Messages vides avec fichier .pif

"Francois Le Gad" <francois.le.gad@haltospam.free.fr> a écrit dans le
message de news:mesnews.dd8a7d38.54dd2c4c.259.1271@haltospam.free.fr...

Ça vient d'un abonné de chez Noos. Tu peux envoyer les en-têtes, mais
pas les fichiers joints, à:
hostmaster@noos.net
qui alertera l'intéressé.

Bien, merci.

--
rob

"Emmanuel Florac" <eflorac@imaginet.fr> a écrit dans le message de
news:MPG.19b74806e09936e898c8b7@news.free.fr...

Les messages contenant des .pif, des .scr sont des virus à 99.9%.

Bon, je m'en doutais bien un peu, mais comme je n'y connais rien...

On passe un temps fou à blinder sa machine (mises à jour : windows, norton),
à configurer (oe, ie), crypter, firewalliser, et on est quand même emmerdé.

--
rob

"ho alexandre" <xandrex_usenet@m4x.org> a écrit dans le message de
news:3f4d39ff$0$27002$626a54ce@news.free.fr...

T'sa aussi la méthode intelligente :

Tout ce que tu énonces ne m'empêchera pas de recevoir des virus sous forme
de fichiers pif dans ma boîte laposte.net !

et là, pas besoin d'antivirus,

J'en doute.

Pour le chiffrement c'est tout autre chose, je considère que cela fait
partie de la paranoïa à laquelle tout individu a droit (= c'est du luxe).

Là par contre, ce n'est pas du luxe de crypter mon adresse email sur mon
site...

--
rob

On Wed, 27 Aug 2003 23:17:09 +0200, rob wrote:

Subject: Re: Wicked screensaver
X-MailScanner: Found to be clean

Subject: Re: Re: My details
X-MailScanner: Found to be clean

Je vais bien sûr écrire à ces personnes pour les prévenir, mais quelqu'un
peut-il me dire ce que sont ces fichiers (details.pif, applications.pif)
joints avec ces messages ?

Les deux en-têtes que j'ai laissées sont les marques du virus Sobig.F :

http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html

Sinon, comme le dit un précédent intervenant, les extensions .pif (ainsi
que .shs, .scr, .com) sont quasi exclusivement des virus.

Fred
--
HTML's a cheap whore. Treating her with respect is possible, and even
preferable, because once upon a time she was a beautiful and virginal
format, but you shouldn't expect too much of her at this point.
(Mark 'Kamikaze' Hughes in the SDM)

ben64 wrote:

Les virus actuels ont quand même des modes d'install assez grossiers, et

si on ne clique pas sur n'importe quoi, et qu'on utilise pas les soft
microsoft qui sont ultra-exploités par ces bestioles, les risque se
réduisent énormément.

Il suffit de voire blaster, pas la peine de cliquer, pas la peine
d'utiliser IE ou OE, ... Juste un Windows NT/2000/WP/2003 te suffit pour
le chopper ...

hé, oui, on touche au limite de la démarche, il y a quelques exceptions.

Mais dans mon cas, tu vois, cela a parfaitement suffit.

Je n'incite pas les gens à faire comme moi, je dis juste qu'avec un peu
de prudence on règle 95% des pb. Si en plus on met des soft de
protection, c'est broadway.

--
____________________________________________________________________
http://batraciens.net/
"BATRACIENS" : Un site consacré à l'élevage et la maintenance des
batraciens, aquatiques ou terrestres.
Nombreuses Photos et articles de maintenance. Petites annonces.
____________________________________________________________________
____________________________________________________________________

rob wrote:

Tout ce que tu énonces ne m'empêchera pas de recevoir des virus sous forme
de fichiers pif dans ma boîte laposte.net !

c'est vrai, mais ils sont inactifs par défaut. C'est comme si tu
recevais une lettre d'insulte par courrier postal.

et là, pas besoin d'antivirus,

J'en doute.

Je n'en ai pas et me porte très bien, ça fait depuis septembre 2002 que
j'ai désinstallé l'antivirus. Je n'ai pas besoin d'un programme pour me
dire qu'un fichier PIF est un virus. Et pour les virus macros dans les
documents Office, je t'ai déjà donné ma solution.

Pour le chiffrement c'est tout autre chose, je considère que cela fait
partie de la paranoïa à laquelle tout individu a droit (= c'est du luxe).

Là par contre, ce n'est pas du luxe de crypter mon adresse email sur mon
site...

Certes, mais ça ne fait que repousser l'échéance où tu devras t'occuper
des spams. Aujourd'hui, lesspams c'est 40% du trafic des mails dans le
monde. On est épargnés en France, parce que nous parlons une langue
régionale, mais ça ne durera pas.
Encore une fois, il y a de bons outils qui permettent de détecter
efficacement les spams. Sous linux il y a pléthore (spamassassin,
bogofilter), et sous windows aussi certainement (pour ma part j'utilise
MozillaMail avec son module avancé de détection de spam).



--
XandreX
/I'm that kind of people your parents warned you about/

On Thu, 28 Aug 2003 11:23:24 +0200, ho alexandre wrote:

et là, pas besoin d'antivirus,

J'en doute.

Je n'en ai pas et me porte très bien, ça fait depuis septembre 2002 que
j'ai désinstallé l'antivirus. Je n'ai pas besoin d'un programme pour me
dire qu'un fichier PIF est un virus. Et pour les virus macros dans les
documents Office, je t'ai déjà donné ma solution.

Je n'ai jamais eu d'anti-virus. Je tourne avec un firewall externe
(donc pas un machin applicatif sur le poste même), et des outils
appropriés. Le seul virus que j'aie jamais déclenché, c'était une
fausse manip.

Pour le chiffrement c'est tout autre chose, je considère que cela fait
partie de la paranoïa à laquelle tout individu a droit (= c'est du luxe).

Là par contre, ce n'est pas du luxe de crypter mon adresse email sur mon
site...

Certes, mais ça ne fait que repousser l'échéance où tu devras t'occuper
des spams. Aujourd'hui, lesspams c'est 40% du trafic des mails dans le
monde. On est épargnés en France, parce que nous parlons une langue
régionale, mais ça ne durera pas.
Encore une fois, il y a de bons outils qui permettent de détecter
efficacement les spams. Sous linux il y a pléthore (spamassassin,
bogofilter), et sous windows aussi certainement (pour ma part j'utilise
MozillaMail avec son module avancé de détection de spam).

Le début de la solution au spam est de déplacer un maximum le combat en
amont.

Pour moi, un soft qui filtre le spam sur le poste du client ou dans la
mailbox sur le serveur est une solution qui ne règle qu'une toute petite
partie du problème, voire en crée plus qu'elle n'en résout.

Le pas suivant serait de réussir à faire en sorte que les fournisseurs
d'accès et de services mettent en place des solutions à l'entrée de
leurs machines.

IMHO, bien sûr.

Fred
--
Here we see a family group of spammers in their distinctive trailer
habitat; we have to be careful not to disturb them. Though they have
poor eyesight and seriously-limited mental capacities, they can
nevertheless be very dangerous if you get between a male and his beer.

"rob" <boiteolettres@voila.fr> écrivait dans le message
news:bij74m$dc4$1@news-reader1.wanadoo.fr :

Je reçois depuis quelques jours des messages vides avec un fichier
joint avec extension .pif d'une centaine de ko.

Le Return Path et le from est une adresse que je reconnais parfois,
mais une partie de l'entête semble commune (j'ai effacé les parties
avant l'arobase)
:

.../...

Je vais bien sûr écrire à ces personnes pour les prévenir, mais
quelqu'un peut-il me dire ce que sont ces fichiers (details.pif,
applications.pif) joints avec ces messages ?

C'est le virus Sobig F.
Tu trouveras plus d'infos sur ce virus ici:
http://www.secuser.com/alertes/2003/sobigf.htm

Pour ce qui est d'envoyer un mail aux personnes ça ne sert à rien: les
personnes contaminés par ce virus ne sont pas celles marquées comme étant
les émetteurs des mails: Sobig F se propage en s'expédiant automatiquement
les adresses mails présentes dans le carnet d'adresse et dans d'autres
fichiers, Sobig F prends également comme nom d'expéditeur un mail au hasard
dans ces mêmes fichiers.
Donc seule l'IP permet de savoir qui est contaminé: là c'est un abonné
Noos.

--
"Ceux qui pensent à tout n'oublient rien et ceux qui ne pensent à rien font
de même puisque ne pensant à rien ils n'ont rien à oublier."
(Pierre Dac)

F. Senault wrote:

Le début de la solution au spam est de déplacer un maximum le combat en
amont.

Pour moi, un soft qui filtre le spam sur le poste du client ou dans la
mailbox sur le serveur est une solution qui ne règle qu'une toute petite
partie du problème, voire en crée plus qu'elle n'en résout.

J'y ai pensé aussi ("pourquoi ça serait à moi de le faire ?"), mais je
n'ai pas eu la même conclusion que toi. Pourquoi ? Parce que les bons
détecteurs de spams le font à partir d'une base évolutive. Tous les
messages en coréen que j'ai jamais reçus sont des spams pour moi (je ne
parle pas coréen), et une bonne partie des messages en CowB0y2 que je
reçois sont de vrais mails que j'attends. Un coréen qui n'a aucun ami
informaticien pourrait recevoir pleins de vrais mails en coréens, et
tous les mails en cowboyz étant des spams. Cela te montre qu'un
détecteur de spam se base sur une base individuelle, on ne peut pas
utiliser la même base pour deux utilisateurs différents.



Alors me diras-tu, c'est facile, il suffit sur le serveur hébergeant le
détecteur de spam de faire une base par utilisateur. OK, mais
potentiellement, cela fait une augmentation de 40% de l'espace disque
alloué à cet utilisateur (à espace disque utile égal, puisque dans le
monde 40% des mails sont des spams).

Pourquoi faut-il conserver tous ces spams ?
Aujourd'hui, les détecteurs de spams les plus performants sont basés sur
un algorithme de Bayes, c'est-à-dire en gros qu'on fait une empreinte
digitale des mails reconnus comme spams, et qu'on compare cette
empreinte avec tout nouveau mail reçu. Mais ce n'est pas tout, car la
façon de calculer cette empreinte évolue dans le temps (c'est du
fortement récursif à la fois en t et en n), ce qui entraine en
simplifiant qu'il faut conserver tous les spams.

Il n'y a pas que cela. Cet algorithme baysien est un algorithme basé sur
la détection manuelle. Il y a une phase initiale (~ 100 mails pour
l'implémentation faite dans Mozilla) durant laquelle l'utilisateur doit
marquer les spams un par un, en les estampillant d'un gros tampon
"SPAM". Après avoir éduqué le détecteur, l'utilisateur commence à
pouvoir bénéficier de ces acquis, et au bout de quelques centaines de
mails de spams détectés la marge d'erreur (faux positifs et faux
négatifs) diminue pour atteindre moins de 1%.
Pour les faux négatifs : ce n'est pas grave, ça fait juste un spam non
détecté.
Pour les faux positifs, par contre, c'est tout à fait différent : moi,
avec ma base de 2700spams, il m'arrive encore d'avoir des faux-positifs,
un exemple type étant un ami à moi qui me forwarde un mail de spam en me
demandant si c'est sérieux ou pas. Je veux donc être capable de voir ce
mail, et pour cela il faut que je sois en mesure de mater les mails que
le détecteur a considéré comme du spam.
Avec un webmail ou en IMAP, cela reste du domaine du possible, il suffit
de mater le dossier contenant la base de spams.
En POP3 c'est déjà plus délicat, le fournisseur de ce service, comment
il me permet d'accéder à ces mails ?



En fait je dis tout cela avec un pré-requis fort que je n'ai pas
explicité : que fait le détecteur quand il considère un email comme
étant du spam ? La première solution qui vient à l'esprit, est de mettre
ce mail ailleurs, pour que quand je télécharge mes mails, je ne le
télécharge pas. Là on se retrouve avec tous les problèmes ci-dessus.
Une autre solution est de /marquer/ réellement le mail comme étant du
spam. Soit en ajoutant une balise dans le Subject: , toi en ajoutant un
champ supplémentaire. Alors je télécharge malgré tout le mail, et c'est
ensuite mon client mail qui s'occupe de gérer le tout.
Une autre solution est de tout avoir côté client (c'est ce qui se passe
pour moi actuellement) : mon client pop3 récupère tous les mails, puis
les fait passer à travers son détecteur de spam (Mozilla Junk Mail
Filter), qui ensuite fait ce qu'il fait (par exemple déplacer tous ces
spams détectés dans un répertoire spécifique, que je consulte ensuite
une fois par semaine).

Voilà quelques réflexions, mettre le détecteur de spam côté serveur
n'est pas aussi évident.



--
XandreX
/I'm that kind of people your parents warned you about/

On Thu, 28 Aug 2003 16:23:53 +0200, ho alexandre wrote:

F. Senault wrote:

Le début de la solution au spam est de déplacer un maximum le combat en
amont.

Pour moi, un soft qui filtre le spam sur le poste du client ou dans la
mailbox sur le serveur est une solution qui ne règle qu'une toute petite
partie du problème, voire en crée plus qu'elle n'en résout.

J'y ai pensé aussi ("pourquoi ça serait à moi de le faire ?"), mais je
n'ai pas eu la même conclusion que toi. Pourquoi ? Parce que les bons
détecteurs de spams le font à partir d'une base évolutive.

Bien sur que non. C'est certainement la méthode qui te donnera un
meilleur résultat. Maintenant, oh surprise, un SpamAssassin avec les
filtre Bayesiens débranchés permet tout de même de filtrer plus de 90%
du spam avec certitude et sans faux positifs, ce n'est pas ce que
j'appelle un mauvais détecteur de spam. Cette config la, rien n'empêche
de l'utiliser, on évite déjà une grosse part d'encombrement.

Et si quelqu'un veut rajouter un filtre Bayesien client-side ensuite,
rien ne l'en empêche. Au passage, des outils tout-publics existent pour
réaliser le filtrage, mais visiblement, la grande majorité des gens ne
les utilisent pas, par méconnaissance ou par flemme.

[Snip le reste basé sur le postulat que Bayes est le seul bon système.]

En fait je dis tout cela avec un pré-requis fort que je n'ai pas
explicité : que fait le détecteur quand il considère un email comme
étant du spam ? La première solution qui vient à l'esprit, est de mettre
ce mail ailleurs, pour que quand je télécharge mes mails, je ne le
télécharge pas. Là on se retrouve avec tous les problèmes ci-dessus.

Et tous les avantages (par exemple les économes de temps et de bande
passante) ; je pense particulièrement à la possibilité de garder un log
et un historique sur le serveur.

Voilà quelques réflexions, mettre le détecteur de spam côté serveur
n'est pas aussi évident.

Mon expérience à petite échelle montre que, finalement, ce n'est pas si
compliqué non plus.

Fred
--
(About the antispam movement.) There is no organization. Nobody can make
deals, nobody has the authority to surrender.All people with pretensions
of "leadership" do is make it look like a small bunch of people with no
life. It's a *big* bunch of people with no life. (Paul Vader, nanae)