Signatures de spamwares

Le
F. Senault
Bonjour à tous.

Récemment, pour essayer de peaufiner ma liste de spamwares, j'ai
longuement bricolé avec une base considérable de mails. En plus d'un ou
deux X-Mailer ou UserAgent que je n'avais pas encore dans la liste dispo
sur le web [1], j'ai aussi trouvé une série d'en-têtes qui ont l'air
très spécifiques à des logiciels de spam, du moins, par rapport à ma
base de mails (de l'ordre d'une petite vingtaine de milliers tout
frais).

J'aimerais bien savoir si d'autres personnes pourraient corroborer mes
découvertes ou éventuellement me faire part d'une utilisation légitime
de certains de ces en-têtes. La liste est :

- X-Message-Info
- X-IP
- X-bounce-to
- X-BounceTrace
- Error-path
- Sensitivity
- X-INFO_AZ, X-INFO_BZ, X-INFO_CZ
- X-SP-Track-ID

Les deux premiers m'ont l'air assez dangereux, mais je n'arrive pas à
trouver un seul mail légitime qui contienne ça. Idem pour les trois qui
servent à suivre les bounces, mais je serais plus confiant. La fin me
semble la moins dangereuse.

A noter que ce sont des machins que j'ai retrouvés pour la plupart dans
quelques dizaines de mails. Ce n'est pas énorme, mais ça me semble
intéressant de rechercher par là.

Autrement, aussi, je voulais juste savoir : y a-t-il des gens qui ont
essayé d'utiliser la liste présentée sur le site, et avec quels
résultats ?

Merci d'avance.

(Crosspost sur fcm et fcms, avec un suivi sur fcm.)

Fred
[1] http://lagavulin.lacave.net/mailer/
--
Imagine a stegosaurus wearing rocket powered roller skates, & you'll
get a fair idea of its elegance, stability & ease of crash recovery.
(Lionel Lauer in the SDM)
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Olivier Miakinen
Le #766262

Récemment, pour essayer de peaufiner ma liste de spamwares, j'ai
longuement bricolé avec une base considérable de mails. En plus d'un ou
deux X-Mailer ou UserAgent que je n'avais pas encore dans la liste dispo
sur le web [1], [...]


En ce moment, à chaque fois que je tombe sur un spam que je ne filtre
pas encore, mais pourvu d'un champ X-Mailer autre que Outlook Express,
je consulte ta liste pour voir s'il est référencé : jusque là, je tombe
toujours sur des trucs que tu n'as pas, alors je n'ose pas filtrer
dessus. :-(

J'aimerais bien savoir si d'autres personnes pourraient corroborer mes
découvertes ou éventuellement me faire part d'une utilisation légitime
de certains de ces en-têtes. La liste est :

- X-Message-Info


Je l'ai en test en ce moment. J'ai cherché un peu sur le web, et j'ai lu
que cela pourrait se trouver dans des mails valides émis avec un compte
hotmail.

Sur les quelques exemplaires que j'ai eus depuis deux jours, la plupart
avaient "hotmail" dans un champ received, mais pas tous. Malgré tout,
j'ai le sentiment qu'ils ont aussi "with Microsoft SMTPSVC" dans les
received.

À traiter avec prudence...

F. Senault
Le #765969


Récemment, pour essayer de peaufiner ma liste de spamwares, j'ai
longuement bricolé avec une base considérable de mails. En plus d'un ou
deux X-Mailer ou UserAgent que je n'avais pas encore dans la liste dispo
sur le web [1], [...]


En ce moment, à chaque fois que je tombe sur un spam que je ne filtre
pas encore, mais pourvu d'un champ X-Mailer autre que Outlook Express,
je consulte ta liste pour voir s'il est référencé : jusque là, je tombe
toujours sur des trucs que tu n'as pas, alors je n'ose pas filtrer
dessus. :-(


Il n'est pas interdit de me renvoyer de quoi maintenir la liste à jour,
en précisant éventuellement le nombre de spams rencontrés, les
recherches déjà effectuées, etc ; je ferai un peu de recherches de mon
côté et j'ajouterai ou non le cas échéant...

Sinon, pas d'autres réactions ?

Fred
--
Un jour, j'ai peur de perdre la raison Je n'ai ni cause à servir ni
passion J'observe ce monde sans la moindre émotion Pourtant comme
les autres de ma vie je me porte caution
(Merzhin, Par delà)


Xavier
Le #765967
"F. Senault" nous susurrait :

Bonjour à tous.


Bonjour,


J'aimerais bien savoir si d'autres personnes pourraient corroborer mes
découvertes ou éventuellement me faire part d'une utilisation légitime
de certains de ces en-têtes. La liste est :

- X-Message-Info


Apparu début mars 2004 sur mes BALs, et entré dans mes filtres Hamster
depuis 3-4 semaines : que du spam en ce qui me concerne.


- X-IP


Depuis début janvier 2004 si je ne m'abuse, et que du spam également. Je
le filtre depuis... la date de l'article auquel je réponds ;-)


Les deux premiers m'ont l'air assez dangereux, mais je n'arrive pas à
trouver un seul mail légitime qui contienne ça.


Non plus.


A noter que ce sont des machins que j'ai retrouvés pour la plupart dans
quelques dizaines de mails. Ce n'est pas énorme, mais ça me semble
intéressant de rechercher par là.


Pour le premier, ça représente quand même 700 mails sur un total de 4500
environ. 15 %, ce n'est pas si négligeable...
Pour le second, le score de 330/8600 est un peu moins bon.
Mais, de toute façon, la quasi totalité de tous ces mails étaient déjà
concernés par une autre règle antispam.


Cordialement,
Xavier
--
In Reply-To veritas.

Jacques Belin
Le #765657
Le jeudi 15 avril 2004 19:44:42,
"F. Senault"
- X-Message-Info


J'en ai vu au moins un provenant ou transitant par un mail légitime d'utilisateur
Hotmail.

- X-IP


Que du spam, d'après ec que j'ai vu.¨Par contre attention à la façon
dont tu fait ton filtre, car j'ai vu des X-IPAdress tout à fait
légitimes.

- Sensitivity


Que du Spam, d'après ec que j'ai vu. Par contre, il y a X-Sensitivity
qui est utilisé pour du mail légitime.



A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown

F. Senault
Le #765654

Le jeudi 15 avril 2004 19:44:42,
"F. Senault"
- X-Message-Info


J'en ai vu au moins un provenant ou transitant par un mail légitime d'utilisateur
Hotmail.


Il y aurait moyen d'avoir plus d'infos ? Tout de même, j'ai aussi un
potentiel énorme sur celui-là - de l'ordre de 3440 spams sur le mois
dernier !

Sur un autre sujet, autre conclusion intéressante : j'ai quelques
dizaines de spams avec l'en-tête X-Mailer présente mais... vide...

Fred
--
Petite soeur de mes nuits Ca m'a manqué tout ça
Quand tu sauvais la face A bien d'autres que moi
Sache que je n'oublie rien mais qu'on efface
A ton étoile (Noir Désir, A ton étoile)


F. Senault
Le #765653

J'en ai vu au moins un provenant ou transitant par un mail légitime d'utilisateur
Hotmail.


Il y aurait moyen d'avoir plus d'infos ? Tout de même, j'ai aussi un
potentiel énorme sur celui-là - de l'ordre de 3440 spams sur le mois
dernier !


Je retrouve aussi régulièrement (2800 messages sur 3400) des Recieved "
with Microsoft SMTPSVC"... De là à savoir s'ils sont légitimes, c'est
une autre question... :/

Fred


Fred
--
Fear leads to anger, anger leads to hate... hate leads to using Windows
NT in mission critical systems.


Olivier Zolli
Le #765652
"F. Senault"
Je retrouve aussi régulièrement (2800 messages sur 3400) des Recieved "
with Microsoft SMTPSVC"... De là à savoir s'ils sont légitimes, c'est
une autre question... :/


J'ai quelques légitimes avec ça. Semblerait que ce soit lié à Exchange
pickup service.

--
Olivier Zolli
http://www.hamster-fr.org/

Jacques Belin
Le #765651
Le samedi 17 avril 2004 21:05:19,
"F. Senault"
Il y aurait moyen d'avoir plus d'infos ?


Les entêtes du message sont plus bas. En fait, il s'agit des entêtes d'un
message envoyé vers un abonné hotmail, qui a répondu à cette personne en
ajoutant tous les entêtes (ça tombe bien pour nous ;-)

Avec en plus, les entêtes du message original que j'ai reçu (nous étions
plusieurs destinataires) qui ne montrent pas d'entête "x-message-info".

Autrement dit, cet entête a été inséré pendant le transfert
Wanadoo->Hotmail...


Tout de même, j'ai aussi un
potentiel énorme sur celui-là - de l'ordre de 3440 spams sur le mois
dernier !


Oui, j'en recois aussi beaucoup moi aussi. Mais s'il a au moins un
message légitime qui l'utilise....

---- entêtes avec X-Message-Info -------
From: "xxxxxxx"
To: <snip>
Subject: Compte-rendu Réu.....
Date: Tue, 13 Jan 2004 19:49:02 +0100
MIME-Version: 1.0
Received: from mwinf0101.wanadoo.fr ([193.252.22.30]) by mc12-f41.hotmail.com
with Microsoft SMTPSVC(5.0.2195.6824);
Tue, 13 Jan 2004 10:49:05 -0800
Received: from Magali (APh-Aug-112-1-1-26.w81-50.abo.wanadoo.fr [81.50.220.26])
by mwinf0101.wanadoo.fr (SMTP Server)
with SMTPid 761C9C00012B; Tue, 13 Jan 2004 19:48:57 +0100 (CET)
X-Message-Info: EoYTbT2lH2M2IGq1ELL1eulpQ2FBmvZl
Message-ID: <001e01c3da05$ea0da400$
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
Return-Path:
X-OriginalArrivalTime: 13 Jan 2004 18:49:05.0487 (UTC) FILETIME=[EB5BF5F0:01C3DA05]


---- entêtes sans X-Message-Info -------
Return-Path: Delivered-To:
Received: (qmail 7476 invoked by alias); 13 Jan 2004 18:43:38 -0000
Received: from unknown (HELO mwinf0101.wanadoo.fr) (193.252.22.30)
by altern.org with SMTP; 13 Jan 2004 18:43:38 -0000
Received: from Magali (APh-Aug-112-1-1-26.w81-50.abo.wanadoo.fr [81.50.220.26])
by mwinf0101.wanadoo.fr (SMTP Server)
with SMTP id 761C9C00012B; Tue, 13 Jan 2004 19:48:57 +0100 (CET)
Message-ID: <001e01c3da05$ea0da400$
From: "xxxxxx" To: <snip>
Subject: Compte-rendu Réu.....
Date: Tue, 13 Jan 2004 19:49:02 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_001A_01C3DA0E.4B4B9DF0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
---------




A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown

Jacques Belin
Le #765650
Le samedi 17 avril 2004 21:15:56,
"F. Senault"
Je retrouve aussi régulièrement (2800 messages sur 3400) des Recieved "
with Microsoft SMTPSVC"... De là à savoir s'ils sont légitimes, c'est
une autre question... :/


Ne te casses pas la tête avec celui là. J'ai plus d'une centaine de
messages légitimes qui le contiennent. Et pas seulement d'origine
Hotmail....

A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown

Xavier
Le #765357
Jacques Belin nous expliquait :

Le jeudi 15 avril 2004 19:44:42,
"F. Senault"
- Sensitivity
Que du Spam, d'après ec que j'ai vu.



Un légitime (sur une trentaine), provenant d'EDF GDF :
Sensitivity:
et
X-Mailer: Lotus Notes Release 5.0.4 June 8, 2000


Cordialement,
Xavier
--
In Reply-To veritas.


Publicité
Poster une réponse
Anonyme