j'ai vu passer ce matin quelques dizaines de mails identifiés par ClamAV
comme 'Worm.SomeFool.AA-2'. Ces messages contiennent tous une PJ de type
ZIP, apparemment malformée (message "End-of-central-directory signature
not found.." lors de l'ouverture sous Linux).
Après le passage de plusieurs de ces fichiers ZIP chez Jotti, il apparait
que seuls ClamAV (Worm.SomeFool.AA-2), AntiVir (Worm/NetSky.AA) et Norman
(Netsky.Z@mm) y voient quelquechose.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cyrius
Le Wed, 01 Dec 2004 11:23:20 +0100, Nicob
Hello,
j'ai vu passer ce matin quelques dizaines de mails identifiés par ClamAV comme 'Worm.SomeFool.AA-2'. Ces messages contiennent tous une PJ de type ZIP, apparemment malformée (message "End-of-central-directory signature not found.." lors de l'ouverture sous Linux).
Après le passage de plusieurs de ces fichiers ZIP chez Jotti, il apparait que seuls ClamAV (Worm.SomeFool.AA-2), AntiVir (Worm/NetSky.AA) et Norman () y voient quelquechose.
Le Wed, 01 Dec 2004 11:23:20 +0100, Nicob <nicob@I.hate.spammers.com>
Hello,
j'ai vu passer ce matin quelques dizaines de mails identifiés par ClamAV
comme 'Worm.SomeFool.AA-2'. Ces messages contiennent tous une PJ de type
ZIP, apparemment malformée (message "End-of-central-directory signature
not found.." lors de l'ouverture sous Linux).
Après le passage de plusieurs de ces fichiers ZIP chez Jotti, il apparait
que seuls ClamAV (Worm.SomeFool.AA-2), AntiVir (Worm/NetSky.AA) et Norman
(Netsky.Z@mm) y voient quelquechose.
j'ai vu passer ce matin quelques dizaines de mails identifiés par ClamAV comme 'Worm.SomeFool.AA-2'. Ces messages contiennent tous une PJ de type ZIP, apparemment malformée (message "End-of-central-directory signature not found.." lors de l'ouverture sous Linux).
Après le passage de plusieurs de ces fichiers ZIP chez Jotti, il apparait que seuls ClamAV (Worm.SomeFool.AA-2), AntiVir (Worm/NetSky.AA) et Norman () y voient quelquechose.
La description ressemble assez bien, au problème de ZIP malformés près. Je viens d'essayer avec 7-Zip et WinRAR sous Windows, les deux n'arrivent pas à extraire le fichier. Et NAV/VirusScan n'y voient rien de louche ...
La description ressemble assez bien, au problème de ZIP malformés près.
Je viens d'essayer avec 7-Zip et WinRAR sous Windows, les deux n'arrivent
pas à extraire le fichier. Et NAV/VirusScan n'y voient rien de louche ...
La description ressemble assez bien, au problème de ZIP malformés près. Je viens d'essayer avec 7-Zip et WinRAR sous Windows, les deux n'arrivent pas à extraire le fichier. Et NAV/VirusScan n'y voient rien de louche ...
Nicob
GitanosJazz
Salut aux nouveaux attaqué(e)s. Les fichiers dont le texte (en anglais) est Hello, Your "Quelquechose" , etc...avec en pièce jointe un zip de 25ko sont tous désinfectés par mon anti-virus perso. Au boulot, autre AV, idem. Ces messages sont à supprimer sans chercher à comprendre ; cela dure depuis DES mois. Même si l'expéditeur est un correspondant "piqué" dans outlook. (Eh oui, y a des failles...) Bonne journée
La description ressemble assez bien, au problème de ZIP malformés près. Je viens d'essayer avec 7-Zip et WinRAR sous Windows, les deux n'arrivent pas à extraire le fichier. Et NAV/VirusScan n'y voient rien de louche ...
Nicob
Salut aux nouveaux attaqué(e)s.
Les fichiers dont le texte (en anglais) est Hello, Your "Quelquechose" ,
etc...avec en pièce jointe un zip de 25ko sont tous désinfectés par mon
anti-virus perso.
Au boulot, autre AV, idem.
Ces messages sont à supprimer sans chercher à comprendre ; cela dure depuis
DES mois.
Même si l'expéditeur est un correspondant "piqué" dans outlook. (Eh oui, y a
des failles...)
Bonne journée
gitanosjazz@69online.fr
"Nicob" <nicob@I.hate.spammers.com> a écrit dans le message de
news:pan.2004.12.01.11.00.56.895394@I.hate.spammers.com...
La description ressemble assez bien, au problème de ZIP malformés près.
Je viens d'essayer avec 7-Zip et WinRAR sous Windows, les deux n'arrivent
pas à extraire le fichier. Et NAV/VirusScan n'y voient rien de louche ...
Salut aux nouveaux attaqué(e)s. Les fichiers dont le texte (en anglais) est Hello, Your "Quelquechose" , etc...avec en pièce jointe un zip de 25ko sont tous désinfectés par mon anti-virus perso. Au boulot, autre AV, idem. Ces messages sont à supprimer sans chercher à comprendre ; cela dure depuis DES mois. Même si l'expéditeur est un correspondant "piqué" dans outlook. (Eh oui, y a des failles...) Bonne journée
La description ressemble assez bien, au problème de ZIP malformés près. Je viens d'essayer avec 7-Zip et WinRAR sous Windows, les deux n'arrivent pas à extraire le fichier. Et NAV/VirusScan n'y voient rien de louche ...
Nicob
Frederic Bonroy
Nicob wrote:
j'ai vu passer ce matin quelques dizaines de mails identifiés par ClamAV comme 'Worm.SomeFool.AA-2'. Ces messages contiennent tous une PJ de type ZIP, apparemment malformée (message "End-of-central-directory signature not found.." lors de l'ouverture sous Linux).
Après le passage de plusieurs de ces fichiers ZIP chez Jotti, il apparait que seuls ClamAV (Worm.SomeFool.AA-2), AntiVir (Worm/NetSky.AA) et Norman () y voient quelquechose.
Quelqu'un a plus d'infos ?
Les vers qui s'envoient au format .zip ne sont souvent pas compressés. En supprimant l'entête zip on obtient des fichiers PE endommagés (les entêtes PE ont l'air d'être correctes, mais pas le reste). De plus le code est compressé par Aspack ou PE_Pack.
Nicob wrote:
j'ai vu passer ce matin quelques dizaines de mails identifiés par ClamAV
comme 'Worm.SomeFool.AA-2'. Ces messages contiennent tous une PJ de type
ZIP, apparemment malformée (message "End-of-central-directory signature
not found.." lors de l'ouverture sous Linux).
Après le passage de plusieurs de ces fichiers ZIP chez Jotti, il apparait
que seuls ClamAV (Worm.SomeFool.AA-2), AntiVir (Worm/NetSky.AA) et Norman
(Netsky.Z@mm) y voient quelquechose.
Quelqu'un a plus d'infos ?
Les vers qui s'envoient au format .zip ne sont souvent pas compressés.
En supprimant l'entête zip on obtient des fichiers PE endommagés (les
entêtes PE ont l'air d'être correctes, mais pas le reste). De plus le
code est compressé par Aspack ou PE_Pack.
j'ai vu passer ce matin quelques dizaines de mails identifiés par ClamAV comme 'Worm.SomeFool.AA-2'. Ces messages contiennent tous une PJ de type ZIP, apparemment malformée (message "End-of-central-directory signature not found.." lors de l'ouverture sous Linux).
Après le passage de plusieurs de ces fichiers ZIP chez Jotti, il apparait que seuls ClamAV (Worm.SomeFool.AA-2), AntiVir (Worm/NetSky.AA) et Norman () y voient quelquechose.
Quelqu'un a plus d'infos ?
Les vers qui s'envoient au format .zip ne sont souvent pas compressés. En supprimant l'entête zip on obtient des fichiers PE endommagés (les entêtes PE ont l'air d'être correctes, mais pas le reste). De plus le code est compressé par Aspack ou PE_Pack.
