Pre-requis: avoir utiliser dans le champ "Reply-To" une adresse facilement
modifiable.
Annuler aupres de son FAI l'adresse utilisee dans le champ "Reply-To".
Creer (aupres de son FAI) une adresse valide de retour differente de la
precedente.
Dans le parametrage de son lecteur de news inserer dans l'adresse de retour
un artifice du genre "NO_SWEN".
J'ai utilise personellement "No_Swen" dans la partie identifiant (avant le
@) et je n'ai eu aucun envoi de Swen
a cette adresse (une heure apres les premiers posts). Swen ne semble pas
avoir integre des regles de traitement
d'adresse comme les robots de spam.
J'etais refractaire a cette technique barbare, mais dans les jours ou
semaines a venir elle me parait la seule efficace
au vu de la faible reactivite des FAI.
dans (in) fr.comp.securite.virus, "H. Michaud" ecrivait (wrote) :
Bonsoir,
Michel Doucet a écrit:
"H. Michaud" a émis l'idée suivante :
En mettant une adresse invalide dans le From ET dans le Reply-to, on peut générer *deux fois plus* de traffic qu'avec une seule adresse, vu que le ver a des chances de récupérer les deux et de tenter de s'y envoyer ! ... avec 2 adresses invalides ???
Ben oui, bien sûr.
Pire que ça. Le ver se connecte au(x) serveur(s) de niouzes accessible(s) depuis le machine hôte, récupère tous les en-têtes, et se duplique sur *toutes* les adresses trouvées (y-compris le Message-Id: ).
On ne sait pas l'adresse est invalide avant de tenter de s'y envoyer, sauf si le codeur a pris la peine de tenir compte des .invalid,
L'auteur du virus n'a visiblement tenu compte de rien d'intelligent (du moins sur ce point). Le virus trouve une ligne comportant un « @ », et hop il essaie d'écrire à cette « adresse ».
Mais si le domaine de l'adresse invalide existe, le mail ira jusque là avant de se rendre compte que l'utilisateur n'existe pas (en faisant mouliner le serveur qui n'avait pas mérité ça, et hop, un bounce dans la face de la personne dont l'adresse a été usurpée par le ver). C'est comme ça qu'on a vu débarquer ici des personnes paniquées de recevoir ces bounces et persuadées d'être infectées.
Ca me conforte dans mon analyse qui est que l'unique objectif de ce virus semble être de se multiplier aussi vite et en autant d'exemplaires que possible, analyse confortée par le fait que, sauf erreur de ma part toujours possible le bidule, Swen ne cherche ni à détruire des données sur la machine hôte, ni ouvrir une backdoor, ni rien en fait.
-- Eric
dans (in) fr.comp.securite.virus, "H. Michaud" <jokeuse@lacave.net>
ecrivait (wrote) :
Bonsoir,
Michel Doucet a écrit:
"H. Michaud" a émis l'idée suivante :
En mettant une adresse invalide dans le From ET dans le Reply-to, on
peut générer *deux fois plus* de traffic qu'avec une seule adresse, vu
que le ver a des chances de récupérer les deux et de tenter de s'y
envoyer !
... avec 2 adresses invalides ???
Ben oui, bien sûr.
Pire que ça. Le ver se connecte au(x) serveur(s) de niouzes
accessible(s) depuis le machine hôte, récupère tous les en-têtes, et se
duplique sur *toutes* les adresses trouvées (y-compris le Message-Id: ).
On ne sait pas l'adresse est invalide avant de tenter de s'y envoyer,
sauf si le codeur a pris la peine de tenir compte des .invalid,
L'auteur du virus n'a visiblement tenu compte de rien d'intelligent (du
moins sur ce point). Le virus trouve une ligne comportant un « @ », et
hop il essaie d'écrire à cette « adresse ».
Mais si le domaine de l'adresse invalide existe, le mail ira jusque là
avant de se rendre compte que l'utilisateur n'existe pas (en faisant
mouliner le serveur qui n'avait pas mérité ça, et hop, un bounce dans la
face de la personne dont l'adresse a été usurpée par le ver). C'est
comme ça qu'on a vu débarquer ici des personnes paniquées de recevoir
ces bounces et persuadées d'être infectées.
Ca me conforte dans mon analyse qui est que l'unique objectif de ce
virus semble être de se multiplier aussi vite et en autant d'exemplaires
que possible, analyse confortée par le fait que, sauf erreur de ma part
toujours possible le bidule, Swen ne cherche ni à détruire des données
sur la machine hôte, ni ouvrir une backdoor, ni rien en fait.
dans (in) fr.comp.securite.virus, "H. Michaud" ecrivait (wrote) :
Bonsoir,
Michel Doucet a écrit:
"H. Michaud" a émis l'idée suivante :
En mettant une adresse invalide dans le From ET dans le Reply-to, on peut générer *deux fois plus* de traffic qu'avec une seule adresse, vu que le ver a des chances de récupérer les deux et de tenter de s'y envoyer ! ... avec 2 adresses invalides ???
Ben oui, bien sûr.
Pire que ça. Le ver se connecte au(x) serveur(s) de niouzes accessible(s) depuis le machine hôte, récupère tous les en-têtes, et se duplique sur *toutes* les adresses trouvées (y-compris le Message-Id: ).
On ne sait pas l'adresse est invalide avant de tenter de s'y envoyer, sauf si le codeur a pris la peine de tenir compte des .invalid,
L'auteur du virus n'a visiblement tenu compte de rien d'intelligent (du moins sur ce point). Le virus trouve une ligne comportant un « @ », et hop il essaie d'écrire à cette « adresse ».
Mais si le domaine de l'adresse invalide existe, le mail ira jusque là avant de se rendre compte que l'utilisateur n'existe pas (en faisant mouliner le serveur qui n'avait pas mérité ça, et hop, un bounce dans la face de la personne dont l'adresse a été usurpée par le ver). C'est comme ça qu'on a vu débarquer ici des personnes paniquées de recevoir ces bounces et persuadées d'être infectées.
Ca me conforte dans mon analyse qui est que l'unique objectif de ce virus semble être de se multiplier aussi vite et en autant d'exemplaires que possible, analyse confortée par le fait que, sauf erreur de ma part toujours possible le bidule, Swen ne cherche ni à détruire des données sur la machine hôte, ni ouvrir une backdoor, ni rien en fait.
-- Eric
Jeff Mevel
"Jérémy JUST" a écrit dans le message de news:
Tout ça pour dire que: ouais, on peut toujours devancer les robots de collectes d'adresses (que ce soit des robots de spammeurs ou des virus) et déménager régulièrement. Mais c'est pas très confortable.
Bonsoir,
Ce n'est pas tres confortable, mais les adresses publiees sur Usenet ont toujours ete considerees a "haut risque" et chaque contributeur doit en etre conscient et prendre les mesures qui s'imposent: n'utiliser qu'une adresse secondaire fournie par son FAI et pouvoir la modifier aisement. Sur Usenet, tomber sur une adresse de retour invalide est agacant, mais en repostant sur le groupe, on peut reprendre contact avec le contributeur.
Cordialement
"Jérémy JUST" <jeremy_just@netcourrier.com> a écrit dans le message de
news:20030921165722.5973a7d9.jeremy_just@netcourrier.com...
Tout ça pour dire que: ouais, on peut toujours devancer les robots de
collectes d'adresses (que ce soit des robots de spammeurs ou des virus)
et déménager régulièrement. Mais c'est pas très confortable.
Bonsoir,
Ce n'est pas tres confortable, mais les adresses publiees sur Usenet ont
toujours ete considerees a "haut risque" et chaque contributeur doit en
etre conscient et prendre les mesures qui s'imposent: n'utiliser qu'une
adresse secondaire fournie par son FAI et pouvoir la modifier aisement.
Sur Usenet, tomber sur une adresse de retour invalide est agacant, mais
en repostant sur le groupe, on peut reprendre contact avec le contributeur.
Tout ça pour dire que: ouais, on peut toujours devancer les robots de collectes d'adresses (que ce soit des robots de spammeurs ou des virus) et déménager régulièrement. Mais c'est pas très confortable.
Bonsoir,
Ce n'est pas tres confortable, mais les adresses publiees sur Usenet ont toujours ete considerees a "haut risque" et chaque contributeur doit en etre conscient et prendre les mesures qui s'imposent: n'utiliser qu'une adresse secondaire fournie par son FAI et pouvoir la modifier aisement. Sur Usenet, tomber sur une adresse de retour invalide est agacant, mais en repostant sur le groupe, on peut reprendre contact avec le contributeur.
