Voici un mail reçu aujourd'hui et détecté par NAI comme VBS/Psyme. Ca
consiste en une exploitation de la faille "ADODB.Stream" permettant de
télécharger et exécuter un code externe :
Le fichier présent à http://www.dream-watches.us/notepad*exe n'est détecté par aucun des AV que j'ai testé. Sand doute une backdoor ...
Allez hop, j'envoie ça à Frisk.
Quelqu'un l'a déjà envoyé à Eugène ou je m'en occupe? :-)
Heu..t'as un peu regarde' avant ?
Ca ressemble tout bonnement...a un Notepad (version espagnole)! Bon, je l'ai pas execute' mais : - Les ressources ressemble a des dialogues Notepad - Les chaines de caractere en clair dedans idem - C'est compile' depuis un Visual 7.0 - Ca a pas l'air de sauter violemment dans la derniere section... - Ca a pas l'air de faire joujou avec le reseau.
Bref. Vu de loin, ca aurait presque l'air d'un programme legitime (en tout cas, ca ressemble pas du tout a une backdoor classique). Et j'ai bien le meme md5 que nicob.
Peut-etre que le spammeur a du remplacer sa verole par un fichier legitime ? Sinon, c'est bien imite', et ca n'est surement pas une saloperie "standard" qui est dedans.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Frederic Bonroy wrote:
Nicob wrote:
Le fichier présent à http://www.dream-watches.us/notepad*exe n'est
détecté par aucun des AV que j'ai testé. Sand doute une backdoor ...
Allez hop, j'envoie ça à Frisk.
Quelqu'un l'a déjà envoyé à Eugène ou je m'en occupe? :-)
Heu..t'as un peu regarde' avant ?
Ca ressemble tout bonnement...a un Notepad (version espagnole)!
Bon, je l'ai pas execute' mais :
- Les ressources ressemble a des dialogues Notepad
- Les chaines de caractere en clair dedans idem
- C'est compile' depuis un Visual 7.0
- Ca a pas l'air de sauter violemment dans la derniere section...
- Ca a pas l'air de faire joujou avec le reseau.
Bref. Vu de loin, ca aurait presque l'air d'un programme legitime
(en tout cas, ca ressemble pas du tout a une backdoor classique).
Et j'ai bien le meme md5 que nicob.
Peut-etre que le spammeur a du remplacer sa verole par un fichier
legitime ? Sinon, c'est bien imite', et ca n'est surement pas une
saloperie "standard" qui est dedans.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Le fichier présent à http://www.dream-watches.us/notepad*exe n'est détecté par aucun des AV que j'ai testé. Sand doute une backdoor ...
Allez hop, j'envoie ça à Frisk.
Quelqu'un l'a déjà envoyé à Eugène ou je m'en occupe? :-)
Heu..t'as un peu regarde' avant ?
Ca ressemble tout bonnement...a un Notepad (version espagnole)! Bon, je l'ai pas execute' mais : - Les ressources ressemble a des dialogues Notepad - Les chaines de caractere en clair dedans idem - C'est compile' depuis un Visual 7.0 - Ca a pas l'air de sauter violemment dans la derniere section... - Ca a pas l'air de faire joujou avec le reseau.
Bref. Vu de loin, ca aurait presque l'air d'un programme legitime (en tout cas, ca ressemble pas du tout a une backdoor classique). Et j'ai bien le meme md5 que nicob.
Peut-etre que le spammeur a du remplacer sa verole par un fichier legitime ? Sinon, c'est bien imite', et ca n'est surement pas une saloperie "standard" qui est dedans.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Frederic Bonroy
Tweakie wrote:
Heu..t'as un peu regarde' avant ?
Non - problème de DLL en chargeant dans le débogueur alors j'ai pas trop cherché. C'est sans doute le bloc-notes de XP, non?
Tweakie wrote:
Heu..t'as un peu regarde' avant ?
Non - problème de DLL en chargeant dans le débogueur alors j'ai pas trop
cherché. C'est sans doute le bloc-notes de XP, non?
Non - problème de DLL en chargeant dans le débogueur alors j'ai pas trop cherché. C'est sans doute le bloc-notes de XP, non?
NO_eikaewt_SPAM
Frederic Bonroy wrote:
C'est sans doute le bloc-notes de XP, non?
Vraissemblablement, oui. Il est assez similaire a celui de 2k, a premiere vue. Il a l'air de faire une taille raisonnable, qui plus est. On ne peut pas totalement exlure l'hypothese selon laquelle il serait verole', mais honnetement, j'y de moins en moins...
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Frederic Bonroy wrote:
C'est sans doute le bloc-notes de XP, non?
Vraissemblablement, oui. Il est assez similaire a celui de 2k, a premiere
vue.
Il a l'air de faire une taille raisonnable, qui plus est. On ne peut pas
totalement
exlure l'hypothese selon laquelle il serait verole', mais honnetement, j'y
de
moins en moins...
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Vraissemblablement, oui. Il est assez similaire a celui de 2k, a premiere vue. Il a l'air de faire une taille raisonnable, qui plus est. On ne peut pas totalement exlure l'hypothese selon laquelle il serait verole', mais honnetement, j'y de moins en moins...
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Eugene Krampon
Tweakie wrote:
Frederic Bonroy wrote:
C'est sans doute le bloc-notes de XP, non?
Vraissemblablement, oui. Il est assez similaire a celui de 2k, a premiere vue. Il a l'air de faire une taille raisonnable, qui plus est. On ne peut pas totalement exlure l'hypothese selon laquelle il serait verole', mais honnetement, j'y de moins en moins...
-- Tweakie
Bon les gards j'essaye de vous suivre la mais je comprends rien a ce que vous dites, d'abords qu'est ce le MD5 ?
Ensuite j'ai téléchargé votre truc sans l'ouvrir, ça donne :
Le notepad mentionné : version 5.1.2600.0 (xpclient.010817-1148) 67 072 octets
comparé a mon notepad C:windows 5.1.2600.0 (xpclient.010817-1148) 67 584 octets
et celui de C:windows32 : idem C:Windows
J'ai toutes les Maj Windows à jour, normalement je devrais pas avoir de problème, mais a noter ce soir nouveau Spam a mon adresse principale que je n'ai jamais donné a personne.
jp
Tweakie wrote:
Frederic Bonroy wrote:
C'est sans doute le bloc-notes de XP, non?
Vraissemblablement, oui. Il est assez similaire a celui de 2k, a
premiere vue.
Il a l'air de faire une taille raisonnable, qui plus est. On ne peut
pas totalement
exlure l'hypothese selon laquelle il serait verole', mais
honnetement, j'y de
moins en moins...
--
Tweakie
Bon les gards j'essaye de vous suivre la mais je comprends rien a ce que
vous dites, d'abords qu'est ce le MD5 ?
Ensuite j'ai téléchargé votre truc sans l'ouvrir, ça donne :
Le notepad mentionné : version 5.1.2600.0 (xpclient.010817-1148) 67 072
octets
comparé a mon notepad C:windows 5.1.2600.0 (xpclient.010817-1148) 67 584
octets
et celui de C:windows32 : idem C:Windows
J'ai toutes les Maj Windows à jour, normalement je devrais pas avoir de
problème, mais a noter ce soir nouveau Spam a mon adresse principale que je
n'ai jamais donné a personne.
Vraissemblablement, oui. Il est assez similaire a celui de 2k, a premiere vue. Il a l'air de faire une taille raisonnable, qui plus est. On ne peut pas totalement exlure l'hypothese selon laquelle il serait verole', mais honnetement, j'y de moins en moins...
-- Tweakie
Bon les gards j'essaye de vous suivre la mais je comprends rien a ce que vous dites, d'abords qu'est ce le MD5 ?
Ensuite j'ai téléchargé votre truc sans l'ouvrir, ça donne :
Le notepad mentionné : version 5.1.2600.0 (xpclient.010817-1148) 67 072 octets
comparé a mon notepad C:windows 5.1.2600.0 (xpclient.010817-1148) 67 584 octets
et celui de C:windows32 : idem C:Windows
J'ai toutes les Maj Windows à jour, normalement je devrais pas avoir de problème, mais a noter ce soir nouveau Spam a mon adresse principale que je n'ai jamais donné a personne.
jp
Frederic Bonroy
Eugene Krampon wrote:
Bon les gards j'essaye de vous suivre la mais je comprends rien a ce que vous dites, d'abords qu'est ce le MD5 ?
Il y a un fil à ce sujet dans fr.comp.securite si ça vous intéresse. En gros ça permet d'identifier ou de "résumer" une série d'octets. Bref, chaque série d'octets unique a un MD5 unique (en théorie). Et comme un fichier n'est rien qu'une série d'octets, cela permet de vérifier si deux fichiers sont les mêmes (mêmes MD5) ou pas (MD5 différents). C'est utile lors de la transmission de données pour voir si ces données sont bien arrivées.
Ensuite j'ai téléchargé votre truc sans l'ouvrir, ça donne :
Le notepad mentionné : version 5.1.2600.0 (xpclient.010817-1148) 67 072 octets
comparé a mon notepad C:windows 5.1.2600.0 (xpclient.010817-1148) 67 584 octets
Si c'est la version espagnole alors ça peut expliquer la différence de taille.
Eugene Krampon wrote:
Bon les gards j'essaye de vous suivre la mais je comprends rien a ce que
vous dites, d'abords qu'est ce le MD5 ?
Il y a un fil à ce sujet dans fr.comp.securite si ça vous intéresse. En
gros ça permet d'identifier ou de "résumer" une série d'octets. Bref,
chaque série d'octets unique a un MD5 unique (en théorie). Et comme un
fichier n'est rien qu'une série d'octets, cela permet de vérifier si
deux fichiers sont les mêmes (mêmes MD5) ou pas (MD5 différents). C'est
utile lors de la transmission de données pour voir si ces données sont
bien arrivées.
Ensuite j'ai téléchargé votre truc sans l'ouvrir, ça donne :
Le notepad mentionné : version 5.1.2600.0 (xpclient.010817-1148) 67 072
octets
comparé a mon notepad C:windows 5.1.2600.0 (xpclient.010817-1148) 67 584
octets
Si c'est la version espagnole alors ça peut expliquer la différence de
taille.
Bon les gards j'essaye de vous suivre la mais je comprends rien a ce que vous dites, d'abords qu'est ce le MD5 ?
Il y a un fil à ce sujet dans fr.comp.securite si ça vous intéresse. En gros ça permet d'identifier ou de "résumer" une série d'octets. Bref, chaque série d'octets unique a un MD5 unique (en théorie). Et comme un fichier n'est rien qu'une série d'octets, cela permet de vérifier si deux fichiers sont les mêmes (mêmes MD5) ou pas (MD5 différents). C'est utile lors de la transmission de données pour voir si ces données sont bien arrivées.
Ensuite j'ai téléchargé votre truc sans l'ouvrir, ça donne :
Le notepad mentionné : version 5.1.2600.0 (xpclient.010817-1148) 67 072 octets
comparé a mon notepad C:windows 5.1.2600.0 (xpclient.010817-1148) 67 584 octets
Si c'est la version espagnole alors ça peut expliquer la différence de taille.
Nicob
On Tue, 18 May 2004 17:16:24 +0000, joke0 wrote:
Et le Psyme, c'est quoi son petit nom de variante à lui qu'il a?
En fait, j'utilise 'uvscan', qui ne me dit que "Found the VBS/Psyme trojan !!!". Pas plus de détails, donc ...
Nicob
On Tue, 18 May 2004 17:16:24 +0000, joke0 wrote:
Et le Psyme, c'est quoi son petit nom de variante à lui qu'il a?
En fait, j'utilise 'uvscan', qui ne me dit que "Found the VBS/Psyme trojan !!!".
Pas plus de détails, donc ...
Et le Psyme, c'est quoi son petit nom de variante à lui qu'il a?
En fait, j'utilise 'uvscan', qui ne me dit que "Found the VBS/Psyme trojan !!!". Pas plus de détails, donc ...
Nicob
Nicob
On Tue, 18 May 2004 18:26:40 +0000, Tweakie wrote:
Bref. Vu de loin, ca aurait presque l'air d'un programme legitime (en tout cas, ca ressemble pas du tout a une backdoor classique). Et j'ai bien le meme md5 que nicob.
Ce qui serait étonnant, c'est que le spammer ne gagne rien dans cette histoire. Faisons comme Columbo et cherchons à qui profiterait le crime si un SPAM ouvrait une version espagnole du Bloc-Note sans y afficher le moindre texte :)
Et franchement, je ne vois pas. Peut-être un test, avant de passer à quelquechose de plus offensif ...
En tout cas, la machine qui héberge le fichier apparait comme un sapin de Noël lors d'un scan Nmap (une quinzaine de ports ouverts). Et il y ait des chances qu'elle ait été compromise si elle n'est pas tenue parfaitement à jour.
Nicob
On Tue, 18 May 2004 18:26:40 +0000, Tweakie wrote:
Bref. Vu de loin, ca aurait presque l'air d'un programme legitime
(en tout cas, ca ressemble pas du tout a une backdoor classique).
Et j'ai bien le meme md5 que nicob.
Ce qui serait étonnant, c'est que le spammer ne gagne rien dans cette
histoire. Faisons comme Columbo et cherchons à qui profiterait le crime
si un SPAM ouvrait une version espagnole du Bloc-Note sans y afficher le
moindre texte :)
Et franchement, je ne vois pas. Peut-être un test, avant de passer à
quelquechose de plus offensif ...
En tout cas, la machine qui héberge le fichier apparait comme un sapin de
Noël lors d'un scan Nmap (une quinzaine de ports ouverts). Et il y ait
des chances qu'elle ait été compromise si elle n'est pas tenue
parfaitement à jour.
On Tue, 18 May 2004 18:26:40 +0000, Tweakie wrote:
Bref. Vu de loin, ca aurait presque l'air d'un programme legitime (en tout cas, ca ressemble pas du tout a une backdoor classique). Et j'ai bien le meme md5 que nicob.
Ce qui serait étonnant, c'est que le spammer ne gagne rien dans cette histoire. Faisons comme Columbo et cherchons à qui profiterait le crime si un SPAM ouvrait une version espagnole du Bloc-Note sans y afficher le moindre texte :)
Et franchement, je ne vois pas. Peut-être un test, avant de passer à quelquechose de plus offensif ...
En tout cas, la machine qui héberge le fichier apparait comme un sapin de Noël lors d'un scan Nmap (une quinzaine de ports ouverts). Et il y ait des chances qu'elle ait été compromise si elle n'est pas tenue parfaitement à jour.
