depuis environ 1h30 mon serveur de messagerie reçoit des mails arrivants
avec des pièces jointes au format pif (my_details.pif, document.pif,
your_document.pif ...).
Le firewall avec sa base antivirale à jour laisse passer, l'antivirus à
jour du serveur de messagerie ne dit rien (norton for exchange), ce
n'est que parce que j'ai interdit toute pièce jointe de type executable
(exe, com, pif et compagnie) que les fichiers sont détruit.
Ici, plus de 3.000 arrêtés en deux heures (Belgique, Bruxelles : 30.000 boîtes protégées)
Même proportion ici pour le service français (9000 boîtes, un millier de domaines). Curieusement, la signature était connue par l'antivirus depuis 1h30 du matin mais le premier virus a été reçu à 9h55. En fait, ça a commencé doucement :
- 9h55 : 3 échantillons d'une IP - 10h04 : un échantillon d'une IP - 10h15 : 6 échantillons d'une IP - etc.
en ce momment, c'est quelques dizaines d'échantillons chaque minute de diverses addresses IP. Sur un sondage, les adresses IP attaquantes sont toutes des adresses IP dialup, ADSL, etc. de fournisseurs français.
Faelan <me@privacy.net> écrit:
Ici, plus de 3.000 arrêtés en deux heures (Belgique, Bruxelles : 30.000
boîtes protégées)
Même proportion ici pour le service français (9000 boîtes, un millier
de domaines). Curieusement, la signature était connue par l'antivirus
depuis 1h30 du matin mais le premier virus a été reçu à 9h55. En fait,
ça a commencé doucement :
- 9h55 : 3 échantillons d'une IP
- 10h04 : un échantillon d'une IP
- 10h15 : 6 échantillons d'une IP
- etc.
en ce momment, c'est quelques dizaines d'échantillons chaque minute de
diverses addresses IP. Sur un sondage, les adresses IP attaquantes
sont toutes des adresses IP dialup, ADSL, etc. de fournisseurs
français.
Ici, plus de 3.000 arrêtés en deux heures (Belgique, Bruxelles : 30.000 boîtes protégées)
Même proportion ici pour le service français (9000 boîtes, un millier de domaines). Curieusement, la signature était connue par l'antivirus depuis 1h30 du matin mais le premier virus a été reçu à 9h55. En fait, ça a commencé doucement :
- 9h55 : 3 échantillons d'une IP - 10h04 : un échantillon d'une IP - 10h15 : 6 échantillons d'une IP - etc.
en ce momment, c'est quelques dizaines d'échantillons chaque minute de diverses addresses IP. Sur un sondage, les adresses IP attaquantes sont toutes des adresses IP dialup, ADSL, etc. de fournisseurs français.
Nicob
On Mon, 01 Mar 2004 14:49:13 +0000, Laurent Wacrenier wrote:
Curieusement, la signature était connue par l'antivirus depuis 1h30 du matin
Quel AV ?
Nicob
On Mon, 01 Mar 2004 14:49:13 +0000, Laurent Wacrenier wrote:
Curieusement, la signature était connue par l'antivirus
depuis 1h30 du matin
Tout au moins un virus qui n'a pas un terrain de chasse très large.
Frederic Bonroy
Arnaud wrote:
Et je viens de recevoir ceci : --------------------------------------------------------------------- From: Subject: Virus Alert Date: Mon, 01 Mar 2004 14:28:06 +0100 To: ***************
Le courrier que vous avez envoye a contient un virus (WORM_NETSKY.D) dans le fichier attache: your_text.pif. Merci de mettre a jour votre anti-virus. ---------------------------------------------------------------------
Alors que je n'ai jamais envoyé de mail à cette adresse. Et que je suis sous FreeBSD.
Il faut remercier ces *abrutis* d'administrateurs qui ne sont pas foutus de configurer proprement leur serveur. Moi aussi je viens de recevoir un tel message de ma propre université, pour Bagle.E, alors que j'avais parlé de ce problème à l'administrateur il y a quelques mois. Mais je ne suis qu'un simple petit étudiant, hein, pourquoi m'écouterait-il...
Arnaud wrote:
Et je viens de recevoir ceci :
---------------------------------------------------------------------
From: root@hermes.eolas-services.com
Subject: Virus Alert
Date: Mon, 01 Mar 2004 14:28:06 +0100
To: ***************
Le courrier que vous avez envoye a finance-unsubscribe@territorial.fr
contient un virus (WORM_NETSKY.D) dans le fichier attache:
your_text.pif. Merci de mettre a jour votre anti-virus.
---------------------------------------------------------------------
Alors que je n'ai jamais envoyé de mail à cette adresse. Et que je suis
sous FreeBSD.
Il faut remercier ces *abrutis* d'administrateurs qui ne sont pas foutus
de configurer proprement leur serveur. Moi aussi je viens de recevoir un
tel message de ma propre université, pour Bagle.E, alors que j'avais
parlé de ce problème à l'administrateur il y a quelques mois. Mais je ne
suis qu'un simple petit étudiant, hein, pourquoi m'écouterait-il...
Et je viens de recevoir ceci : --------------------------------------------------------------------- From: Subject: Virus Alert Date: Mon, 01 Mar 2004 14:28:06 +0100 To: ***************
Le courrier que vous avez envoye a contient un virus (WORM_NETSKY.D) dans le fichier attache: your_text.pif. Merci de mettre a jour votre anti-virus. ---------------------------------------------------------------------
Alors que je n'ai jamais envoyé de mail à cette adresse. Et que je suis sous FreeBSD.
Il faut remercier ces *abrutis* d'administrateurs qui ne sont pas foutus de configurer proprement leur serveur. Moi aussi je viens de recevoir un tel message de ma propre université, pour Bagle.E, alors que j'avais parlé de ce problème à l'administrateur il y a quelques mois. Mais je ne suis qu'un simple petit étudiant, hein, pourquoi m'écouterait-il...
Steph L
On Mon, 1 Mar 2004 15:01:25 +0000 (UTC), Laurent Wacrenier wrote:
Nicob écrit:
Curieusement, la signature était connue par l'antivirus depuis 1h30 du matin
Quel AV ?
ClamAV.
01h30, c'est l'heure à laquelle la base a été téléchargée. Il était dedans depuis 00h20 (Worm.SomeFool.B-petite)
Comme pour MIMAIL.C, MYDOOM & co, Clam a été très rapide a proposer une signature. Qqn a t'il un document sur la réactivité de Clam par rapport aux antivirus commerciaux pour les derniers worms en date ? J'ai trouvé ce post : http://www.securityfocus.com/archive/1/353379/2004-02-09/2004-02-15/2
J'ai l'impression que Clam ridiculise certaines boîtes commerciales par sa réactivité a prendre en compte les nouvelles menaces ...
Cdlt,
SL/ --- Stephane Lentz Alcanet International
On Mon, 1 Mar 2004 15:01:25 +0000 (UTC),
Laurent Wacrenier <lwa@teaser> wrote:
Nicob <nicob@I.hate.spammers.com> écrit:
Curieusement, la signature était connue par l'antivirus
depuis 1h30 du matin
Quel AV ?
ClamAV.
01h30, c'est l'heure à laquelle la base a été téléchargée. Il était
dedans depuis 00h20 (Worm.SomeFool.B-petite)
Comme pour MIMAIL.C, MYDOOM & co, Clam a été très rapide a proposer
une signature. Qqn a t'il un document sur la réactivité de Clam par rapport
aux antivirus commerciaux pour les derniers worms en date ?
J'ai trouvé ce post :
http://www.securityfocus.com/archive/1/353379/2004-02-09/2004-02-15/2
J'ai l'impression que Clam ridiculise certaines boîtes commerciales
par sa réactivité a prendre en compte les nouvelles menaces ...
On Mon, 1 Mar 2004 15:01:25 +0000 (UTC), Laurent Wacrenier wrote:
Nicob écrit:
Curieusement, la signature était connue par l'antivirus depuis 1h30 du matin
Quel AV ?
ClamAV.
01h30, c'est l'heure à laquelle la base a été téléchargée. Il était dedans depuis 00h20 (Worm.SomeFool.B-petite)
Comme pour MIMAIL.C, MYDOOM & co, Clam a été très rapide a proposer une signature. Qqn a t'il un document sur la réactivité de Clam par rapport aux antivirus commerciaux pour les derniers worms en date ? J'ai trouvé ce post : http://www.securityfocus.com/archive/1/353379/2004-02-09/2004-02-15/2
J'ai l'impression que Clam ridiculise certaines boîtes commerciales par sa réactivité a prendre en compte les nouvelles menaces ...
Cdlt,
SL/ --- Stephane Lentz Alcanet International
Roland Garcia
Comme pour MIMAIL.C, MYDOOM & co, Clam a été très rapide a proposer une signature. Qqn a t'il un document sur la réactivité de Clam par rapport aux antivirus commerciaux pour les derniers worms en date ? J'ai trouvé ce post : http://www.securityfocus.com/archive/1/353379/2004-02-09/2004-02-15/2
J'ai l'impression que Clam ridiculise certaines boîtes commerciales par sa réactivité a prendre en compte les nouvelles menaces ...
Si par malheur il sort un Magistr.c on risque de compter en mois, mais dans l'autre sens :-)
Roland Garcia
Comme pour MIMAIL.C, MYDOOM & co, Clam a été très rapide a proposer
une signature. Qqn a t'il un document sur la réactivité de Clam par rapport
aux antivirus commerciaux pour les derniers worms en date ?
J'ai trouvé ce post :
http://www.securityfocus.com/archive/1/353379/2004-02-09/2004-02-15/2
J'ai l'impression que Clam ridiculise certaines boîtes commerciales
par sa réactivité a prendre en compte les nouvelles menaces ...
Comme pour MIMAIL.C, MYDOOM & co, Clam a été très rapide a proposer une signature. Qqn a t'il un document sur la réactivité de Clam par rapport aux antivirus commerciaux pour les derniers worms en date ? J'ai trouvé ce post : http://www.securityfocus.com/archive/1/353379/2004-02-09/2004-02-15/2
J'ai l'impression que Clam ridiculise certaines boîtes commerciales par sa réactivité a prendre en compte les nouvelles menaces ...
Si par malheur il sort un Magistr.c on risque de compter en mois, mais dans l'autre sens :-)
Oui, désolé de le dire, mais Clamav est ce que j'appellerais un antivirus "naïf". Il suffit de lire http://www.clamav.net/doc/0.67/signatures.pdf pour s'en rendre compte.
Si par malheur il sort un Magistr.c on risque de compter en mois, mais
dans l'autre sens :-)
Oui, désolé de le dire, mais Clamav est ce que j'appellerais un
antivirus "naïf".
Il suffit de lire http://www.clamav.net/doc/0.67/signatures.pdf pour
s'en rendre compte.
Si par malheur il sort un Magistr.c on risque de compter en mois, mais dans l'autre sens :-)
Oui, désolé de le dire, mais Clamav est ce que j'appellerais un antivirus "naïf". Il suffit de lire http://www.clamav.net/doc/0.67/signatures.pdf pour s'en rendre compte.
Nicob
On Mon, 01 Mar 2004 23:11:50 +0100, Frederic Bonroy wrote:
Oui, désolé de le dire, mais Clamav est ce que j'appellerais un antivirus "naïf".
D'ailleurs, je me pose des questions sur une utilisation professionnelle de cet antivirus.
Gagner 1 à 6 heures sur les mises à jour lors d'épidémies massives et ultra-rapides, ça m'intéresse très clairement. Mais avoir des faux-positifs (par exemple) est quelque chose que je ne peux me permettre.
D'après mes études faites au pifomètre, Kaspersky est parmi les plus rapides des éditeurs commerciaux, mais ce n'est pas forcément suffisant (hier, les maj étaient disponibles vers 13H, soit au moins 12 heures après les premiers exemplaires de Netsky.d et 4 heures après le début des envois massifs).
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
Nicob
On Mon, 01 Mar 2004 23:11:50 +0100, Frederic Bonroy wrote:
Oui, désolé de le dire, mais Clamav est ce que j'appellerais un
antivirus "naïf".
D'ailleurs, je me pose des questions sur une utilisation professionnelle
de cet antivirus.
Gagner 1 à 6 heures sur les mises à jour lors d'épidémies massives et
ultra-rapides, ça m'intéresse très clairement. Mais avoir des
faux-positifs (par exemple) est quelque chose que je ne peux me permettre.
D'après mes études faites au pifomètre, Kaspersky est parmi les plus
rapides des éditeurs commerciaux, mais ce n'est pas forcément suffisant
(hier, les maj étaient disponibles vers 13H, soit au moins 12 heures
après les premiers exemplaires de Netsky.d et 4 heures après le début
des envois massifs).
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les
éventuels inconvénients (lesquels ?) de ce produit ?
On Mon, 01 Mar 2004 23:11:50 +0100, Frederic Bonroy wrote:
Oui, désolé de le dire, mais Clamav est ce que j'appellerais un antivirus "naïf".
D'ailleurs, je me pose des questions sur une utilisation professionnelle de cet antivirus.
Gagner 1 à 6 heures sur les mises à jour lors d'épidémies massives et ultra-rapides, ça m'intéresse très clairement. Mais avoir des faux-positifs (par exemple) est quelque chose que je ne peux me permettre.
D'après mes études faites au pifomètre, Kaspersky est parmi les plus rapides des éditeurs commerciaux, mais ce n'est pas forcément suffisant (hier, les maj étaient disponibles vers 13H, soit au moins 12 heures après les premiers exemplaires de Netsky.d et 4 heures après le début des envois massifs).
Alors, pour ceux qui utilisent ClamAV, la rapidité des maj vaut-elle les éventuels inconvénients (lesquels ?) de ce produit ?
