Klez propagation detectee par NIS2004

R.Etienne wrote:

Depuis qques jours, lorsque je récupère mon courrier sur le pop de
free, j'ai une alerte Norton:

---------------------
Intrusion détectée et bloquée. Toutes les communications avec
pop.free.fr(212.27.42.12) seront bloquées pendant 60 minutes.
------------------------

C'est un gag ou c'est sérieux ?

--
Roland Garcia

Non, c'est très sérieux.
J'aimerais savoir si d'autres utilisateurs subissent cela.
Je viens de faire une tour sur Secuser.com, qui vient de publier une
alerte aujourd'hui, mais sans parler d'une propoagation via un serveur
pop:
<http://www.secuser.com/alertes/2002/klez.htm>
J'ajoute que tel que je suis protégé, je ne suis pas infecté, ni près
de l'être; ma base de registre est sous surveillance, NIS veille, et
mes e-mail passe d'abord par les filtres par mailwasher; c'est
d'ailleur à ce niveau que mes compte sur Free se bloquent pendant 60
minutes.

Le Sat, 17 Jul 2004 19:36:56 +0200, Roland Garcia

R.Etienne wrote:

Depuis qques jours, lorsque je récupère mon courrier sur le pop de
free, j'ai une alerte Norton:

---------------------
Intrusion détectée et bloquée. Toutes les communications avec
pop.free.fr(212.27.42.12) seront bloquées pendant 60 minutes.
------------------------

C'est un gag ou c'est sérieux ?

R.Etienne
Pour m'écrire personnellement, cliquez sur le lien suivant:
<http://www.cerbermail.com/?eeuMz6jj36>

R.Etienne wrote:

J'aimerais savoir si d'autres utilisateurs subissent cela.
Je viens de faire une tour sur Secuser.com, qui vient de publier une
alerte aujourd'hui, mais sans parler d'une propoagation via un serveur
pop:
<http://www.secuser.com/alertes/2002/klez.htm>

Klez n'a rien à voir là-dedans, c'est déjà un vieux machin. Klez arrive
sous forme de pièce jointe comme la plupart des virus qui se propagent
par courrier électronique (quant à l'usage du terme "propagation via un
serveur pop", c'est très ambigu puisque les virus passent bien sûr par
le serveur POP3, mais ce serveur POP3 fait simplement son boulot).
De manière générale, cela m'étonnerait que Norton considère la réception
d'un message infecté comme une intrusion, ce serait tiré par les cheveux.

J'ajoute que tel que je suis protégé, je ne suis pas infecté, ni près
de l'être; ma base de registre est sous surveillance, NIS veille,

Il veille peut-être un peu trop? :-)

et mes e-mail passe d'abord par les filtres par mailwasher; c'est
d'ailleur à ce niveau que mes compte sur Free se bloquent pendant 60
minutes.

C'est peut-être là qu'il faut commencer à chercher. Si NIS considérait
effectivement une simple conversation avec un serveur POP3 comme un
tentative d'intrusion, alors il serait bon pour la poubelle.

R.Etienne wrote:

Non, c'est très sérieux.
J'aimerais savoir si d'autres utilisateurs subissent cela.
Je viens de faire une tour sur Secuser.com, qui vient de publier une
alerte aujourd'hui, mais sans parler d'une propoagation via un serveur
pop:
<http://www.secuser.com/alertes/2002/klez.htm>

C'est vieux.

J'ajoute que tel que je suis protégé, je ne suis pas infecté, ni près
de l'être;

Même pas. La seule chose qui est sûre c'est que tout votre attirail
bloque le fonctionnement normal de la messagerie.

ma base de registre est sous surveillance,

Avec quoi ?

NIS veille,

Il fait quoi ce NIS ? anti-virus ? firewall ? les deux ?

--
Roland Garcia

Klez et nis 2004
Bonjour

ici avec un norton 2003 j'ai des email :
le proxy de norton à viré le mail ....
a+

--
Bruno.L
on the air http://www.rcf-lumieres.fr.st
Don't forget that :
Hiroshima 45, Chernobyl 86, Windows 95.

R.Etienne a utilisé son clavier pour écrire :

Non, c'est très sérieux.
J'aimerais savoir si d'autres utilisateurs subissent cela.

Non, mais ça m'étonnerait que cela vienne du mail reçu.

Dans l'aide de la version 2001 on peut lire ceci :

"Lorsqu'une attaque est détectée, Norton Internet Security vous
prévient et bloque toutes les communications en provenance de
l'ordinateur distant pendant 30 minutes. Ce blocage automatique des
communications est appelé AutoBlock.

La fonction AutoBlock interrompt toutes les communications issues de
l'ordinateur distant pendant 30 minutes. En revanche, elle ne vous
empêche pas de contacter cet ordinateur.

Les ordinateurs des zones Approuvés et Restreints ne sont pas concernés
par le blocage automatique. Les ordinateurs de la zone Approuvés ne
sont jamais bloqués, tandis que ceux de la zone Restreints le sont en
permanence.

Dans certains cas, Norton Internet Security peut considérer une
activité normale comme une attaque. Si vous ne parvenez pas à
communiquer avec un ordinateur avec lequel vous devriez pouvoir
communiquer, vérifiez si ce dernier ce trouve dans la liste Ordinateurs
actuellement bloqués par AutoBlock.

Si un ordinateur auquel vous voulez accéder apparaît dans la liste
Ordinateurs actuellement bloqués par AutoBlock, débloquez-le. "

Il ne doit pas y avoir grande différence en 2002 :-)

Juste pour confirmer que c'est la bonne reponse.

Il fait quoi ce NIS ? anti-virus ? firewall ? les deux ?

Les deux? plusque ça.
il faut lire la presse informatique cher gascon !
antipub, antispam , antitrojan,
Il arrete tout sauf vous!

haristo wrote:

Il fait quoi ce NIS ? anti-virus ? firewall ? les deux ?

Les deux? plusque ça.
il faut lire la presse informatique cher gascon !

A lire le gag je ne regrette pas :-)

antipub, antispam , antitrojan,

Et bloqueur© fermé© :-D

--
Roland Garcia

Le Sat, 17 Jul 2004 20:32:11 +0200, Gégé <pasdespams@spam.non> a écrit
:

Si un ordinateur auquel vous voulez accéder apparaît dans la liste
Ordinateurs actuellement bloqués par AutoBlock, débloquez-le. "

Effectivement, l'adresse IP de free était en autoblock (ce qui est
normal après une tentative d'intrusion); je l'ai exclus de la
liste.... je refais un essai, et cette fois je tombe sur le
pop.free.fr avec une autre IP (212.27.42.11(, que Norton bloque
aussitot avec le message d'alerte. L'intrus est Proxad (traceur
immédiat)

J'ai donc pris le risque de rapatrier mon courrier avec Outloock, et -
effectivement - il y avait un mail infecté par Klez (avec une piece
Mqlzs.scr) que NIS a détruit. (Les propriétés de la quarantaine me
permettent de constater qu'il s'agit du KlezH, et que le scr est un
écran de veille.)

En regardant de plus près les intrusions de ces derniers jours, je me
suis aperçu que ces attaques arrivaient sur différents ports, et avec
des IP de Free. Aucun probleme pourtant avec mes cptes chez wanadoo,
tele2 ou tiscali.

C'est à n'y rien comprendre, car depuis les premières attaques, je
peux récupérer mon courrier (après effacement des mails douteux par le
webmail de free et après l'attente prescrite par autoblock) Comment
un courrier vérolé pourrait être pris pour une intrusion par Norton? A
moins - disais je - que le serveur pop de free ne soit porteur d'une
saloperie quelconque???

Bon, si y'a des mecs sympa qui ont un peu de temps, voici le journal
(épuré) de Norton depuis la première attaque du 8 juillet.

Catégorie: Détection d'intrusion
Date,Message,Détails

17/07/2004 23:39:36,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.11)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4531."

17/07/2004 23:37:16,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.12)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4505."

17/07/2004 23:16:21,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.12)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4472."

17/07/2004 19:30:19,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.12)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4047."

17/07/2004 15:03:07,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.13)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 3677."

17/07/2004 15:00:29,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.14)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 3556."

16/07/2004 11:16:16,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.14)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 3191."

16/07/2004 09:39:42,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.13)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4849."

12/07/2004 18:04:47,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.14)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 3154."

12/07/2004 17:28:58,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.13)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 3125."

12/07/2004 17:25:51,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.12)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 3040."

12/07/2004 09:11:33,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.14)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 3009."

12/07/2004 09:07:11,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.13)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4952."

12/07/2004 08:47:48,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.12)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4841."

12/07/2004 08:45:52,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.11)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4749."

10/07/2004 09:55:20,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.13)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 3504."

09/07/2004 09:57:31,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.14)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 3345."

09/07/2004 09:32:27,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.11)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 3017."

08/07/2004 10:04:17,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.11)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4891."

08/07/2004 09:42:01,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.14)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4563."

08/07/2004 09:39:01,Intrusion : Klez_Propagation.,"Intrusion :
Klez_Propagation. Intrus : pop.free.fr(212.27.42.13)(pop3(110)).
Niveau de risque : Moyen. Protocole : TCP. IP attaquée : localhost.
Port attaqué : 4466."
R.Etienne
Pour m'écrire personnellement, cliquez sur le lien suivant:
<http://www.cerbermail.com/?eeuMz6jj36>

Le Sat, 17 Jul 2004 20:08:41 +0200, Frederic Bonroy

C'est peut-être là qu'il faut commencer à chercher. Si NIS considérait
effectivement une simple conversation avec un serveur POP3 comme un
tentative d'intrusion, alors il serait bon pour la poubelle.

Naturlich!
Mais il ne pose pas de probleme avec mes autres serveurs pop! Wana,
tiscali et tele2... Mais ourquoi seulement avec Free et lorsqu'il y a
des mail infectés par Klez? (Cette fois j'en suis sur)
Des virus, j'en récolte chaque jour avec mes autres FAI....

R.Etienne
Pour m'écrire personnellement, cliquez sur le lien suivant:
<http://www.cerbermail.com/?eeuMz6jj36>