Ne jetez pas Mydoom.b !

salut
"Pierre Aubineau" <pierre.aubineau_retirez_ça@free.fr> a écrit dans le
message news: to9l10dn01e6iith849g775fce5ktijd42@4ax.com

Curieux, quand même, sa petite taille et le fait que Norton qui m'en
éradique des pelletées n'ait pas vu celui-là.
Un mutant ? :)

non, un mail déjà désinfecté par un autre AV en amont

normal que NAV n'ait rien dit

@tchao

salut
"J-P Louvet" <jpl67@wanad00.fr> a écrit dans le message news:
bve3gg$mu$1@news-reader2.wanadoo.fr

C'est justement à cause de ceux-là que je pose la question. Je
rappelle que Swen, qui n'est pas si vieux que ça, ne dédaigne pas
d'avoir recours à iframe. Donc il doit y avoir encore pas mal de
cibles potentielles.

le iframe ne sert pas qu'à exploiter la faille MIME

@tchao

"J-P Louvet" a écrit dans le message de news:

De divers côtés on entend dire que la variante B de Mydoom
pourrrait

s'activer sans qu'on clique sur le fichier attaché (bien entendu
si on

utilise OE etc...).

Pour le mien, c'était bien un mimail, mimail.s, plus précisément :
http://vil.nai.com/vil/content/v_100989.htm#VirusChar


--
chrisn
mettre le bon fai, libertysurf pour me répondre

"chrisn" <chrisn@freesurf.invalid> a écrit dans le message de
news:401ac0b6$0$29087$636a55ce@news.free.fr

"J-P Louvet" a écrit dans le message de news:

De divers côtés on entend dire que la variante B de Mydoom pourrrait
s'activer sans qu'on clique sur le fichier attaché (bien entendu si
on utilise OE etc...).

Pour le mien, c'était bien un mimail, mimail.s, plus précisément :
http://vil.nai.com/vil/content/v_100989.htm#VirusChar

Il est marrant dans cette version ! Il y a des gens qui vont croire qu'il
faut payer une deuxième fois pour Windows ? Quoiqu'il paraît que les sites
et les clubs sado-maso, ça marche bien....

--

J.P. Louvet
--------------------
Fractales :
http://fractals.iut.u-bordeaux1.fr

Exact, c'est même bien pratique, par moment.

"Michel Claveau"

Exact, c'est même bien pratique, par moment.

question de novice, qui n'a rien à voir:
lorsqu'il y a infection, les correspondants notés dans le carnet d'adresse
courent-ils un risque tant que je ne leurs envoie pas de message?

dani wrote:

"Michel Claveau"

Exact, c'est même bien pratique, par moment.

question de novice, qui n'a rien à voir:
lorsqu'il y a infection, les correspondants notés dans le carnet
d'adresse courent-ils un risque tant que je ne leurs envoie pas de
message?

Tu ne peux courir de risque que si tu reçois quelque chose. De plus, il
faudra encore exécuter le code malveillant ou, en cas de faille permettant
l'exécution automatique (de plus en plus rare), que ton correspondant ne
soit pas mis à jour au niveau des correctifs de son OS (ça, c'est
malheureusement moins rare...).

--
AMcD

http://arnold.mcdonald.free.fr/
http://amcd.diablo.free.fr/

J-P Louvet wrote:

De divers côtés on entend dire que la variante B de Mydoom pourrrait
s'activer sans qu'on clique sur le fichier attaché (bien entendu si on
utilise OE etc...).
Or cette information n'est pas confirmée par les éditeurs d'antivirus, et
Kaspersky dit explicitement le contraire.
[...]

A la base, c'est une confusion du journaliste qui a fait une des premières
news AFP sur mydoom.b
(http://www.channelnewsasia.com/stories/afp_world/view/68569/1/.html) en
allant faire parler Mikko Hypponen de F-secure ... qui a indiqué en fait
que mydoom.b pouvait se propager seul par le biais de la backdoor de
mydoom.a, ce qui a été transformé en "pas besoin de cliquer la pièce
jointe" ...

j'ai eu une confirmation de F-secure à ce sujet.

dabfus.

Ben moi c'est ce qui vient de m'arriver!
Je l'avais en pièce jointe que j'avais enregistré mais pas pas exécuté...et
j'ai:
Mon Antivirus Innoculate IT m'a détecté:
"Le virus Win32/Mydoom.A.Worm a été détecté dans D:System volume
information_restore{6A23A42C-E86D-4EB8-90E3-B4E7CC09F31E}RP202A0023218.SC
R.
Etat du fichier: infecté

Comment accéder au chemein de ce fichier et le supprimer?


"dabfus" <retirecasecurite@dabfusretireca.net> a écrit dans le message de
news:401d0e4b$0$25448$626a54ce@news.free.fr...

J-P Louvet wrote:

De divers côtés on entend dire que la variante B de Mydoom pourrrait
s'activer sans qu'on clique sur le fichier attaché (bien entendu si on
utilise OE etc...).
Or cette information n'est pas confirmée par les éditeurs d'antivirus,
et

Kaspersky dit explicitement le contraire.
[...]

A la base, c'est une confusion du journaliste qui a fait une des premières
news AFP sur mydoom.b
(http://www.channelnewsasia.com/stories/afp_world/view/68569/1/.html) en
allant faire parler Mikko Hypponen de F-secure ... qui a indiqué en fait
que mydoom.b pouvait se propager seul par le biais de la backdoor de
mydoom.a, ce qui a été transformé en "pas besoin de cliquer la pièce
jointe" ...

j'ai eu une confirmation de F-secure à ce sujet.

dabfus.

"J-P Louvet" a écrit dans le message de news:

Si vous en recevez un, pouvez-vous jeter un coup d'oeil pour voir
si c'est

vraisemblable (exploit iframe par ex.)

Soit un extrait ci dessous d'un mail dans ma boîte ce soir :

--------------------------------------------------------------------
---
Content-Type: multipart/mixed;boundary="xxxx"

--xxxx
Content-Type: text/html;
Content-Transfer-Encoding: 7bit
<FONT color=red size><CENTER>Hi !</CENTER></FONT><BR>
Here is my photo, that you asked for yesterday.<BR><iframe
src=domain_marker WIDTH=1 HEIGHT=1></iframe>
--xxxx
name="accounts.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="myphoto.zip"
--------------------------------------------------------------------
---

Question : où trouve-t-il son "src=domain_marker" ?
Sur le net ? parce que dans le message je ne vois guère...

--
chrisn
mettre le bon fai, libertysurf pour me répondre