Un nouveau type de virus?

Le
WinTerMiNator
J'ai reçu ça deux fois aujourd'hui. C'est un nouveau type de virus?, sans
PJ, avec un message qui incite à cliquer sur un lien.

Le message reçu a pour objet: Mail Delivery (failure winterminator@chez.com)

Le corps du message:

If the message will not displayed automatically,
follow the link to read the delivered message.

Received message is available at:
www.chez.com/inbox/winterminator/read.php?sessionid-32540
Je suis donc invité à cliquer sur un lien, censé m'amener sur quelque chose
qui me concerne.

La source du message:

<quote>
Return-Path: <severine.chap@tele2.fr>
Received: from chez.com (80.14.73.177) by mail.libertysurf.net (6.5.036)
id 407127A801024C0D for winterminator@chez.com; Mon, 12 Apr 2004
18:56:08 +0200
Message-ID: <407127A801024C0D@mail03.pds.libertysurf.fr> (added by
postmaster@libertysurf.fr)
From: severine.chap@tele2.fr
To: winterminator@chez.com
Subject: Mail Delivery (failure winterminator@chez.com)
Date: Mon, 12 Apr 2004 18:59:45 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="-=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority: 3
X-MSMail-Priority: Normal

This is a multi-part message in MIME format.

=_NextPart_000_001B_01C0CA80.6B015D10
Content-Type: multipart/alternative;
boundary="-=_NextPart_001_001C_01C0CA80.6B015D10"

=_NextPart_001_001C_01C0CA80.6B015D10
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

=_NextPart_001_001C_01C0CA80.6B015D10
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=iso-8859-1" =
http-equiv=Content-Type>
<META content="MSHTML 5.00.2920.0" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>If the message will not displayed automatically,<br>
follow the link to read the delivered message.<br><br>
Received message is available at:<br>
<a href=cid:031401Mfdab4$3f3dL780$73387018@57W81fa70Re height=0
width=0>www.chez.com/inbox/winterminator/read.php?sessionid-32540</a>
<iframe
src=cid:031401Mfdab4$3f3dL780$73387018@57W81fa70Re height=0
width=0></iframe>
<DIV>&nbsp;</DIV></BODY></HTML>

=_NextPart_001_001C_01C0CA80.6B015D10--

=_NextPart_000_001B_01C0CA80.6B015D10--

</quote>

En fait, sous le lien apparent:

www.chez.com/inbox/winterminator/read.php?sessionid-32540

se cache:

cid:031401Mfdab4$3f3dL780$73387018@57W81fa70Re

Après réflexion, j'ai cliqué dessus, ça n'a rien fait (mais mon OE est
configuré "strong").

Qu'en pensez-vous?


--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Frederic Bonroy
Le #1490210
WinTerMiNator wrote:


[...]

En fait, sous le lien apparent:

www.chez.com/inbox/winterminator/read.php?sessionid-32540

se cache:

cid:031401Mfdab4$3f3dL780$

Après réflexion, j'ai cliqué dessus, ça n'a rien fait (mais mon OE est
configuré "strong...").

Qu'en pensez-vous?


Ce pourrait être un virus; s'il n'y a pas de pièce jointe c'est
peut-être un problème qui s'est produit lors de l'envoi.

WinTerMiNator
Le #1490208
"Frederic Bonroy" news:c5ejkc$qkg9$
WinTerMiNator wrote:


[...]

En fait, sous le lien apparent:

www.chez.com/inbox/winterminator/read.php?sessionid-32540

se cache:

cid:031401Mfdab4$3f3dL780$

Après réflexion, j'ai cliqué dessus, ça n'a rien fait (mais mon OE est
configuré "strong...").

Qu'en pensez-vous?


Ce pourrait être un virus; s'il n'y a pas de pièce jointe c'est
peut-être un problème qui s'est produit lors de l'envoi.



OK, c'est certainement ça, j'en ai reçu deux autres avec un "message.scr" en
pièce jointe.

Je suppose qu'en cliquant sur le lien ça doit lancer l'exécution de la PJ?
mais par quel mécanisme?


--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG


Ewa (siostra Ani) N.
Le #1490207


OK, c'est certainement ça, j'en ai reçu deux autres avec un "message.scr" en
pièce jointe.


Netsky.q

Je suppose qu'en cliquant sur le lien ça doit lancer l'exécution de la PJ?
mais par quel mécanisme?


La description ici :
http://vil.nai.com/vil/content/v_101145.htm


Ewcia


--
Niesz !

WinTerMiNator
Le #1490206
"Ewa (siostra Ani) N." news:


OK, c'est certainement ça, j'en ai reçu deux autres avec un
"message.scr" en


pièce jointe.


Netsky.q

Je suppose qu'en cliquant sur le lien ça doit lancer l'exécution de la
PJ?


mais par quel mécanisme?


La description ici :
http://vil.nai.com/vil/content/v_101145.htm


Ewcia


Oui, ça y ressemble, sauf le corps du texte qui incite à cliquer sur le lien
html. (La doc d'Avert n'en parle pas).

C'est de ce mécanisme là dont je parle (la faille qui consiste en
l'autoéxécution des PJ par OE est comblée depuis longtemps; les utilisateurs
cliquent de plus en plus difficilement sur les PJ...); mais là, cliquer sur
un faux lien internet qui ouvrirait la PJ, je n'avais pas encore vu, je ne
sais pas comment ça marche, et je suppose qu'il s'agit d'un nouveau
mécanisme pour faire exécuter la PJ par l'utilisateur.


--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG


joke0
Le #1490201
Salut,

WinTerMiNator:
J'ai reçu ça deux fois aujourd'hui. C'est un nouveau type de
virus?


C'est NetSky.q tout simplement.

--
joke0

Ewa (siostra Ani) N.
Le #1490191

Oui, ça y ressemble, sauf le corps du texte qui incite à cliquer sur le lien
html. (La doc d'Avert n'en parle pas).

C'est de ce mécanisme là dont je parle (la faille qui consiste en
l'autoéxécution des PJ par OE est comblée depuis longtemps; les utilisateurs
cliquent de plus en plus difficilement sur les PJ...);


Sincèrement... ça se discute :-(

mais là, cliquer sur
un faux lien internet qui ouvrirait la PJ, je n'avais pas encore vu, je ne
sais pas comment ça marche, et je suppose qu'il s'agit d'un nouveau
mécanisme pour faire exécuter la PJ par l'utilisateur.


En fait vous avez coupé la source de votre mail juste avant la réponse
à la question :-)

Je reprends (à partir de mon exemplaire) :

<iframe
src=cid:031401Mfdab4$3f3dL780$ height=0 width=0></iframe>
<DIV>&nbsp;</DIV></BODY></HTML>

------=_NextPart_001_001C_01C0CA80.6B015D10--
------=_NextPart_000_001B_01C0CA80.6B015D10
Content-Type: audio/x-wav;
name="message.scr"
Content-Transfer-Encoding: base64
Content-ID:<031401Mfdab4$3f3dL780$



Le contenu de iframe = Content-ID de la pièce attachée.



Ewcia


--
Niesz !

ppc
Le #1490187
Frederic Bonroy wrote:

Ce pourrait être un virus; s'il n'y a pas de pièce jointe c'est
peut-être un problème qui s'est produit lors de l'envoi.


Ce pourrait aussi être un virus simulé sous un
message html; l'important est d'avoir la philosophie
"virus": quand je peux ouvrir un message ou non...;-)
--
ppc

Noshi
Le #1487588
On Mon, 12 Apr 2004 19:23:09 +0200, WinTerMiNator wrote:

www.chez.com/inbox/winterminator/read.php?sessionid-32540

se cache:

cid:031401Mfdab4$3f3dL780$


Qui essaye donc de se connecter en HTTP en fournissant le nom d'utilisateur
cid
et le mdp 031401Mfdab4$3f3dL780$73387018
sur le serveur : 57W81fa70Re

Du moins c'est comme ca que mon opéra interprete la chose ;)

Après réflexion, j'ai cliqué dessus, ça n'a rien fait (mais mon OE est
configuré "strong...").


Un ptit coup d'antivirus pour être sur ? :>

Qu'en pensez-vous?


--
Noshi

Publicité
Poster une réponse
Anonyme