Les alertes des éditeurs d'anti-virus tournent depuis quelques jours à plein
régime. Alors que Blaster et Welchian se propagent encore, un nouveau virus
fait déjà parler de lui. Sobig.F est une nouvelle version d'un "mass mailer"
(virus qui se propage par courriel, souvent utilisé par les spammeurs) qui
se propage à une vitesse inédite. Alors qu'il n'est apparu que mardi matin à
06h00, il est déjà plus répandu que Welchian, aperçu pour la première fois
le 18 août.
Malicieux, Sobig.F change d'expéditeur, de sujet et modifie la forme du
corps du courriel infecté lorsqu'il se propage : il est donc difficile de
lui faire barrage. Seules certaines caractéristiques permettent de
l'identifier. Ainsi le courriel semble provenir d'un serveur qui indique
n'avoir pu envoyer un courriel, et comporte le plus souvent l'identifiant
d'un site connu (lastminute, ibm, Microsoft). Il a également le plus souvent
dans son sujet des expressions comme "Re : Details", "Resume" ou "Thank
you".
L'apparition de Sobig.F fait donc de ces derniers jours l'une des pires
périodes d'infection virale sur les systèmes informatiques et rappelle les
pires heures de 2001 : "L'année 2001 reste la pire dans l'histoire de la
lutte anti-virale, mais nous en approchons rapidement", estime ainsi Mikko
Hypponen, Directeur de laboratoire de F-Secure.
Le 11 août dernier apparaissait Blaster, un ver qui exploitait une faille de
sécurité des dernières versions de Windows. En quelques jours, il avait
infecté plusieurs centaines de milliers de systèmes, malgré un patch de
correction déjà disponible, une grande réactivité des éditeurs d'anti-virus
et une médiatisation importante. Sept jours plus tard, c'était au tour de
Welchian, un ver d'un type inédit, censé corriger la faille de sécurité
exploitée par Blaster. Mais malgré ses bonnes intentions, il a encombré les
bandes passantes, et pouvait endommager certains systèmes.
L'arrivée d'un troisième virus ce mardi fait donc craindre un taux
d'infection exceptionnel, d'autant plus que Welchian et Blaster continue
pendant ce temps leur course.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Philippe Ladame
En <bhvrhp$87u$ Sylvain a écrit récemment :
le courriel semble provenir d'un serveur qui indique n'avoir pu envoyer un courriel, et comporte le plus souvent l'identifiant d'un site connu (lastminute, ibm, Microsoft). Il a également le plus souvent dans son sujet des expressions comme "Re : Details", "Resume" ou "Thank you".
Il comporte surtout, toujours le champ d'en-tête "X-MailScanner: Found to be clean" qui peut servir à le rejeter.
-- Cordialement Philippe Ladame
En <bhvrhp$87u$1@tem.asynchrone.net> Sylvain a écrit récemment :
le courriel semble provenir d'un serveur qui indique
n'avoir pu envoyer un courriel, et comporte le plus souvent l'identifiant
d'un site connu (lastminute, ibm, Microsoft). Il a également le plus souvent
dans son sujet des expressions comme "Re : Details", "Resume" ou "Thank
you".
Il comporte surtout, toujours le champ d'en-tête
"X-MailScanner: Found to be clean"
qui peut servir à le rejeter.
le courriel semble provenir d'un serveur qui indique n'avoir pu envoyer un courriel, et comporte le plus souvent l'identifiant d'un site connu (lastminute, ibm, Microsoft). Il a également le plus souvent dans son sujet des expressions comme "Re : Details", "Resume" ou "Thank you".
Il comporte surtout, toujours le champ d'en-tête "X-MailScanner: Found to be clean" qui peut servir à le rejeter.
-- Cordialement Philippe Ladame
daniel
L'arrivée d'un troisième virus ce mardi fait donc craindre un taux d'infection exceptionnel, d'autant plus que Welchian et Blaster continue pendant ce temps leur course.
c'est du à la canicule tous ces virus? :-)
L'arrivée d'un troisième virus ce mardi fait donc craindre un taux
d'infection exceptionnel, d'autant plus que Welchian et Blaster continue
pendant ce temps leur course.
L'arrivée d'un troisième virus ce mardi fait donc craindre un taux d'infection exceptionnel, d'autant plus que Welchian et Blaster continue pendant ce temps leur course.
c'est du à la canicule tous ces virus? :-)
Eric Demeester
dans (in) fr.comp.securite.virus, "Sylvain" ecrivait (wrote) :
Bonsoir,
Sobig.F est une nouvelle version d'un "mass mailer"
Ce truc est une vraie plaie, non pas à cause de sa dangerosité potentielle (il semble peu dangereux), mais à cause de la vitesse à laquelle il se propage et de la taille des courriers qu'il génère.
J'en ai reçu aujourd'hui plus d'une centaine, chaque exemplaire pesant 100ko en moyenne.
J'imagine l'impact que ça peut avoir pour les malheureux connectés en RTC.
Tous les détails sont ici :
http://www.secuser.com/alertes/2003/sobigf.htm
Pour ceux qui ont la possibilité de filtrer au niveau du serveur de courrier, améliorez vos filtres en suivant le conseil de Philippe Ladame :
Il comporte surtout, toujours le champ d'en-tête "X-MailScanner: Found to be clean" qui peut servir à le rejeter.
-- Eric
dans (in) fr.comp.securite.virus, "Sylvain" <Sylvain@toto.com> ecrivait
(wrote) :
Bonsoir,
Sobig.F est une nouvelle version d'un "mass mailer"
Ce truc est une vraie plaie, non pas à cause de sa dangerosité
potentielle (il semble peu dangereux), mais à cause de la vitesse à
laquelle il se propage et de la taille des courriers qu'il génère.
J'en ai reçu aujourd'hui plus d'une centaine, chaque exemplaire pesant
100ko en moyenne.
J'imagine l'impact que ça peut avoir pour les malheureux connectés en
RTC.
Tous les détails sont ici :
http://www.secuser.com/alertes/2003/sobigf.htm
Pour ceux qui ont la possibilité de filtrer au niveau du serveur de
courrier, améliorez vos filtres en suivant le conseil de Philippe
Ladame :
Il comporte surtout, toujours le champ d'en-tête
"X-MailScanner: Found to be clean"
qui peut servir à le rejeter.
dans (in) fr.comp.securite.virus, "Sylvain" ecrivait (wrote) :
Bonsoir,
Sobig.F est une nouvelle version d'un "mass mailer"
Ce truc est une vraie plaie, non pas à cause de sa dangerosité potentielle (il semble peu dangereux), mais à cause de la vitesse à laquelle il se propage et de la taille des courriers qu'il génère.
J'en ai reçu aujourd'hui plus d'une centaine, chaque exemplaire pesant 100ko en moyenne.
J'imagine l'impact que ça peut avoir pour les malheureux connectés en RTC.
Tous les détails sont ici :
http://www.secuser.com/alertes/2003/sobigf.htm
Pour ceux qui ont la possibilité de filtrer au niveau du serveur de courrier, améliorez vos filtres en suivant le conseil de Philippe Ladame :
Il comporte surtout, toujours le champ d'en-tête "X-MailScanner: Found to be clean" qui peut servir à le rejeter.
-- Eric
Frederic Bonroy
Eric Demeester wrote:
J'imagine l'impact que ça peut avoir pour les malheureux connectés en RTC.
10 que j'en ai reçus, dans mon rocher. Rahlalala. Pas besoin de se faire infecter pour souffrir des virus. :-(
Eric Demeester wrote:
J'imagine l'impact que ça peut avoir pour les malheureux connectés en
RTC.
10 que j'en ai reçus, dans mon rocher. Rahlalala. Pas besoin de se
faire infecter pour souffrir des virus. :-(
J'imagine l'impact que ça peut avoir pour les malheureux connectés en RTC.
10 que j'en ai reçus, dans mon rocher. Rahlalala. Pas besoin de se faire infecter pour souffrir des virus. :-(
Arnold McDonald \(AMcD\)
Eric Demeester wrote:
dans (in) fr.comp.securite.virus, daniel ecrivait (wrote) :
c'est du à la canicule tous ces virus?
De nos jours, coder un virus pour attaquer une machine Windows est un jeu d'enfant.
Pas vraiment. C'est justement parce que c'est difficile qu'on ne voit que des daubes.
On constate d'ailleurs que souvent les virus sont codés avec les pieds par des malfaisants aussi stupides qu'incompétents.
Oui.
Dernier exemple en date, mblast, sensé faire tomber les serveurs de Microsoft par déni de service, mais tellement mal codé qu'au lieu de se planquer dans un coin sans bruit en attendant son heure, il s'est bêtement fait repérer en faisant rebooter en boucle tous les Windows 32bits de la planète.
Bah, le buffer overflow est quand même finement exploité. Enfin, je trouve.
-- AMcD
http://arnold.mcdonald.free.fr/ (still in fossilization progress but now in english, thus the whole world can see my laziness)
Eric Demeester wrote:
dans (in) fr.comp.securite.virus, daniel
<daniel.brettnacher@pasdepub.free.fr> ecrivait (wrote) :
c'est du à la canicule tous ces virus?
De nos jours, coder un virus pour attaquer une machine Windows est un
jeu d'enfant.
Pas vraiment. C'est justement parce que c'est difficile qu'on ne voit que
des daubes.
On constate d'ailleurs que souvent les virus sont codés
avec les pieds par des malfaisants aussi stupides qu'incompétents.
Oui.
Dernier exemple en date, mblast, sensé faire tomber les serveurs de
Microsoft par déni de service, mais tellement mal codé qu'au lieu de
se planquer dans un coin sans bruit en attendant son heure, il s'est
bêtement fait repérer en faisant rebooter en boucle tous les Windows
32bits de la planète.
Bah, le buffer overflow est quand même finement exploité. Enfin, je trouve.
--
AMcD
http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)
dans (in) fr.comp.securite.virus, daniel ecrivait (wrote) :
c'est du à la canicule tous ces virus?
De nos jours, coder un virus pour attaquer une machine Windows est un jeu d'enfant.
Pas vraiment. C'est justement parce que c'est difficile qu'on ne voit que des daubes.
On constate d'ailleurs que souvent les virus sont codés avec les pieds par des malfaisants aussi stupides qu'incompétents.
Oui.
Dernier exemple en date, mblast, sensé faire tomber les serveurs de Microsoft par déni de service, mais tellement mal codé qu'au lieu de se planquer dans un coin sans bruit en attendant son heure, il s'est bêtement fait repérer en faisant rebooter en boucle tous les Windows 32bits de la planète.
Bah, le buffer overflow est quand même finement exploité. Enfin, je trouve.
-- AMcD
http://arnold.mcdonald.free.fr/ (still in fossilization progress but now in english, thus the whole world can see my laziness)
Jceel
Bonjour ...Eric Demeester qui nous as a dit
* Dernier exemple en date, mblast, sensé faire tomber les serveurs de * Microsoft par déni de service, mais tellement mal codé qu'au lieu de se * planquer dans un coin sans bruit en attendant son heure, il s'est * bêtement fait repérer en faisant rebooter en boucle tous les Windows * 32bits de la planète.
tous les NT et dérivés non mis à jour depuis le 16/7.... sacrée nuance......... il y en a qui lisent les messages de MS ainsi que les forums où mes potes ont publié plusieurs fois la recommendation avant la fin juillet.. et reinsisté début Aout.......
-- @++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E internaute indécis pour le HacheuTeuMeuLeu seul le click droit Control+F deux la lumière t'apportera C'est ce qu'il y a de mieux netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp Jceel http://jceel.free.fr l'hyper du gratuit du net Founding Chairman of the International Pebkac Busters Company
Bonjour ...Eric Demeester qui nous as a dit
* Dernier exemple en date, mblast, sensé faire tomber les serveurs de
* Microsoft par déni de service, mais tellement mal codé qu'au lieu
de se
* planquer dans un coin sans bruit en attendant son heure, il s'est
* bêtement fait repérer en faisant rebooter en boucle tous les Windows
* 32bits de la planète.
tous les NT et dérivés non mis à jour depuis le 16/7.... sacrée
nuance.........
il y en a qui lisent les messages de MS ainsi que les forums où mes
potes ont publié plusieurs fois la recommendation avant la fin juillet..
et reinsisté
début Aout.......
--
@++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company
* Dernier exemple en date, mblast, sensé faire tomber les serveurs de * Microsoft par déni de service, mais tellement mal codé qu'au lieu de se * planquer dans un coin sans bruit en attendant son heure, il s'est * bêtement fait repérer en faisant rebooter en boucle tous les Windows * 32bits de la planète.
tous les NT et dérivés non mis à jour depuis le 16/7.... sacrée nuance......... il y en a qui lisent les messages de MS ainsi que les forums où mes potes ont publié plusieurs fois la recommendation avant la fin juillet.. et reinsisté début Aout.......
-- @++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E internaute indécis pour le HacheuTeuMeuLeu seul le click droit Control+F deux la lumière t'apportera C'est ce qu'il y a de mieux netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp Jceel http://jceel.free.fr l'hyper du gratuit du net Founding Chairman of the International Pebkac Busters Company
Benoit
En parlant de mass mailer : Juste un truc pour les administrateur : Evitez d'envoyer automatiquement à l'expéditeur d'un mail virusé un message du type "L'antivirus machin à detecté le virus dans votre mail...."
En effet, pensez que certaines adresses d'expéditions sont détournées, et du coup vous générez un traffic supplémentaire chez un soit-disant expéditeur qui ne peut rien y faire.... Ca se rapprocherait pas de la définition du spam, ça? ;)
En parlant de mass mailer : Juste un truc pour les administrateur : Evitez
d'envoyer automatiquement à l'expéditeur d'un mail virusé un message du type
"L'antivirus machin à detecté le virus dans votre mail...."
En effet, pensez que certaines adresses d'expéditions sont détournées, et du
coup vous générez un traffic supplémentaire chez un soit-disant expéditeur qui
ne peut rien y faire.... Ca se rapprocherait pas de la définition du spam, ça?
;)
En parlant de mass mailer : Juste un truc pour les administrateur : Evitez d'envoyer automatiquement à l'expéditeur d'un mail virusé un message du type "L'antivirus machin à detecté le virus dans votre mail...."
En effet, pensez que certaines adresses d'expéditions sont détournées, et du coup vous générez un traffic supplémentaire chez un soit-disant expéditeur qui ne peut rien y faire.... Ca se rapprocherait pas de la définition du spam, ça? ;)
Nicob
On Wed, 20 Aug 2003 23:38:38 +0200, Arnold McDonald (AMcD) wrote:
Dernier exemple en date, mblast, sensé faire tomber les serveurs de Microsoft par déni de service, mais tellement mal codé qu'au lieu de se planquer dans un coin sans bruit en attendant son heure, il s'est bêtement fait repérer en faisant rebooter en boucle tous les Windows 32bits de la planète.
Bah, le buffer overflow est quand même finement exploité. Enfin, je trouve.
Mouais, mais cette partie du code est issue d'un simple copier/coller. Les parties "originales" sont à chier (TFTP, ...)
Nicob
On Wed, 20 Aug 2003 23:38:38 +0200, Arnold McDonald (AMcD) wrote:
Dernier exemple en date, mblast, sensé faire tomber les serveurs de
Microsoft par déni de service, mais tellement mal codé qu'au lieu de
se planquer dans un coin sans bruit en attendant son heure, il s'est
bêtement fait repérer en faisant rebooter en boucle tous les Windows
32bits de la planète.
Bah, le buffer overflow est quand même finement exploité. Enfin, je trouve.
Mouais, mais cette partie du code est issue d'un simple copier/coller.
Les parties "originales" sont à chier (TFTP, ...)
On Wed, 20 Aug 2003 23:38:38 +0200, Arnold McDonald (AMcD) wrote:
Dernier exemple en date, mblast, sensé faire tomber les serveurs de Microsoft par déni de service, mais tellement mal codé qu'au lieu de se planquer dans un coin sans bruit en attendant son heure, il s'est bêtement fait repérer en faisant rebooter en boucle tous les Windows 32bits de la planète.
Bah, le buffer overflow est quand même finement exploité. Enfin, je trouve.
Mouais, mais cette partie du code est issue d'un simple copier/coller. Les parties "originales" sont à chier (TFTP, ...)
