outlook express ou un autre?

Bonjour ...80's Lover qui nous as a dit

* Alors, explique moi, cap de mule, que les virus utilisant OE
pullulent
* malgré les dits correctifs.

parce qu'il y a tojours des inconscients qui cliquouillent à mort et
enlévent les sécurité par défaut pour voir la photo de Pamela Anderson
à poil rien que pour eux ;-(

Argument invalide. En ce qui concerne le dernier netsky, le P ;
dangerosité maximale, si on en croit secuser :

http://secuser.com/alertes/2004/netskyp.htm

" Netsky.P est un virus qui se propage par email et via les dossiers
partagés. Il se présente sous la forme d'un message au format texte ou
HTML dont le titre et le corps sont aléatoires, accompagné d'un fichier
joint dont l'extension est .SCR, .EXE, .PIF ou .ZIP (29 Ko), en se faisant
passer notamment pour un message d'erreur ou un message sécurisé. Si
l'ordinateur n'est pas à jour dans ses correctifs, la simple ouverture ou
prévisualisation du message HTML provoque l'exécution du fichier joint.
Si ce dernier est exécuté, le virus s'envoie aux adresses présentes
dans le carnet d'adresses Windows et divers autres fichiers du disque,
puis se copie dans les dossiers partagés."

Je ne vois nulle part l'histoire d'un clic quelconque.

pour ouvrir le fichier, il faut cliquer dessus. En gnl, les virus pour
messagerie exigent que quelqu'un click sur un message bidon. Et là, même
si OE est incontestablement plus visé, bon nombre s'exécute sous
n'importe quoi (genre fichier bat ou exe).


--
____________________________________________________________________

http://batraciens.net/
"BATRACIENS" : Un site consacré à l'élevage et à la maintenance des
batraciens, aquatiques ou terrestres.
Nombreuses Photos et articles de maintenance. Petites annonces.
____________________________________________________________________
____________________________________________________________________

http://css-astuces.batraciens.net/
Trucs et astuces de codage CSS pour enrichir vos pages Web.
____________________________________________________________________
____________________________________________________________________

Le Mon, 28 Jun 2004 21:42:48 +0200, rm a écrit :

[...]

salut,

Alors, explique moi, cap de mule, que les virus utilisant OE pullulent
malgré les dits correctifs.

pour relativiser un peu tes dires:
sur les 34 virus que j'ai reçus ces derniers jours mon f-prot a recencé:
1 Netsky.B
8 Netsky.C
3 Netsky.Z
13 Netsky.P

Quand même ? Pas loin d'un tiers ;p

oui et alors, en quoi ce tiers est-il d'une "dangerosité maximale" ?
Faut pas croire tout ce qui est écrit, même sur des excellents sites comme
secuser...
suffit de regarder keskyadedan...
je me suis injecté un horrible Netsky.P y'a quelques jours et y'a pas de
quoi frissoner ou passer sous Linux, hein...
un firewall bien configuré et un petit ménage à la main et zou...
le plus chiant avec le netsky.p c'est qu'il aime bien se dupliquer sur le
disque, le cochon.

1 Netsky.Q
1 Bagle.AA
3 Bagle.Z
4 Zafi.B

parmi les Netsky.P réputés par Secuser utiliser une faille d'OE (plutôt
MSHTML) ainsi que parmi les autres, AUCUN n'était planqué en <iframe> dans
une partie en HTML et tous comportaient une pièce jointe bien visible (.zip
souvent, exe ou cpl ou hta sinon) capable d'infecter un windows via
n'importe quel client de mail dans les mains d'un utilisateur un poil
j'm'en foutiste...

Ah ? Il suffit d'avoir un courrielleur qui met les pièces jointes que si
elles sont codées correctement, ce qui réduit les risques ;p

tu veux dire un courrielleur qui ennuierait l'utilisateur à la moindre
tentative d'ouverture d'un fichier .ZIP :)))))
qu'entends-tu par "met les p-j" ?

les "virus OE", comme tu dis facilement, y'a bien longtemps que j'en ai pas
reçu en masse... alors (à part pour amuser JCeel) à quoi bon cette rumeur
démodée ?

Démodée ?

Les 13 netsky.P que tu as reçu est une preuve du contraire, non ? ;p

t'as pas compris, tous les Netsky.P qui-font-peur-parce-qu'ils-sont-en-noir
chez Secuser ne sont pas ce que tu appelles des "virus OE"
veux-tu que je t'envoie le source d'un .P tout chaud reçu ? un simple .txt
que ton courrielleur devrait te laisser ouvrir.
de toute manière, c'est vrai... tu ne risques RIEN :)

pièces jointes bloquées et HTML bloqué depuis IE6 SP1

IE ou OE ?

un IE mal configuré peut effectivement ramener quelques petits spy plus ou
moins gènants, rien de bien méchant.

Pas mal configuré : configuration par défaut non modifiée.

oui mal quoi...

Quand des spywares non génant, Scob est la preuve du contraire, non ?

peut-être plus "génant" pour microsoft que pour l'eventuel utilisateur
infecté qui se chopera au pire un petit keylogger qui, s'il passe le
firewall, devrait pas aller bien loin...
pas de quoi être parano.

D'ailleurs avec les dernières saloperies en date, mettre IE en
quarantaine serait une solution de "salubrité publique".

ça serait trop facile... former et informer les utilisateurs me paraitra
toujours plus utile que de les désinformer...

Désinformer ? IE et OE sont deux plaies sur le plan de la sécurité
informatique. Cf le dernier bulletin du CERT, qui n'y connait rien bien
sur en sécurité informatique ;p

http://www.kb.cert.org/vuls/id/713878

oui-oui c'est écrit partout, tout le monde le dit...
t'as raison... ça doit être vrai...

@+
--
rm

rm <ramon@tffp.invalid> écrivait :

Le Mon, 28 Jun 2004 21:42:48 +0200, rm a écrit :

[...]

salut,

Alors, explique moi, cap de mule, que les virus utilisant OE pullulent
malgré les dits correctifs.

pour relativiser un peu tes dires:
sur les 34 virus que j'ai reçus ces derniers jours mon f-prot a recencé:
1 Netsky.B
8 Netsky.C
3 Netsky.Z
13 Netsky.P

Quand même ? Pas loin d'un tiers ;p

oui et alors, en quoi ce tiers est-il d'une "dangerosité maximale" ?
Faut pas croire tout ce qui est écrit, même sur des excellents sites comme
secuser...

salut,

1 netsky.p sur le réseau interne de la boite = 1/2 journée de boulot
pour l'admin à éplucher les logs pour vérifier ce qui est sorti et
prévenir les clients... Ça fait cher quand ça se multiplie...

psychose quand tu nous tiens...

mais effectivement, dans une boite avec un parc w2000 non patché et
messagerie sous Outlook Express 5.01, sans firewall, y'a de quoi occuper
l'admin :)
mais je répète *le netsky.p arrive souvent avec une pièce.zip jointe
visible* alors je pige pas trop d'où vient cette terreur de l'OE (même des
utilisateurs avec mozilla peuvent infecter.)

@+
--
rm

pour ouvrir le fichier, il faut cliquer dessus. En gnl, les virus
pour messagerie exigent que quelqu'un click sur un message bidon.
Et là, même si OE est incontestablement plus visé, bon nombre
s'exécute sous n'importe quoi (genre fichier bat ou exe).

Pour en revenir au sujet initial, Il y a des logiciels qui font
attention à ça. Becky, que j'utilise, permet d'entrer une liste
d'extensions qui donneront un message d'alerte si on clique dessus et
une autre liste (qui peut-être la même, bien sûr) qui interdit
l'exécution. Par défaut, il y a

message :
.exe;*.com;*.bat;*.cmd;*.pif;*.do;*.xl;*.reg;*.lnk;*.vb;*.pl;*.rb;*.scr
;*.chm;*.ws;*.js;*.php;*.zip

interdiction :
.exe;*.com;*.bat;*.cmd;*.pif;*.lnk;*.scr

--
siger

dans (in) fr.comp.mail, siger <guinness@hic.invalid> ecrivait (wrote) :

Bonsoir,

Pour en revenir au sujet initial, Il y a des logiciels qui font
attention à ça. Becky, que j'utilise, permet d'entrer une liste
d'extensions qui donneront un message d'alerte si on clique dessus et
une autre liste (qui peut-être la même, bien sûr) qui interdit
l'exécution.

Il y a aussi des logiciels de courrier qui utilisent un autre moteur de
rendu html que celui d'Internet Explorer (Pegasus et Mozilla Thunderbird
par exemple), ce qui permet d'afficher la plupart des pièces jointes
« infectées » sans qu'il en résulte le moindre dommage, puisque leur
affichage n'entraîne pas automatiquement des actions non souhaitées par
l'interprétation des scripts qu'elles contiennent.

--
Eric

siger <guinness@hic.invalid> ecrivait

Pour en revenir au sujet initial, Il y a des logiciels qui font
attention à ça. Becky, que j'utilise, permet d'entrer une liste
d'extensions qui donneront un message d'alerte si on clique
dessus et une autre liste (qui peut-être la même, bien sûr) qui
interdit l'exécution.

Il y a aussi des logiciels de courrier qui utilisent un autre
moteur de rendu html que celui d'Internet Explorer (Pegasus et
Mozilla Thunderbird par exemple), ce qui permet d'afficher la
plupart des pièces jointes « infectées » sans qu'il en résulte le
moindre dommage, puisque leur affichage n'entraîne pas
automatiquement des actions non souhaitées par l'interprétation
des scripts qu'elles contiennent.

En effet, c'est le défaut de Becky. Mais il y a des options qui
permettent de dévalider ce qu'il faut. On peut aussi lire le courrier
en texte, le HTML devenant un fichier.html en pièce jointe qui s'ouvre
avec le navigateur par défaut. Pour écrire en HTML on peut aussi chosir
son éditeur.

Autre chose, je viens de m'apercevoir qu'il n'est pas possible avec OE
de reprendre un message déjà envoyé pour le réenvoyer, ou alors je n'ai
pas trouvé comment faire.

J'ai pu essayer une chose pour laquelle j'avais posé une question et à
laquelle j'ai eu la réponse :
"comment intercaller du texte avec OE quand on répond à un message", la
réponse est dans un menu, "annuler le retrait" ou approchant.

En fait, il faut faire ça aussi si on veut simplement répondre en
dessous du message. C'est limite utilisable. Je commence à comprendre
pourquoi tant de gens répondent d'une manière peu lisible (réponse au
dessus ou à l'intérieur du texte donc avec le retrait). Bien sûr, il y
a OE QuoteFix, mais c'est quand même étonnant de voir ces défauts dans
un courrielleur courrant.

--
siger

Bonjour ...80's Lover qui nous as a dit

* Démodée ?
*
* Les 13 netsky.P que tu as reçu est une preuve du contraire, non ? ;p

certainement pas il se transmet par fichier à un mail ou par les
inconsients qui partagent des fichiers sur le net et ouvrent leurs ordis
à tous vents ;-(

Netsky.P est un virus qui se propage par email et via les dossiers
partagés. Il se présente sous la forme d'un message au format texte ou
HTML dont le titre et le corps sont aléatoires, accompagné d'un fichier
joint dont l'extension est .SCR, .EXE, .PIF ou .ZIP (29 Ko), en se
faisant passer notamment pour un message d'erreur ou un message
sécurisé. Si l'ordinateur n'est pas à jour dans ses correctifs, la
simple ouverture ou prévisualisation du message HTML provoque
l'exécution du fichier joint.


c'etait vrai avant mars 2001
Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans
le carnet d'adresses Windows et divers autres fichiers du disque, puis
se copie dans les dossiers partagés.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas
de doute, les utilisateurs d'Internet Explorer doivent aussi mettre à
jour leur navigateur via le site de Microsoft ou le service
WindowsUpdate afin de corriger la faille exploitée par le virus pour
s'exécuter automatiquement.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir
appliqué les mesures préventives ci-dessus afin d'empêcher toute
réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de
désinfection FxNetsky pour rechercher et éliminer le virus.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
NetSky.P (F-Secure)
I-Worm.Moodown.q (Kaspersky)
I-Worm.Netsky.q (Kaspersky)
W32/Netsky.p@MM (McAfee)
W32/Netsky.P.worm (Panda Software)
W32/Netsky-P (Sophos)
W32.Netsky.P@mm (Symantec)
WORM_NETSKY.P (Trend Micro)
Worm.SomeFool.P
W32.Netsky.Q@mm


TAILLE :
29.568 octets

DECOUVERTE :
21/03/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.P est une variante du virus Netsky.D. Il se présente
sous la forme d'un message dont le titre, le corps et le nom du fichier
joint sont aléatoires. Les titres de message :

Stolen document
Re:Hello
Mail Delivery ( failure [votre adresse email])
Private document
Re:Notify
Re:document
Re:Extended Mail System
Re:Proctected Mail System
Re:Question
Private document
Postcard
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
Le corps du message est un court texte en anglais destiné à inciter
l'internaute à ouvrir le fichier joint :

Important message, do not show this anyone!
Your important document, correction is finished!
The sample is attached!
I hope you accept the result!
Please answer quickly!
Please confirm!
Are you a spammer? (I found your email on a spammer website!?!)
I have visited this website and I found you in the spammer list. Is that
true?
Here is my phone number.
Here is my icq list.
You have downloaded these illegal cracks?.
Do not visit this illegal websites!
Here is it
Try this, or nothing!
Let'us be short: you have no experience in writing letters!!!
I am shocked about your document!
You cannot do that!
Shocking document
Thanks!
Thank you for your request, your details are attached!
Please answer quickly!
Please confirm!
You have written a very good text, excellent, good work!
Your photo, uahhh.... , you are naked!
Does it matter?
Do you?
Monthly news report.
Your archive is attached.
I cannot forget you!
I love you!
The sample is attached!
I hope you accept the result!
I have attached the sample.
I have corrected your document.
The file is protected with the password ghj001.
I have attached your file. Your password is jkl44563.
I cannot believe that.
I found this document about you.
I hope the patch works.
Message has been sent as a binary attachment.
Binary message is available.
I have attached it to this mail.
Can you confirm it?
Is that your password?
Protected message is attached.
Encrypted message is available.
Mail Authentication
Protected Mail System
ESMTP [Secure Mail System #334]: Secure message is attached.
Partial message is available.
Waiting for a Response. Please read the attachment.
First part of the secure mail is available.
For more details see the attachment.
For further details see the attachment.
Your requested mail has been attached.
Protected Mail System Test.
Secure Mail System Beta Test.
Forwarded message is available.
Delivered message is attached.
Encrypted message is available.
Please read the attachment to get the message.
Follow the instructions to read the message.
Please authenticate the secure message.
Protected message is attached.
Waiting for authentification.
Protected message is available.
Bad Gateway: The message has been attached.
SMTP: Please confirm the attached message.
You got a new message.
Now a new message is available.
New message is available.
You have received an extended message. Please read the instructions.
Your details.
Your document.
I have received your document. The corrected document is attached.
I have attached your document.
Your document is attached to this mail.
Authentication required.
Requested file.
See the file.
Please read the important document.
Please confirm the document.
Your file is attached.
Please read the document.
Your document is attached.
Please read the attached file!
Please see the attached file for details.
read it immediately
The file is protected with the password ghj001.
I have attached your file. Your password is jkl44563.
The sample file you sent contains a new virus version of mydoom.j.
Please clean your system with the attached signature.
Sincerly,
Robert Ferrew
The sample file you sent contains a new virus version of buppa.k.
Please update your virus scanner with the attached dat file.
Best Regards,
Keria Reynolds
Le corps du message se termine souvent par une fausse certification
affirmant que le message est sain et dépourvu de virus :

+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com
++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com
++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com
++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de
La pièce jointe possède un nom aléatoire et une extension en .SCR, .EXE,
.PIF ou .ZIP :

websites[nombre aléatoire].zip
document[nombre aléatoire].zip
your_document.zip
part[nombre aléatoire].zip
message.doc.scr
message.zip
document.zip
old_photos.txt.pif
postcard_.[nombre aléatoire]..zip
details[nombre aléatoire].zip

en plus il faut dezipper...
donc ça ça fait 3 clicks vant le suicide ;-(


Le message au format HTML exploite la vulnérabilité MS01-020 d'Internet
Explorer 5.01 et 5.5 (09/03/01) :

on est en 2004.....
merci de ne pas raconter n'importe quoi ;-(
--
@++++Jceel - MVP Win, I E, Media Player

En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company

Le Fri, 02 Jul 2004 15:21:58 +0200, Jceel a écrit :

Bonjour ...80's Lover qui nous as a dit

* Démodée ?
*
* Les 13 netsky.P que tu as reçu est une preuve du contraire, non ? ;p

certainement pas il se transmet par fichier à un mail ou par les
inconsients qui partagent des fichiers sur le net et ouvrent leurs ordis
à tous vents ;-(

Ben, voyons, Netsky.P n'est pas une vérole qui se transmet par courriel.

Netsky.P est un virus qui se propage par email et via les dossiers

-> Jceel ment en disant le contraire.

[...]

c'etait vrai avant mars 2001

Proportion des Win98 et Me encore en circulation ?

[description pompée sur sécuser]

en plus il faut dezipper...
donc ça ça fait 3 clicks vant le suicide ;-(

Pire que ta propagande ?

Le message au format HTML exploite la vulnérabilité MS01-020 d'Internet
Explorer 5.01 et 5.5 (09/03/01) :

on est en 2004.....

IE (et OE qui l'emploie) est encore en 2001 sur une énorme partie de son
code.

merci de ne pas raconter n'importe quoi ;-(

Alors, commence par te taire !

Le Fri, 02 Jul 2004 15:21:58 +0200, Jceel a écrit :

c'etait vrai avant mars 2001

Proportion des Win98 et Me encore en circulation ?

Je l'ignore, mais, parce que j'ai du temps à perdre, j'ai fait un tour
sur mon spool de news pour récupérer les versions d'OE pour les gens qui
postent sur les news (en nombre de messages).

Le résultat (pour au moins 100 articles) :

400232 Microsoft Outlook Express 6.00 et +
9655 Microsoft Outlook Express 5.50.4807.1700
5414 Microsoft Outlook Express 5.50.4133.2400
5021 Microsoft Outlook Express 5.00.2615.200
4771 Microsoft Outlook Express 5.50.4522.1200
4252 Microsoft Outlook Express 5.50.4927.1200
3123 Microsoft Outlook Express 5.50.4922.1500
1718 Microsoft Outlook Express 5.00.2919.6600
1498 Microsoft Outlook Express 5.00.2314.1300
509 Microsoft Outlook Express 5.00.2919.6700
293 Microsoft Outlook Express 4.72.3110.1 (!)
259 Microsoft Outlook Express 4.72.3612.1700 (!)
192 Microsoft Outlook Express 4.72.3110.5 (!)
124 Microsoft Outlook Express 5.50.4920.2300
112 Microsoft Outlook Express 5.00.2014.211

Ca fait (à la grosse louche) 90% d'OE 6 non vulnérables, et 10% d'OE 5.5
ou 5.0, potentiellement vulnérables. Je suppose que les 9655 de la
version la plus élevée de 5.5 sont protégés, ça en laisse un peu moins.

Hélas, il est abominablement compliqué de trouver sur le site de
Microsoft (quand on ne le connaît pas et qu'on utilise MSIE) le n° de
version d'OE à partir duquel OE est censé être protégé...

Tout ce que j'ai vu, ce sont les versions de Shdocvw.dll (alors OE 5.5
est protégé à partir de la 5.50.4614.2000 et 5.0 à partir de
5.0.3214.2000), mais je ne sais pas si ce numéro correspond direct à la
version d'OE affichée sur les news (ce dont je doute, sinon, tous les OE
5.0 comptés ici sont vulnérables !).

Fred
--
Today on Handyman's Corner, we're going to take some ordinary dice, some
Bondo to fill in the holes, a Dremel tool with a pointy bit to carve the
words "REBOOT", "RETRY", and "REINSTALL" in the faces, and a bit of
paint to make it look pretty. (Anthony de Boer in the SDM)

Frederic Bezies nous a schtroumphé :

merci de ne pas raconter n'importe quoi ;-(

Alors, commence par te taire !

Mmm, on vous a reconnu, Frédéric. Merci d'apporter des arguments clairs et
précis et de ne pas insulter les autres.
--
Ludovic LE MOAL