de mettre un filtre sur postfix de manière à ne pas
accepter ce type de mail lors de sa tentative d'entrée au niveau du
serveur smtp


Risque pas de trouver grand-chose, votre filtre :-))
C'est un virus IP attaquant le port 445 (dépassement de tampon).

--

F.

Thibaut
Le #1135566
Risque pas de trouver grand-chose, votre filtre :-))
C'est un virus IP attaquant le port 445 (dépassement de tampon).



C'est plus clair ... il ne reste plus qu'a fermer le port sur le fw à
l'entrée ... merci pour l'info :)

ppc
Le #1135422
Frederic Bonroy wrote:

Si vous recevez un Sasser par courrier, envoyez le aux éditeurs car il
est probable qu'ils ne l'auront pas encore vu. ;-)


Votre amabilité triplée de régénosité me dépasse;
Alors pourquoi pas vous l'expert n'enverrait pas
chez les éditeurs "..." le contenu et le fruit de
ses recherches?

Chercheur ou chargé?

Philippe Boulet
Le #1468339
"Thibaut" news:40953f4e$0$31942$

Risque pas de trouver grand-chose, votre filtre :-))
C'est un virus IP attaquant le port 445 (dépassement de tampon).



C'est plus clair ... il ne reste plus qu'a fermer le port sur le fw à
l'entrée ... merci pour l'info :)


Le fermer, oui.
Mais pourquoi était-il ouvert ?


Faelan
Le #1468335
"Thibaut" news:40953f4e$0$31942$

Risque pas de trouver grand-chose, votre filtre :-))
C'est un virus IP attaquant le port 445 (dépassement de tampon).



C'est plus clair ... il ne reste plus qu'a fermer le port sur le fw à
l'entrée ... merci pour l'info :)


Notez que je me demande pourquoi il était ouvert....

--

F.


Publicité
Poster une réponse
Anonyme