J'aimerai savoir si les virus envoyé par mail sont capable de modifier
l'IP de l'expediteur dans le header pour tromper l'ennemi ?
Ceci dans le but de retrouver le PC verolé en comparant les IP de mail
normaux et verolé.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Belin
Le samedi 8 mai 2004 22:19:44, heinrich a écrit:
J'aimerai savoir si les virus envoyé par mail sont capable de modifier l'IP de l'expediteur dans le header pour tromper l'ennemi ?
Un virus (ou un spammeur) ne peut pas modifier les entêtes Received d'un message, puisque par définition, ils sont crées par les machines exterieures à la machine infectée ou utilisée par le spammeur.
Par contre, est c'est le truc qui est effectivement utilisé, il est tout à fait possible d'ajouter, avant l'envoi du message, des faux entêtes Received, avec des données totalement fausses (mais peut-être crédibles si le spammeur est consciencieux). Le premier entêtes Received réel étant placé ensuite (en fait plus haut dans le listing), il est donc négligé par une personne non avertie qui analyse, par habitude, celui qui est tout en bas.
Il faut donc analyser l'ensemble des entêtes, et trouver "là où ca cloche" (par exemple le passage d'un agent SMTP interne d'un fournisseur vers une adresse dynamique). C'est cette adresse qui correspond à la véritable machine de départ.
En pratique, l'analyse est quand même assez facile ces jours ci, car la plupart des spammeurs/virus utilisant des agents SMTP directs, il suffit de regarder le premier Received (le plus haut) et de vérifier s'il s'agit d'une adresse dynamique (encore plus facile lorsque le reverse contient une chaine de type "adsl" ou "ppp"). En dessous, c'est à tout les coups du simulé...
A+ Jacques. -- Le dernier Homme connecté sur le Net regardait d'anciens sites Webs. "Vous avez du courrier" apparut sur l'écran... --------------------------- adapté d'une courte histoire de Fredric Brown
Le samedi 8 mai 2004 22:19:44,
heinrich <pasdemail@svp.rien> a écrit:
J'aimerai savoir si les virus envoyé par mail sont capable de modifier
l'IP de l'expediteur dans le header pour tromper l'ennemi ?
Un virus (ou un spammeur) ne peut pas modifier les entêtes Received d'un
message, puisque par définition, ils sont crées par les machines
exterieures à la machine infectée ou utilisée par le spammeur.
Par contre, est c'est le truc qui est effectivement utilisé, il est tout
à fait possible d'ajouter, avant l'envoi du message, des faux entêtes
Received, avec des données totalement fausses (mais peut-être crédibles
si le spammeur est consciencieux). Le premier entêtes Received réel étant
placé ensuite (en fait plus haut dans le listing), il est donc négligé
par une personne non avertie qui analyse, par habitude, celui qui est
tout en bas.
Il faut donc analyser l'ensemble des entêtes, et trouver "là où ca
cloche" (par exemple le passage d'un agent SMTP interne d'un
fournisseur vers une adresse dynamique). C'est cette adresse qui
correspond à la véritable machine de départ.
En pratique, l'analyse est quand même assez facile ces jours ci, car la
plupart des spammeurs/virus utilisant des agents SMTP directs, il suffit
de regarder le premier Received (le plus haut) et de vérifier s'il
s'agit d'une adresse dynamique (encore plus facile lorsque le reverse
contient une chaine de type "adsl" ou "ppp"). En dessous, c'est à tout
les coups du simulé...
A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown
J'aimerai savoir si les virus envoyé par mail sont capable de modifier l'IP de l'expediteur dans le header pour tromper l'ennemi ?
Un virus (ou un spammeur) ne peut pas modifier les entêtes Received d'un message, puisque par définition, ils sont crées par les machines exterieures à la machine infectée ou utilisée par le spammeur.
Par contre, est c'est le truc qui est effectivement utilisé, il est tout à fait possible d'ajouter, avant l'envoi du message, des faux entêtes Received, avec des données totalement fausses (mais peut-être crédibles si le spammeur est consciencieux). Le premier entêtes Received réel étant placé ensuite (en fait plus haut dans le listing), il est donc négligé par une personne non avertie qui analyse, par habitude, celui qui est tout en bas.
Il faut donc analyser l'ensemble des entêtes, et trouver "là où ca cloche" (par exemple le passage d'un agent SMTP interne d'un fournisseur vers une adresse dynamique). C'est cette adresse qui correspond à la véritable machine de départ.
En pratique, l'analyse est quand même assez facile ces jours ci, car la plupart des spammeurs/virus utilisant des agents SMTP directs, il suffit de regarder le premier Received (le plus haut) et de vérifier s'il s'agit d'une adresse dynamique (encore plus facile lorsque le reverse contient une chaine de type "adsl" ou "ppp"). En dessous, c'est à tout les coups du simulé...
A+ Jacques. -- Le dernier Homme connecté sur le Net regardait d'anciens sites Webs. "Vous avez du courrier" apparut sur l'écran... --------------------------- adapté d'une courte histoire de Fredric Brown
heinrich
On Sat, 08 May 2004 23:11:14 +0200, Jacques Belin wrote:
J'aimerai savoir si les virus envoyé par mail sont capable de modifier l'IP de l'expediteur dans le header pour tromper l'ennemi ?
Un virus (ou un spammeur) ne peut pas modifier les entêtes Received d'un message, puisque par définition, ils sont crées par les machines exterieures à la machine infectée ou utilisée par le spammeur.
Donc c'est le serveur qui recoit qui place l'IP ? Ainsi si le spammer/virus est relayé alors il est plus difficile d'en connaitre l'ip d'origine ?
On Sat, 08 May 2004 23:11:14 +0200, Jacques Belin
<jbelinPASdeSPAM@altern.org> wrote:
J'aimerai savoir si les virus envoyé par mail sont capable de modifier
l'IP de l'expediteur dans le header pour tromper l'ennemi ?
Un virus (ou un spammeur) ne peut pas modifier les entêtes Received d'un
message, puisque par définition, ils sont crées par les machines
exterieures à la machine infectée ou utilisée par le spammeur.
Donc c'est le serveur qui recoit qui place l'IP ?
Ainsi si le spammer/virus est relayé alors il est plus difficile d'en
connaitre l'ip d'origine ?
On Sat, 08 May 2004 23:11:14 +0200, Jacques Belin wrote:
J'aimerai savoir si les virus envoyé par mail sont capable de modifier l'IP de l'expediteur dans le header pour tromper l'ennemi ?
Un virus (ou un spammeur) ne peut pas modifier les entêtes Received d'un message, puisque par définition, ils sont crées par les machines exterieures à la machine infectée ou utilisée par le spammeur.
Donc c'est le serveur qui recoit qui place l'IP ? Ainsi si le spammer/virus est relayé alors il est plus difficile d'en connaitre l'ip d'origine ?
Xavier Roche
heinrich wrote:
Donc c'est le serveur qui recoit qui place l'IP ?
Oui. Chaque serveur, ou chaque relais, place une ligne (pas totalement standardisée) du genre: Received: from foobar.foo.bar (12.34.56.78) by monserveur.foo.bar with ESMTP
Ainsi si le spammer/virus est relayé alors il est plus difficile d'en connaitre l'ip d'origine ?
Certes, mais si le relais n'est pas totalement vérollé, il ajoute lui-même une ligne de received.
En général les virus attaquent en direct le MX du serveur de mail de la victime ; parfois le MX le moins prioritaire (pour éviter les filtres qui sont souvent sur le premier MX seulement), et donc la premièer IP "exterieure" au FAI est la bonne dans la liste des Received:
heinrich wrote:
Donc c'est le serveur qui recoit qui place l'IP ?
Oui. Chaque serveur, ou chaque relais, place une ligne (pas totalement
standardisée) du genre:
Received: from foobar.foo.bar (12.34.56.78) by monserveur.foo.bar with ESMTP
Ainsi si le spammer/virus est relayé alors il est plus difficile d'en
connaitre l'ip d'origine ?
Certes, mais si le relais n'est pas totalement vérollé, il ajoute lui-même
une ligne de received.
En général les virus attaquent en direct le MX du serveur de mail de la
victime ; parfois le MX le moins prioritaire (pour éviter les filtres qui
sont souvent sur le premier MX seulement), et donc la premièer IP "exterieure"
au FAI est la bonne dans la liste des Received:
Oui. Chaque serveur, ou chaque relais, place une ligne (pas totalement standardisée) du genre: Received: from foobar.foo.bar (12.34.56.78) by monserveur.foo.bar with ESMTP
Ainsi si le spammer/virus est relayé alors il est plus difficile d'en connaitre l'ip d'origine ?
Certes, mais si le relais n'est pas totalement vérollé, il ajoute lui-même une ligne de received.
En général les virus attaquent en direct le MX du serveur de mail de la victime ; parfois le MX le moins prioritaire (pour éviter les filtres qui sont souvent sur le premier MX seulement), et donc la premièer IP "exterieure" au FAI est la bonne dans la liste des Received:
heinrich
On Sun, 09 May 2004 08:26:35 +0200, Xavier Roche wrote:
heinrich wrote:
Donc c'est le serveur qui recoit qui place l'IP ?
Oui. Chaque serveur, ou chaque relais, place une ligne (pas totalement standardisée) du genre: Received: from foobar.foo.bar (12.34.56.78) by monserveur.foo.bar with ESMTP
Ainsi si le spammer/virus est relayé alors il est plus difficile d'en connaitre l'ip d'origine ?
Certes, mais si le relais n'est pas totalement vérollé, il ajoute lui-même une ligne de received.
En général les virus attaquent en direct le MX du serveur de mail de la victime ; parfois le MX le moins prioritaire (pour éviter les filtres qui sont souvent sur le premier MX seulement), et donc la premièer IP "exterieure" au FAI est la bonne dans la liste des Received:
Ok merci. Ca va m'aider a retrouver le PC verolé qui m'envoie ces mail.
On Sun, 09 May 2004 08:26:35 +0200, Xavier Roche
<xroche@free.fr.NOSPAM.invalid> wrote:
heinrich wrote:
Donc c'est le serveur qui recoit qui place l'IP ?
Oui. Chaque serveur, ou chaque relais, place une ligne (pas totalement
standardisée) du genre:
Received: from foobar.foo.bar (12.34.56.78) by monserveur.foo.bar with ESMTP
Ainsi si le spammer/virus est relayé alors il est plus difficile d'en
connaitre l'ip d'origine ?
Certes, mais si le relais n'est pas totalement vérollé, il ajoute lui-même
une ligne de received.
En général les virus attaquent en direct le MX du serveur de mail de la
victime ; parfois le MX le moins prioritaire (pour éviter les filtres qui
sont souvent sur le premier MX seulement), et donc la premièer IP "exterieure"
au FAI est la bonne dans la liste des Received:
Ok merci.
Ca va m'aider a retrouver le PC verolé qui m'envoie ces mail.
On Sun, 09 May 2004 08:26:35 +0200, Xavier Roche wrote:
heinrich wrote:
Donc c'est le serveur qui recoit qui place l'IP ?
Oui. Chaque serveur, ou chaque relais, place une ligne (pas totalement standardisée) du genre: Received: from foobar.foo.bar (12.34.56.78) by monserveur.foo.bar with ESMTP
Ainsi si le spammer/virus est relayé alors il est plus difficile d'en connaitre l'ip d'origine ?
Certes, mais si le relais n'est pas totalement vérollé, il ajoute lui-même une ligne de received.
En général les virus attaquent en direct le MX du serveur de mail de la victime ; parfois le MX le moins prioritaire (pour éviter les filtres qui sont souvent sur le premier MX seulement), et donc la premièer IP "exterieure" au FAI est la bonne dans la liste des Received:
Ok merci. Ca va m'aider a retrouver le PC verolé qui m'envoie ces mail.
