je viens de croiser deux mails très très bizarres : ils présentent tous
deux les apparences d'un Sober.i (expéditeur, sujet, corps) sauf que la
soi-disante PJ embarquée (censée être en Base64) est une liste
d'environ 2000 adresses emails au format texte.
Quand on "mimeexplode" le mail, on récupère bien des fichiers avec une
extension exécutable (com, pif, ...) mais ils n'ont pas la structure d'un
exécutable valide (forcément, vu que c'est la conversion Base64 d'une
liste d'emails).
Un bug dans Sober.i ???
Vu que je ne suis pas sûr d'avoir été très clair :
Return-Path: <user_info@xxxxxxx.com>
X-Envelope-To: <somebody@yyyyyy.com>
X-Envelope-From: <user_info@xxxxxxx.com>
Received: from svaukoooq.com (ALyon-...abo.wanadoo.fr [217.128...])
by mail.yyyyyy.net (Postfix) with SMTP id 164E03F662 for
<somebody@yyyyyy.com>; Fri, 10 Dec 2004 13:50:58 +0100 (CET)
From: user_info@xxxxxxx.com
To: somebody@yyyyyy.com
Date: Fri, 10 Dec 2004 12:49:09 UTC
Subject: FwD: Registration confirmation Importance: Normal
X-Mailer: E-SMTP V8.82
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: <be6a1fe2dff543c6605@xxxxxxx.com> MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="=02ec79cf1eb0.a49e4159cc61"
Content-Transfer-Encoding: 7bit
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
joke0
Salut,
Nicob:
je viens de croiser deux mails très très bizarres : ils présentent tous deux les apparences d'un Sober.i (expéditeur, sujet, corps) sauf que la soi-disante PJ embarquée (censée être en Base64) est une liste d'environ 2000 adresses emails au format texte.
Ce n'est pas un comportement répertorié dans la description de Symantec. Peut-être est-ce une fonction du ver qui s'active au bout d'une certaine période, pour disséminer encore plus les adresses collectées (et être récupérées par les spammers?).
-- joke0
Salut,
Nicob:
je viens de croiser deux mails très très bizarres : ils
présentent tous deux les apparences d'un Sober.i (expéditeur,
sujet, corps) sauf que la soi-disante PJ embarquée (censée
être en Base64) est une liste d'environ 2000 adresses emails
au format texte.
Ce n'est pas un comportement répertorié dans la description de
Symantec. Peut-être est-ce une fonction du ver qui s'active
au bout d'une certaine période, pour disséminer encore plus les
adresses collectées (et être récupérées par les spammers?).
je viens de croiser deux mails très très bizarres : ils présentent tous deux les apparences d'un Sober.i (expéditeur, sujet, corps) sauf que la soi-disante PJ embarquée (censée être en Base64) est une liste d'environ 2000 adresses emails au format texte.
Ce n'est pas un comportement répertorié dans la description de Symantec. Peut-être est-ce une fonction du ver qui s'active au bout d'une certaine période, pour disséminer encore plus les adresses collectées (et être récupérées par les spammers?).
-- joke0
Nicob
On Fri, 10 Dec 2004 17:04:31 +0000, joke0 wrote:
Ce n'est pas un comportement répertorié dans la description de Symantec.
Ni des autres éditeurs ...
Peut-être est-ce une fonction du ver qui s'active au bout d'une certaine période, pour disséminer encore plus les adresses collectées (et être récupérées par les spammers?).
Au lieu de se disséminer lui-même (vu qu'il n'y a pas d'exécutable valide dans le mail), il disséminerait des adresses email ?
Btw, je viens d'en voir un troisième depuis la même IP source, et avec les mêmes caractéristiques ...
Nicob
On Fri, 10 Dec 2004 17:04:31 +0000, joke0 wrote:
Ce n'est pas un comportement répertorié dans la description de Symantec.
Ni des autres éditeurs ...
Peut-être est-ce une fonction du ver qui s'active au bout d'une certaine
période, pour disséminer encore plus les adresses collectées (et être
récupérées par les spammers?).
Au lieu de se disséminer lui-même (vu qu'il n'y a pas d'exécutable
valide dans le mail), il disséminerait des adresses email ?
Btw, je viens d'en voir un troisième depuis la même IP source, et avec
les mêmes caractéristiques ...
Ce n'est pas un comportement répertorié dans la description de Symantec.
Ni des autres éditeurs ...
Peut-être est-ce une fonction du ver qui s'active au bout d'une certaine période, pour disséminer encore plus les adresses collectées (et être récupérées par les spammers?).
Au lieu de se disséminer lui-même (vu qu'il n'y a pas d'exécutable valide dans le mail), il disséminerait des adresses email ?
Btw, je viens d'en voir un troisième depuis la même IP source, et avec les mêmes caractéristiques ...
Nicob
joke0
Salut,
Nicob:
Btw, je viens d'en voir un troisième depuis la même IP source, et avec les mêmes caractéristiques ...
Cependant, Sober.i se corrompt lui-même assez facilement. Mais ce serait étonnant que la corruption provoque l'envoie desa base d'email.
-- joke0
Salut,
Nicob:
Btw, je viens d'en voir un troisième depuis la même IP source,
et avec les mêmes caractéristiques ...
Cependant, Sober.i se corrompt lui-même assez facilement. Mais
ce serait étonnant que la corruption provoque l'envoie desa base
d'email.
Btw, je viens d'en voir un troisième depuis la même IP source, et avec les mêmes caractéristiques ...
Cependant, Sober.i se corrompt lui-même assez facilement. Mais ce serait étonnant que la corruption provoque l'envoie desa base d'email.
-- joke0
Nicob
On Fri, 10 Dec 2004 17:55:56 +0000, joke0 wrote:
Btw, je viens d'en voir un troisième depuis la même IP source, et avec les mêmes caractéristiques ...
Cependant, Sober.i se corrompt lui-même assez facilement. Mais ce serait étonnant que la corruption provoque l'envoie desa base d'email.
Je viens de regarder mes logs, j'en ai encore eu 11 ces derniers jours, depuis 2 IP sources (FR et IT). Toujours la même tartine d'adresses mails dans les pseudo-PJ ...
Nicob
On Fri, 10 Dec 2004 17:55:56 +0000, joke0 wrote:
Btw, je viens d'en voir un troisième depuis la même IP source, et avec
les mêmes caractéristiques ...
Cependant, Sober.i se corrompt lui-même assez facilement. Mais ce serait
étonnant que la corruption provoque l'envoie desa base d'email.
Je viens de regarder mes logs, j'en ai encore eu 11 ces derniers jours,
depuis 2 IP sources (FR et IT). Toujours la même tartine d'adresses mails
dans les pseudo-PJ ...
Btw, je viens d'en voir un troisième depuis la même IP source, et avec les mêmes caractéristiques ...
Cependant, Sober.i se corrompt lui-même assez facilement. Mais ce serait étonnant que la corruption provoque l'envoie desa base d'email.
Je viens de regarder mes logs, j'en ai encore eu 11 ces derniers jours, depuis 2 IP sources (FR et IT). Toujours la même tartine d'adresses mails dans les pseudo-PJ ...
Nicob
joke0
Salut,
Nicob:
Je viens de regarder mes logs, j'en ai encore eu 11 ces derniers jours, depuis 2 IP sources (FR et IT). Toujours la même tartine d'adresses mails dans les pseudo-PJ ...
J'ai une recrudescance de Swen et de NetSky dans ma bàl. Je me demande si ces envois de base de données ne sont pas à l'origine de tout ça :-/
-- joke0
Salut,
Nicob:
Je viens de regarder mes logs, j'en ai encore eu 11 ces
derniers jours, depuis 2 IP sources (FR et IT). Toujours la
même tartine d'adresses mails dans les pseudo-PJ ...
J'ai une recrudescance de Swen et de NetSky dans ma bàl. Je me
demande si ces envois de base de données ne sont pas à l'origine
de tout ça :-/
Je viens de regarder mes logs, j'en ai encore eu 11 ces derniers jours, depuis 2 IP sources (FR et IT). Toujours la même tartine d'adresses mails dans les pseudo-PJ ...
J'ai une recrudescance de Swen et de NetSky dans ma bàl. Je me demande si ces envois de base de données ne sont pas à l'origine de tout ça :-/
