Sober.G diffuse peut-être de la propagande d'extrême-droite
18 réponses
Frederic Bonroy
Quelqu'un ici avait constaté il y a quelques jours une diminution du
nombre de messages contenant Sober.G. Il semblerait que des ordinateurs
infectés par ce ver soient maintenant utilisés pour propager de la
propagande d'extrême-droite en langue allemande. Un rapport avec les
élections européennes?
J'ai été moi-même victime, puisqu'un courrier dénonçant la faillite du
système de santé à cause des étrangers a été envoyé avec mon adresse à
des dizaines d'adresses chez Siemens Autriche. Apparemment le message
provient réellement d'une université autrichienne. (Le message m'a été
renvoyé, apparemment ces adresses n'existaient pas ou je ne sais quoi.)
M'enfin, d'après ce que j'ai pu lire, ce n'est pour l'instant qu'une
hypothèse.
Non, un cheeseburger diplomatique, ça descend mieux :-)
L'essentiel est de porter la cravate, dans les conférences tout est dans la cravate !!!
Roland Garcia
Vipera
Sentimi bene, Frederic Bonroy, ma chi ti ha messo in mente certe idee?
Quelqu'un ici avait constaté il y a quelques jours une diminution du nombre de messages contenant Sober.G. Il semblerait que des ordinateurs infectés par ce ver soient maintenant utilisés pour propager de la propagande d'extrême-droite en langue allemande. Un rapport avec les élections européennes?
Je peux confirmer que j'étais en train de recevoir quelques Sober.g chaque jour, provénant d'utilisateurs Wanadoo-Fontenay (ici le dernier) (AFontenayssB-151-1-10-167.w82-121.abo.wanadoo.fr [82.121.216.167]) et maintenant, depuis deux ou trois jours, il ne m'arrive plus le Sober mais le "spam allemand" à partir du même secteur de Wanadoo, aussi plus d'un à partir du même ip (je croix, machine compromise).
Je n'ai pas de correspondants par là, mon adresse était seulement connu par quelque personne qui avait trompé cet d'un de ses amis, en envoyant à moi ses mails :-) et c'est un adresse de Wanadoo, pas celui ci que je mets dans les news.
J'ai fait l'hypothèse que les spammeurs sont en train de vérifier toute machine qu'envoie de virus et en suite l'utiliser comme zombie de façon que les filtres des serveurs ne puissent pas les bloquer à partir de la règle sur les ip, étant donné que les machines qu'ils utilisent sont de connections normales, pas listées dans les listes noires.
En outre, ce spam, ne peut pas être filtré, avec d'autres règles, parce qu'il ressemble du tout à un normal envoi mail (les mots, sont toujours différentes, même les sujets...).
-- Bye by V.
Sentimi bene, Frederic Bonroy, ma chi ti ha messo in mente certe idee?
Quelqu'un ici avait constaté il y a quelques jours une diminution du
nombre de messages contenant Sober.G. Il semblerait que des ordinateurs
infectés par ce ver soient maintenant utilisés pour propager de la
propagande d'extrême-droite en langue allemande. Un rapport avec les
élections européennes?
Je peux confirmer que j'étais en train de recevoir quelques Sober.g
chaque jour, provénant d'utilisateurs Wanadoo-Fontenay (ici le dernier)
(AFontenayssB-151-1-10-167.w82-121.abo.wanadoo.fr [82.121.216.167])
et maintenant, depuis deux ou trois jours, il ne m'arrive plus le Sober
mais le "spam allemand" à partir du même secteur de Wanadoo, aussi plus
d'un à partir du même ip (je croix, machine compromise).
Je n'ai pas de correspondants par là, mon adresse était seulement connu
par quelque personne qui avait trompé cet d'un de ses amis, en envoyant
à moi ses mails :-) et c'est un adresse de Wanadoo, pas celui ci que je
mets dans les news.
J'ai fait l'hypothèse que les spammeurs sont en train de vérifier toute
machine qu'envoie de virus et en suite l'utiliser comme zombie de façon
que les filtres des serveurs ne puissent pas les bloquer à partir de la
règle sur les ip, étant donné que les machines qu'ils utilisent sont de
connections normales, pas listées dans les listes noires.
En outre, ce spam, ne peut pas être filtré, avec d'autres règles, parce
qu'il ressemble du tout à un normal envoi mail (les mots, sont toujours
différentes, même les sujets...).
Sentimi bene, Frederic Bonroy, ma chi ti ha messo in mente certe idee?
Quelqu'un ici avait constaté il y a quelques jours une diminution du nombre de messages contenant Sober.G. Il semblerait que des ordinateurs infectés par ce ver soient maintenant utilisés pour propager de la propagande d'extrême-droite en langue allemande. Un rapport avec les élections européennes?
Je peux confirmer que j'étais en train de recevoir quelques Sober.g chaque jour, provénant d'utilisateurs Wanadoo-Fontenay (ici le dernier) (AFontenayssB-151-1-10-167.w82-121.abo.wanadoo.fr [82.121.216.167]) et maintenant, depuis deux ou trois jours, il ne m'arrive plus le Sober mais le "spam allemand" à partir du même secteur de Wanadoo, aussi plus d'un à partir du même ip (je croix, machine compromise).
Je n'ai pas de correspondants par là, mon adresse était seulement connu par quelque personne qui avait trompé cet d'un de ses amis, en envoyant à moi ses mails :-) et c'est un adresse de Wanadoo, pas celui ci que je mets dans les news.
J'ai fait l'hypothèse que les spammeurs sont en train de vérifier toute machine qu'envoie de virus et en suite l'utiliser comme zombie de façon que les filtres des serveurs ne puissent pas les bloquer à partir de la règle sur les ip, étant donné que les machines qu'ils utilisent sont de connections normales, pas listées dans les listes noires.
En outre, ce spam, ne peut pas être filtré, avec d'autres règles, parce qu'il ressemble du tout à un normal envoi mail (les mots, sont toujours différentes, même les sujets...).
-- Bye by V.
Vipera
Sentimi bene, Xavier Roche, ma chi ti ha messo in mente certe idee?
Frederic Bonroy wrote:
Si vous postez une ou deux lignes d'objet, je vous dirai ce que c'est.
Les machines sont toutes des Windows avec ports vulnérables ouverts:
Alors on va confirmer ma réponse à Frederic, les spammeurs sont passés des open-relay du Brasil, aux machines des utilisateurs communes, pour mieux sauter les filtres.
-- Bye by V. http://www.virusbusters.cjb.net
Sentimi bene, Xavier Roche, ma chi ti ha messo in mente certe idee?
Frederic Bonroy wrote:
Si vous postez une ou deux lignes d'objet, je vous dirai ce que c'est.
Les machines sont toutes des Windows avec ports vulnérables ouverts:
Alors on va confirmer ma réponse à Frederic, les spammeurs sont passés
des open-relay du Brasil, aux machines des utilisateurs communes, pour
mieux sauter les filtres.
Sentimi bene, Xavier Roche, ma chi ti ha messo in mente certe idee?
Frederic Bonroy wrote:
Si vous postez une ou deux lignes d'objet, je vous dirai ce que c'est.
Les machines sont toutes des Windows avec ports vulnérables ouverts:
Alors on va confirmer ma réponse à Frederic, les spammeurs sont passés des open-relay du Brasil, aux machines des utilisateurs communes, pour mieux sauter les filtres.
-- Bye by V. http://www.virusbusters.cjb.net
Xavier Roche
Vipera wrote:
Alors on va confirmer ma réponse à Frederic, les spammeurs sont passés des open-relay du Brasil, aux machines des utilisateurs communes, pour mieux sauter les filtres.
C'est marrant, cela fait plusieurs fois que les machines en question ont leurs ports 445 et 135.. filtrés:
Interesting ports on APuteaux-107-1-3-XXX.w80-15.abo.wanadoo.fr (80.15.21.XXX): PORT STATE SERVICE 135/tcp filtered msrpc 445/tcp filtered microsoft-ds 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 5000/tcp open UPnP
C'est un trojan IIS ou le trojan ferme les ports vulnérables désormais ? (!)
Vipera wrote:
Alors on va confirmer ma réponse à Frederic, les spammeurs sont passés
des open-relay du Brasil, aux machines des utilisateurs communes, pour
mieux sauter les filtres.
C'est marrant, cela fait plusieurs fois que les machines en question ont
leurs ports 445 et 135.. filtrés:
Interesting ports on APuteaux-107-1-3-XXX.w80-15.abo.wanadoo.fr (80.15.21.XXX):
PORT STATE SERVICE
135/tcp filtered msrpc
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
5000/tcp open UPnP
C'est un trojan IIS ou le trojan ferme les ports vulnérables
désormais ? (!)
Alors on va confirmer ma réponse à Frederic, les spammeurs sont passés des open-relay du Brasil, aux machines des utilisateurs communes, pour mieux sauter les filtres.
C'est marrant, cela fait plusieurs fois que les machines en question ont leurs ports 445 et 135.. filtrés:
Interesting ports on APuteaux-107-1-3-XXX.w80-15.abo.wanadoo.fr (80.15.21.XXX): PORT STATE SERVICE 135/tcp filtered msrpc 445/tcp filtered microsoft-ds 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 5000/tcp open UPnP
C'est un trojan IIS ou le trojan ferme les ports vulnérables désormais ? (!)
Vipera
Sentimi bene, Xavier Roche, ma chi ti ha messo in mente certe idee?
Vipera wrote:
Alors on va confirmer ma réponse à Frederic, les spammeurs sont passés des open-relay du Brasil, aux machines des utilisateurs communes, pour mieux sauter les filtres.
C'est marrant, cela fait plusieurs fois que les machines en question ont leurs ports 445 et 135.. filtrés:
Interesting ports on APuteaux-107-1-3-XXX.w80-15.abo.wanadoo.fr (80.15.21.XXX): PORT STATE SERVICE 135/tcp filtered msrpc 445/tcp filtered microsoft-ds 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 5000/tcp open UPnP
C'est un trojan IIS ou le trojan ferme les ports vulnérables désormais ? (!)
As tu essayé Telnet aussi? ;-)
Lorsqu'un troyen a pu être placé sur la machine target, il peut ouvrir tous les ports qu'il veut, et la machine être commandé par son "père", le spammeur, pour faire ce qu'*il* veut.
Rappelons toujours, qu'il s'agit maintenant d'utilisateurs qui ne sont pas informés sur les risques, qui ne connaissent presque rien, de leur système et de leur machine.
-- Bye by V.
Sentimi bene, Xavier Roche, ma chi ti ha messo in mente certe idee?
Vipera wrote:
Alors on va confirmer ma réponse à Frederic, les spammeurs sont passés
des open-relay du Brasil, aux machines des utilisateurs communes, pour
mieux sauter les filtres.
C'est marrant, cela fait plusieurs fois que les machines en question ont
leurs ports 445 et 135.. filtrés:
Interesting ports on APuteaux-107-1-3-XXX.w80-15.abo.wanadoo.fr (80.15.21.XXX):
PORT STATE SERVICE
135/tcp filtered msrpc
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
5000/tcp open UPnP
C'est un trojan IIS ou le trojan ferme les ports vulnérables
désormais ? (!)
As tu essayé Telnet aussi? ;-)
Lorsqu'un troyen a pu être placé sur la machine target, il peut ouvrir
tous les ports qu'il veut, et la machine être commandé par son "père",
le spammeur, pour faire ce qu'*il* veut.
Rappelons toujours, qu'il s'agit maintenant d'utilisateurs qui ne sont
pas informés sur les risques, qui ne connaissent presque rien, de leur
système et de leur machine.
Sentimi bene, Xavier Roche, ma chi ti ha messo in mente certe idee?
Vipera wrote:
Alors on va confirmer ma réponse à Frederic, les spammeurs sont passés des open-relay du Brasil, aux machines des utilisateurs communes, pour mieux sauter les filtres.
C'est marrant, cela fait plusieurs fois que les machines en question ont leurs ports 445 et 135.. filtrés:
Interesting ports on APuteaux-107-1-3-XXX.w80-15.abo.wanadoo.fr (80.15.21.XXX): PORT STATE SERVICE 135/tcp filtered msrpc 445/tcp filtered microsoft-ds 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 5000/tcp open UPnP
C'est un trojan IIS ou le trojan ferme les ports vulnérables désormais ? (!)
As tu essayé Telnet aussi? ;-)
Lorsqu'un troyen a pu être placé sur la machine target, il peut ouvrir tous les ports qu'il veut, et la machine être commandé par son "père", le spammeur, pour faire ce qu'*il* veut.
Rappelons toujours, qu'il s'agit maintenant d'utilisateurs qui ne sont pas informés sur les risques, qui ne connaissent presque rien, de leur système et de leur machine.
-- Bye by V.
Xavier Roche
Vipera wrote:
Lorsqu'un troyen a pu être placé sur la machine target, il peut ouvrir tous les ports qu'il veut, et la machine être commandé par son "père", le spammeur, pour faire ce qu'*il* veut.
Bon je crois avoir percuté: wanadoo doit filtrer les 135/139 durant l'attaque. Quelqun peut confirmer ?
Tiens, encore un trojanné qui vient d'arriver:
Interesting ports on ALille-251-1-9-XXX.w82-XXX.abo.wanadoo.fr (82.127.151.XXX): PORT STATE SERVICE 135/tcp filtered msrpc 445/tcp filtered microsoft-ds 1025/tcp open NFS-or-IIS 5000/tcp open UPnP Device type: general purpose Running: Microsoft Windows 95/98/ME|NT/2K/XP OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP
Vipera wrote:
Lorsqu'un troyen a pu être placé sur la machine target, il peut ouvrir
tous les ports qu'il veut, et la machine être commandé par son "père",
le spammeur, pour faire ce qu'*il* veut.
Bon je crois avoir percuté: wanadoo doit filtrer les 135/139 durant
l'attaque. Quelqun peut confirmer ?
Tiens, encore un trojanné qui vient d'arriver:
Interesting ports on ALille-251-1-9-XXX.w82-XXX.abo.wanadoo.fr (82.127.151.XXX):
PORT STATE SERVICE
135/tcp filtered msrpc
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
5000/tcp open UPnP
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP
Lorsqu'un troyen a pu être placé sur la machine target, il peut ouvrir tous les ports qu'il veut, et la machine être commandé par son "père", le spammeur, pour faire ce qu'*il* veut.
Bon je crois avoir percuté: wanadoo doit filtrer les 135/139 durant l'attaque. Quelqun peut confirmer ?
Tiens, encore un trojanné qui vient d'arriver:
Interesting ports on ALille-251-1-9-XXX.w82-XXX.abo.wanadoo.fr (82.127.151.XXX): PORT STATE SERVICE 135/tcp filtered msrpc 445/tcp filtered microsoft-ds 1025/tcp open NFS-or-IIS 5000/tcp open UPnP Device type: general purpose Running: Microsoft Windows 95/98/ME|NT/2K/XP OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP
Stephane Faure
Vipera, in :
Sentimi bene, Frederic Bonroy, ma chi ti ha messo in mente certe idee?
Quelqu'un ici avait constaté il y a quelques jours une diminution du nombre de messages contenant Sober.G. Il semblerait que des ordinateurs infectés par ce ver soient maintenant utilisés pour propager de la propagande d'extrême-droite en langue allemande. Un rapport avec les élections européennes?
Ca me semble clair comme de l'eau de roche. Dans le même genre, mais beaucoup plus classique, j'ai reçu une lettre chaîne en francais (unrapidecalcul.doc) qui prétendait calculer les aides sociales que l'imam de Vénissieux et sa femme recevaient...
Je peux confirmer que j'étais en train de recevoir quelques Sober.g chaque jour, provénant d'utilisateurs Wanadoo-Fontenay (ici le dernier) (AFontenayssB-151-1-10-167.w82-121.abo.wanadoo.fr [82.121.216.167]) et maintenant, depuis deux ou trois jours, il ne m'arrive plus le Sober mais le "spam allemand" à partir du même secteur de Wanadoo, aussi plus d'un à partir du même ip (je croix, machine compromise).
Il faut envoyer une plainte à Je l'ai fait lorsque j'ai reçu 4 ou 5 Sober en quelques heures, provenant du même secteur ADSL. Ma plainte a été très bien accueillie, et le problème s'est très vite résolu. Ils seront sans doute encore plus réceptifs quand ils sauront que leurs abonnés sont exploités pour diffuser de la propagande nazie !
J'ai fait l'hypothèse que les spammeurs sont en train de vérifier toute machine qu'envoie de virus et en suite l'utiliser comme zombie de façon que les filtres des serveurs ne puissent pas les bloquer à partir de la règle sur les ip, étant donné que les machines qu'ils utilisent sont de connections normales, pas listées dans les listes noires.
Dès lors qu'un certain nombre d'utilisateurs déclarent leurs spams sur spamcop.net, les IP émettrices sont inscrites sur leur blacklist.
En outre, ce spam, ne peut pas être filtré, avec d'autres règles, parce qu'il ressemble du tout à un normal envoi mail (les mots, sont toujours différentes, même les sujets...).
Pour moi qui ne parle pas du tout allemand, ça devrait être un peu plus facile ;-)
-- Toute compétition sociale libre et éliminatoire tend à la formation de monopoles. (Norbert Elias, La dynamique de l'Occident)
Vipera, in <MPG.1b353620f8355f3b9897bf@news.individual.net> :
Sentimi bene, Frederic Bonroy, ma chi ti ha messo in mente certe idee?
Quelqu'un ici avait constaté il y a quelques jours une diminution du
nombre de messages contenant Sober.G. Il semblerait que des ordinateurs
infectés par ce ver soient maintenant utilisés pour propager de la
propagande d'extrême-droite en langue allemande. Un rapport avec les
élections européennes?
Ca me semble clair comme de l'eau de roche. Dans le même genre, mais
beaucoup plus classique, j'ai reçu une lettre chaîne en francais
(unrapidecalcul.doc) qui prétendait calculer les aides sociales que
l'imam de Vénissieux et sa femme recevaient...
Je peux confirmer que j'étais en train de recevoir quelques Sober.g
chaque jour, provénant d'utilisateurs Wanadoo-Fontenay (ici le dernier)
(AFontenayssB-151-1-10-167.w82-121.abo.wanadoo.fr [82.121.216.167])
et maintenant, depuis deux ou trois jours, il ne m'arrive plus le Sober
mais le "spam allemand" à partir du même secteur de Wanadoo, aussi plus
d'un à partir du même ip (je croix, machine compromise).
Il faut envoyer une plainte à abuse@wanadoo.fr. Je l'ai fait lorsque
j'ai reçu 4 ou 5 Sober en quelques heures, provenant du même secteur
ADSL. Ma plainte a été très bien accueillie, et le problème s'est
très vite résolu. Ils seront sans doute encore plus réceptifs quand
ils sauront que leurs abonnés sont exploités pour diffuser de la
propagande nazie !
J'ai fait l'hypothèse que les spammeurs sont en train de vérifier toute
machine qu'envoie de virus et en suite l'utiliser comme zombie de façon
que les filtres des serveurs ne puissent pas les bloquer à partir de la
règle sur les ip, étant donné que les machines qu'ils utilisent sont de
connections normales, pas listées dans les listes noires.
Dès lors qu'un certain nombre d'utilisateurs déclarent leurs spams sur
spamcop.net, les IP émettrices sont inscrites sur leur blacklist.
En outre, ce spam, ne peut pas être filtré, avec d'autres règles, parce
qu'il ressemble du tout à un normal envoi mail (les mots, sont toujours
différentes, même les sujets...).
Pour moi qui ne parle pas du tout allemand, ça devrait être un peu
plus facile ;-)
--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Sentimi bene, Frederic Bonroy, ma chi ti ha messo in mente certe idee?
Quelqu'un ici avait constaté il y a quelques jours une diminution du nombre de messages contenant Sober.G. Il semblerait que des ordinateurs infectés par ce ver soient maintenant utilisés pour propager de la propagande d'extrême-droite en langue allemande. Un rapport avec les élections européennes?
Ca me semble clair comme de l'eau de roche. Dans le même genre, mais beaucoup plus classique, j'ai reçu une lettre chaîne en francais (unrapidecalcul.doc) qui prétendait calculer les aides sociales que l'imam de Vénissieux et sa femme recevaient...
Je peux confirmer que j'étais en train de recevoir quelques Sober.g chaque jour, provénant d'utilisateurs Wanadoo-Fontenay (ici le dernier) (AFontenayssB-151-1-10-167.w82-121.abo.wanadoo.fr [82.121.216.167]) et maintenant, depuis deux ou trois jours, il ne m'arrive plus le Sober mais le "spam allemand" à partir du même secteur de Wanadoo, aussi plus d'un à partir du même ip (je croix, machine compromise).
Il faut envoyer une plainte à Je l'ai fait lorsque j'ai reçu 4 ou 5 Sober en quelques heures, provenant du même secteur ADSL. Ma plainte a été très bien accueillie, et le problème s'est très vite résolu. Ils seront sans doute encore plus réceptifs quand ils sauront que leurs abonnés sont exploités pour diffuser de la propagande nazie !
J'ai fait l'hypothèse que les spammeurs sont en train de vérifier toute machine qu'envoie de virus et en suite l'utiliser comme zombie de façon que les filtres des serveurs ne puissent pas les bloquer à partir de la règle sur les ip, étant donné que les machines qu'ils utilisent sont de connections normales, pas listées dans les listes noires.
Dès lors qu'un certain nombre d'utilisateurs déclarent leurs spams sur spamcop.net, les IP émettrices sont inscrites sur leur blacklist.
En outre, ce spam, ne peut pas être filtré, avec d'autres règles, parce qu'il ressemble du tout à un normal envoi mail (les mots, sont toujours différentes, même les sujets...).
Pour moi qui ne parle pas du tout allemand, ça devrait être un peu plus facile ;-)
-- Toute compétition sociale libre et éliminatoire tend à la formation de monopoles. (Norbert Elias, La dynamique de l'Occident)
Frederic Bonroy
J'ai écrit:
Quelqu'un ici avait constaté il y a quelques jours une diminution du nombre de messages contenant Sober.G. Il semblerait que des ordinateurs infectés par ce ver soient maintenant utilisés pour propager de la propagande d'extrême-droite en langue allemande. Un rapport avec les élections européennes?
Pas Sober.G mais Sober.H: http://www.f-secure.com/v-descs/sober_h.shtml
J'ai écrit:
Quelqu'un ici avait constaté il y a quelques jours une diminution du
nombre de messages contenant Sober.G. Il semblerait que des ordinateurs
infectés par ce ver soient maintenant utilisés pour propager de la
propagande d'extrême-droite en langue allemande. Un rapport avec les
élections européennes?
Pas Sober.G mais Sober.H:
http://www.f-secure.com/v-descs/sober_h.shtml
Quelqu'un ici avait constaté il y a quelques jours une diminution du nombre de messages contenant Sober.G. Il semblerait que des ordinateurs infectés par ce ver soient maintenant utilisés pour propager de la propagande d'extrême-droite en langue allemande. Un rapport avec les élections européennes?
Pas Sober.G mais Sober.H: http://www.f-secure.com/v-descs/sober_h.shtml
