J'ai été prévenue 3 fois que mes e-mail avaient été bloqués car infestés par W32/Mydoom.
1. Je n'ai jamais envoyé ces e-mails (mais allez le leur faire comprendre !)
2. mon antivirus a bloqué ce virus il y a 3 jours (depuis mes 2 infections "swen" et 3 semaines
de panade, je me suis protégée !)
3. j'ai tout de même scanné mon pc ce soir avec MYDOOGUI de SOPHOS, et je n'ai rien.
Alors comment mon adresse a pu être utilisée si il n'est pas rentré dans mon pc ?
Merci
--
pour me répondre directement : enlever la cuillère et mettre une fourchette dans l'objet de
votre message
Frederic écrivait le Wed, 28 Jan 2004 22:14:52 +0100:
FB> Votre adresse se trouvait sur un ordinateur infecté. Par exemple, en ce FB> moment votre adresse se trouve sur mon ordinateur puisque j'ai FB> téléchargé votre message.
Mais il n'est pas très intelligent. Il envoie même des mails aux MSGID :
Frederic écrivait le Wed, 28 Jan 2004 22:14:52 +0100:
FB> Votre adresse se trouvait sur un ordinateur infecté. Par exemple, en ce
FB> moment votre adresse se trouve sur mon ordinateur puisque j'ai
FB> téléchargé votre message.
Mais il n'est pas très intelligent. Il envoie même des mails aux MSGID :
Frederic écrivait le Wed, 28 Jan 2004 22:14:52 +0100:
FB> Votre adresse se trouvait sur un ordinateur infecté. Par exemple, en ce FB> moment votre adresse se trouve sur mon ordinateur puisque j'ai FB> téléchargé votre message.
Mais il n'est pas très intelligent. Il envoie même des mails aux MSGID :
salut "Michel Doucet" a écrit dans le message news:
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez étonné de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement ou pas), j'imagine.
Amicalement,
Christophe -- L'infiniment petit qui rejoint l'infiniment grand... il le rejoint en passant par l'infiniment moyen -+- JE in GSF / 1, 2, 3... soleil : Un-fini -+-
salut
"Michel Doucet" <bidon@yahoo.fr> a écrit dans le message news:
mesnews.e5657d41.e5a94806.4.653@yahoo.fr
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer
à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez
étonné
de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur
de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement
ou pas), j'imagine.
Amicalement,
Christophe
--
L'infiniment petit qui rejoint l'infiniment grand...
il le rejoint en passant par l'infiniment moyen
-+- JE in GSF / 1, 2, 3... soleil : Un-fini -+-
salut "Michel Doucet" a écrit dans le message news:
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez étonné de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement ou pas), j'imagine.
Amicalement,
Christophe -- L'infiniment petit qui rejoint l'infiniment grand... il le rejoint en passant par l'infiniment moyen -+- JE in GSF / 1, 2, 3... soleil : Un-fini -+-
Corinne Rainbow
NewsGroups : Hello/Bonjour laurence , tu nous a dit / you told us
Bonsoir à tous,
J'ai été prévenue 3 fois que mes e-mail avaient été bloqués car infestés par W32/Mydoom. 1. Je n'ai jamais envoyé ces e-mails (mais allez le leur faire comprendre !) 2. mon antivirus a bloqué ce virus il y a 3 jours (depuis mes 2 infections "swen" et 3 semaines de panade, je me suis protégée !) 3. j'ai tout de même scanné mon pc ce soir avec MYDOOGUI de SOPHOS, et je n'ai rien.
Alors comment mon adresse a pu être utilisée si il n'est pas rentré dans mon pc ?
Merci
Pour la plupart des vers actuels, il suffit que ton adresse soit présente sur le pc infecté : dans le carnet d'adresse, une page html, un fichier dbx, les newsgroups, un forum... En faite la plupart du temps l'adresse de l'envoyeur n'est pas celle de la personne infectée et ce n'est pas correct de la par d'un provider de la bloquer - par contre je peux comprendre qu'un particulier le fasse pendant quelque temps pour éviter d'être submerger par les messages viraux.
-- Corinne Pour m'écrire perso / To write me : corinne.rainbow serveur : ibelgique.com La FAQ d'OE : http://www.faqoe.com/
The OE FAQ : http://insideoe.tomsterdam.com/ The OE Helps : http://www.oehelp.com/ Autres sites (en français) http://www.secuser.com http://jceel.free.fr http:// www.hoaxbuster.com
NewsGroups : Hello/Bonjour laurence , tu nous a dit / you told us
Bonsoir à tous,
J'ai été prévenue 3 fois que mes e-mail avaient été bloqués car
infestés par W32/Mydoom.
1. Je n'ai jamais envoyé ces e-mails (mais allez le leur faire
comprendre !)
2. mon antivirus a bloqué ce virus il y a 3 jours (depuis mes 2
infections "swen" et 3 semaines de panade, je me suis protégée !)
3. j'ai tout de même scanné mon pc ce soir avec MYDOOGUI de
SOPHOS, et je n'ai rien.
Alors comment mon adresse a pu être utilisée si il n'est pas
rentré dans mon pc ?
Merci
Pour la plupart des vers actuels, il suffit que ton adresse soit présente
sur le pc infecté : dans le carnet d'adresse, une page html, un fichier dbx,
les newsgroups, un forum...
En faite la plupart du temps l'adresse de l'envoyeur n'est pas celle de la
personne infectée et ce n'est pas correct de la par d'un provider de la
bloquer - par contre je peux comprendre qu'un particulier le fasse pendant
quelque temps pour éviter d'être submerger par les messages viraux.
--
Corinne
Pour m'écrire perso / To write me :
corinne.rainbow serveur : ibelgique.com
La FAQ d'OE : http://www.faqoe.com/
The OE FAQ : http://insideoe.tomsterdam.com/
The OE Helps : http://www.oehelp.com/
Autres sites (en français)
http://www.secuser.com
http://jceel.free.fr
http:// www.hoaxbuster.com
NewsGroups : Hello/Bonjour laurence , tu nous a dit / you told us
Bonsoir à tous,
J'ai été prévenue 3 fois que mes e-mail avaient été bloqués car infestés par W32/Mydoom. 1. Je n'ai jamais envoyé ces e-mails (mais allez le leur faire comprendre !) 2. mon antivirus a bloqué ce virus il y a 3 jours (depuis mes 2 infections "swen" et 3 semaines de panade, je me suis protégée !) 3. j'ai tout de même scanné mon pc ce soir avec MYDOOGUI de SOPHOS, et je n'ai rien.
Alors comment mon adresse a pu être utilisée si il n'est pas rentré dans mon pc ?
Merci
Pour la plupart des vers actuels, il suffit que ton adresse soit présente sur le pc infecté : dans le carnet d'adresse, une page html, un fichier dbx, les newsgroups, un forum... En faite la plupart du temps l'adresse de l'envoyeur n'est pas celle de la personne infectée et ce n'est pas correct de la par d'un provider de la bloquer - par contre je peux comprendre qu'un particulier le fasse pendant quelque temps pour éviter d'être submerger par les messages viraux.
-- Corinne Pour m'écrire perso / To write me : corinne.rainbow serveur : ibelgique.com La FAQ d'OE : http://www.faqoe.com/
The OE FAQ : http://insideoe.tomsterdam.com/ The OE Helps : http://www.oehelp.com/ Autres sites (en français) http://www.secuser.com http://jceel.free.fr http:// www.hoaxbuster.com
Yannick Patois
Christophe Huguet wrote:
salut "Michel Doucet" a écrit dans le message news:
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez étonné de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement ou pas), j'imagine.
Je ne crois pas, ce n'est pas vraiment possible. Pour recevoir un message, il fait échanger des paquets IP, et la machine émitrice ne peut pas les forger, sinon elle ne recevra pas les acknowledge et la communication sera interrompu (sauf à prendre avant le controle d'un routeur sur ton chemin et nater ailleurs, mais je ne crois pas que les virus actuels puisse le faire).
Par exemple, parmis les 800 virus que j'ai reçu depuis hiers (ceux qui font environ 33ko et qui arrivent par floppées en ce moment, j'ai mieux à faire de mes euros que de payer un antivirus pour me dire ce que c'est, désolé), j'en prends un:
Return-Path: X-Original-To: Delivered-To: Received: from mx1.tuxfamily.net (misc-out.tuxfamily.net [80.67.180.68]) by simba.sicfa.net (Postfix) with ESMTP id 74B04DD for ; Thu, 29 Jan 2004 08:38:57 +0100 (CET) Received: from [217.167.137.91] (helo=megalostudio.com) by mx1.tuxfamily.net with esmtp (Exim 3.35 #1) id 1Am6nS-0000Gw-00 for ; Thu, 29 Jan 2004 08:41:06 +0100 From: To:
Ici, j'ai confiance en simba.sicfa.net (le SMTP que je connais), Je le crois donc quand il écrit: Received: from mx1.tuxfamily.net.
De la même façon, j'ai confiance en tuxfamily (mon mail est redirigé par cette machine).
Donc je peux le croire quand il annonce: Received: from [217.167.137.91] (helo=megalostudio.com)
L'adresse 217.167.137.91 est très certainement l'adresse IP d'ou le virus a été émis.
Ce ne peut pas être un relais ouvert: $ telnet 217.167.137.91 25 (timeout)
Donc c'est un utilisateur légitime de ce SMTP qui l'a envoyé.
Bon, en 2mn je sais que c'est une machine sous controle d'oleane, mais de là à prévenir l'auteur, y'a une marge de quelques millions d'abonnés encore ;-)
Certains spammers, tentent de tromper le monde (des virus pourraient le faire aussi) en ajoutant des champs 'Received:' bidon. Du style:
Received: from [adresse bidon] by 217.167.137.91 with esmtp
ceci afin de faire croire que 217.167.137.91 est innocent et n'a fais que relayer un courriel dont [adresse bidon] s'est rendu coupable.
Mais ca prend pas parceque souvent les champs sout incohérents et que de plus ils ne sont pas dans l'odre (les champs bidons sont ajoutés au mauvais endroit dans le header).
Si j'ai dis une connerie quelque part, ne pas hésiter à me corriger, merci.
Yannick
Christophe Huguet wrote:
salut
"Michel Doucet" <bidon@yahoo.fr> a écrit dans le message news:
mesnews.e5657d41.e5a94806.4.653@yahoo.fr
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer
à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez
étonné
de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur
de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement
ou pas), j'imagine.
Je ne crois pas, ce n'est pas vraiment possible. Pour recevoir un
message, il fait échanger des paquets IP, et la machine émitrice ne peut
pas les forger, sinon elle ne recevra pas les acknowledge et la
communication sera interrompu (sauf à prendre avant le controle d'un
routeur sur ton chemin et nater ailleurs, mais je ne crois pas que les
virus actuels puisse le faire).
Par exemple, parmis les 800 virus que j'ai reçu depuis hiers (ceux qui
font environ 33ko et qui arrivent par floppées en ce moment, j'ai mieux
à faire de mes euros que de payer un antivirus pour me dire ce que
c'est, désolé), j'en prends un:
Return-Path: <n.rande@megalostudio.com>
X-Original-To: patois@sicfa.org
Delivered-To: patois@sicfa.org
Received: from mx1.tuxfamily.net (misc-out.tuxfamily.net [80.67.180.68])
by simba.sicfa.net (Postfix) with ESMTP id 74B04DD
for <patois@sicfa.org>; Thu, 29 Jan 2004 08:38:57 +0100 (CET)
Received: from [217.167.137.91] (helo=megalostudio.com)
by mx1.tuxfamily.net with esmtp (Exim 3.35 #1)
id 1Am6nS-0000Gw-00
for patois@calvix.org; Thu, 29 Jan 2004 08:41:06 +0100
From: n.rande@megalostudio.com
To: patois@calvix.org
Ici, j'ai confiance en simba.sicfa.net (le SMTP que je connais), Je le
crois donc quand il écrit: Received: from mx1.tuxfamily.net.
De la même façon, j'ai confiance en tuxfamily (mon mail est redirigé par
cette machine).
Donc je peux le croire quand il annonce:
Received: from [217.167.137.91] (helo=megalostudio.com)
L'adresse 217.167.137.91 est très certainement l'adresse IP d'ou le
virus a été émis.
Ce ne peut pas être un relais ouvert:
$ telnet 217.167.137.91 25
(timeout)
Donc c'est un utilisateur légitime de ce SMTP qui l'a envoyé.
Bon, en 2mn je sais que c'est une machine sous controle d'oleane, mais
de là à prévenir l'auteur, y'a une marge de quelques millions d'abonnés
encore ;-)
Certains spammers, tentent de tromper le monde (des virus pourraient le
faire aussi) en ajoutant des champs 'Received:' bidon. Du style:
Received: from [adresse bidon] by 217.167.137.91 with esmtp
ceci afin de faire croire que 217.167.137.91 est innocent et n'a fais
que relayer un courriel dont [adresse bidon] s'est rendu coupable.
Mais ca prend pas parceque souvent les champs sout incohérents et que de
plus ils ne sont pas dans l'odre (les champs bidons sont ajoutés au
mauvais endroit dans le header).
Si j'ai dis une connerie quelque part, ne pas hésiter à me corriger, merci.
salut "Michel Doucet" a écrit dans le message news:
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez étonné de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement ou pas), j'imagine.
Je ne crois pas, ce n'est pas vraiment possible. Pour recevoir un message, il fait échanger des paquets IP, et la machine émitrice ne peut pas les forger, sinon elle ne recevra pas les acknowledge et la communication sera interrompu (sauf à prendre avant le controle d'un routeur sur ton chemin et nater ailleurs, mais je ne crois pas que les virus actuels puisse le faire).
Par exemple, parmis les 800 virus que j'ai reçu depuis hiers (ceux qui font environ 33ko et qui arrivent par floppées en ce moment, j'ai mieux à faire de mes euros que de payer un antivirus pour me dire ce que c'est, désolé), j'en prends un:
Return-Path: X-Original-To: Delivered-To: Received: from mx1.tuxfamily.net (misc-out.tuxfamily.net [80.67.180.68]) by simba.sicfa.net (Postfix) with ESMTP id 74B04DD for ; Thu, 29 Jan 2004 08:38:57 +0100 (CET) Received: from [217.167.137.91] (helo=megalostudio.com) by mx1.tuxfamily.net with esmtp (Exim 3.35 #1) id 1Am6nS-0000Gw-00 for ; Thu, 29 Jan 2004 08:41:06 +0100 From: To:
Ici, j'ai confiance en simba.sicfa.net (le SMTP que je connais), Je le crois donc quand il écrit: Received: from mx1.tuxfamily.net.
De la même façon, j'ai confiance en tuxfamily (mon mail est redirigé par cette machine).
Donc je peux le croire quand il annonce: Received: from [217.167.137.91] (helo=megalostudio.com)
L'adresse 217.167.137.91 est très certainement l'adresse IP d'ou le virus a été émis.
Ce ne peut pas être un relais ouvert: $ telnet 217.167.137.91 25 (timeout)
Donc c'est un utilisateur légitime de ce SMTP qui l'a envoyé.
Bon, en 2mn je sais que c'est une machine sous controle d'oleane, mais de là à prévenir l'auteur, y'a une marge de quelques millions d'abonnés encore ;-)
Certains spammers, tentent de tromper le monde (des virus pourraient le faire aussi) en ajoutant des champs 'Received:' bidon. Du style:
Received: from [adresse bidon] by 217.167.137.91 with esmtp
ceci afin de faire croire que 217.167.137.91 est innocent et n'a fais que relayer un courriel dont [adresse bidon] s'est rendu coupable.
Mais ca prend pas parceque souvent les champs sout incohérents et que de plus ils ne sont pas dans l'odre (les champs bidons sont ajoutés au mauvais endroit dans le header).
Si j'ai dis une connerie quelque part, ne pas hésiter à me corriger, merci.
Yannick
Nicob
On Wed, 28 Jan 2004 23:39:34 +0100, Christophe Huguet wrote:
"Michel Doucet" a écrit dans le message news:
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez étonné de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement ou pas), j'imagine.
Et la marmotte, elle glisse la tablette dans le papier d'alu, c'est ça ?
Si on jette une oeil aux en-têtes d'un Mydoom.a :
from labocom.com (yves67.net1.nerim.net [213.41.134.138]) by duke.mon_domaine.net (Postfix) with ESMTP id B8C8B3F610 for Thu, 29 Jan 2004 09:52:34 +0100 (CET) From: To:
La source du virus (et donc la machine infectée) est donc yves67.net1.nerim.net [213.41.134.138] ou une machine située derrière (dans le cas d'un réseau local).
Cette information est ajoutée aux en-têtes par *mon* serveur de mail, en se basant sur le correspondant de la session TCP ayant servi à l'envoi du message. Pour spoofer cette adresse, il faudrait faire rien de moins que de l'IP Spoofing, cela allant être difficile vu la qualité du générateur d'ISN sous un Linux récent (mon Postfix tournant sous Linux).
Nicob
On Wed, 28 Jan 2004 23:39:34 +0100, Christophe Huguet wrote:
"Michel Doucet" <bidon@yahoo.fr> a écrit dans le message news:
mesnews.e5657d41.e5a94806.4.653@yahoo.fr
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer
à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez
étonné de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur
de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement
ou pas), j'imagine.
Et la marmotte, elle glisse la tablette dans le papier d'alu, c'est ça ?
Si on jette une oeil aux en-têtes d'un Mydoom.a :
from labocom.com (yves67.net1.nerim.net [213.41.134.138])
by duke.mon_domaine.net (Postfix) with ESMTP id B8C8B3F610
for <kevin@mon_domaine.com>
Thu, 29 Jan 2004 09:52:34 +0100 (CET)
From: sam@labocom.com
To: kevin@mon_domaine.com
La source du virus (et donc la machine infectée) est donc
yves67.net1.nerim.net [213.41.134.138] ou une machine située derrière
(dans le cas d'un réseau local).
Cette information est ajoutée aux en-têtes par *mon* serveur de mail, en
se basant sur le correspondant de la session TCP ayant servi à l'envoi du
message. Pour spoofer cette adresse, il faudrait faire rien de moins que
de l'IP Spoofing, cela allant être difficile vu la qualité du
générateur d'ISN sous un Linux récent (mon Postfix tournant sous Linux).
On Wed, 28 Jan 2004 23:39:34 +0100, Christophe Huguet wrote:
"Michel Doucet" a écrit dans le message news:
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez étonné de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement ou pas), j'imagine.
Et la marmotte, elle glisse la tablette dans le papier d'alu, c'est ça ?
Si on jette une oeil aux en-têtes d'un Mydoom.a :
from labocom.com (yves67.net1.nerim.net [213.41.134.138]) by duke.mon_domaine.net (Postfix) with ESMTP id B8C8B3F610 for Thu, 29 Jan 2004 09:52:34 +0100 (CET) From: To:
La source du virus (et donc la machine infectée) est donc yves67.net1.nerim.net [213.41.134.138] ou une machine située derrière (dans le cas d'un réseau local).
Cette information est ajoutée aux en-têtes par *mon* serveur de mail, en se basant sur le correspondant de la session TCP ayant servi à l'envoi du message. Pour spoofer cette adresse, il faudrait faire rien de moins que de l'IP Spoofing, cela allant être difficile vu la qualité du générateur d'ISN sous un Linux récent (mon Postfix tournant sous Linux).
Nicob
JacK
sur les news:, Nicob signalait:
On Wed, 28 Jan 2004 23:39:34 +0100, Christophe Huguet wrote:
"Michel Doucet" a écrit dans le message news:
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez étonné de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement ou pas), j'imagine.
Et la marmotte, elle glisse la tablette dans le papier d'alu, c'est ça ?
Si on jette une oeil aux en-têtes d'un Mydoom.a :
from labocom.com (yves67.net1.nerim.net [213.41.134.138]) by duke.mon_domaine.net (Postfix) with ESMTP id B8C8B3F610 for Thu, 29 Jan 2004 09:52:34 +0100 (CET) From: To:
La source du virus (et donc la machine infectée) est donc yves67.net1.nerim.net [213.41.134.138] ou une machine située derrière (dans le cas d'un réseau local).
Cette information est ajoutée aux en-têtes par *mon* serveur de mail, en se basant sur le correspondant de la session TCP ayant servi à l'envoi du message. Pour spoofer cette adresse, il faudrait faire rien de moins que de l'IP Spoofing, cela allant être difficile vu la qualité du générateur d'ISN sous un Linux récent (mon Postfix tournant sous Linux).
Nicob
Hello Nicob,
Très facile à faire en utilisant un serveur SMTP perso pour poster avec un proxysocks ;) -- JacK
sur les news:pan.2004.01.29.08.56.34.125830@I.hate.spammers.com,
Nicob <nicob@I.hate.spammers.com> signalait:
On Wed, 28 Jan 2004 23:39:34 +0100, Christophe Huguet wrote:
"Michel Doucet" <bidon@yahoo.fr> a écrit dans le message news:
mesnews.e5657d41.e5a94806.4.653@yahoo.fr
Ce ne sont pas les alertes qui sont bidons mais les adresses !
Essayer à partir de l'adresse IP et l'utilitaire de ZA Pro et vous
serez étonné de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le
serveur de courrier ?
En passant par un serveur de courrier mal configuré
(intentionnellement ou pas), j'imagine.
Et la marmotte, elle glisse la tablette dans le papier d'alu, c'est
ça ?
Si on jette une oeil aux en-têtes d'un Mydoom.a :
from labocom.com (yves67.net1.nerim.net [213.41.134.138])
by duke.mon_domaine.net (Postfix) with ESMTP id B8C8B3F610
for <kevin@mon_domaine.com>
Thu, 29 Jan 2004 09:52:34 +0100 (CET)
From: sam@labocom.com
To: kevin@mon_domaine.com
La source du virus (et donc la machine infectée) est donc
yves67.net1.nerim.net [213.41.134.138] ou une machine située derrière
(dans le cas d'un réseau local).
Cette information est ajoutée aux en-têtes par *mon* serveur de mail,
en se basant sur le correspondant de la session TCP ayant servi à
l'envoi du message. Pour spoofer cette adresse, il faudrait faire
rien de moins que de l'IP Spoofing, cela allant être difficile vu la
qualité du
générateur d'ISN sous un Linux récent (mon Postfix tournant sous
Linux).
Nicob
Hello Nicob,
Très facile à faire en utilisant un serveur SMTP perso pour poster avec un
proxysocks ;)
--
JacK
On Wed, 28 Jan 2004 23:39:34 +0100, Christophe Huguet wrote:
"Michel Doucet" a écrit dans le message news:
Ce ne sont pas les alertes qui sont bidons mais les adresses ! Essayer à partir de l'adresse IP et l'utilitaire de ZA Pro et vous serez étonné de l'origine du mail !
comment on fait pour modifier l'adresse IP, qui est ajoutée par le serveur de courrier ?
En passant par un serveur de courrier mal configuré (intentionnellement ou pas), j'imagine.
Et la marmotte, elle glisse la tablette dans le papier d'alu, c'est ça ?
Si on jette une oeil aux en-têtes d'un Mydoom.a :
from labocom.com (yves67.net1.nerim.net [213.41.134.138]) by duke.mon_domaine.net (Postfix) with ESMTP id B8C8B3F610 for Thu, 29 Jan 2004 09:52:34 +0100 (CET) From: To:
La source du virus (et donc la machine infectée) est donc yves67.net1.nerim.net [213.41.134.138] ou une machine située derrière (dans le cas d'un réseau local).
Cette information est ajoutée aux en-têtes par *mon* serveur de mail, en se basant sur le correspondant de la session TCP ayant servi à l'envoi du message. Pour spoofer cette adresse, il faudrait faire rien de moins que de l'IP Spoofing, cela allant être difficile vu la qualité du générateur d'ISN sous un Linux récent (mon Postfix tournant sous Linux).
Nicob
Hello Nicob,
Très facile à faire en utilisant un serveur SMTP perso pour poster avec un proxysocks ;) -- JacK
Nicob
On Thu, 29 Jan 2004 11:55:10 +0100, JacK wrote:
Très facile à faire en utilisant un serveur SMTP perso pour poster avec un proxysocks ;)
Mouais ...
Mais le cadre de la discussion ne concerne pas les mille moyens de cacher la source d'un mail en s'en donnant les moyens, mais de déterminer si telle ou telle machine est bien l'expéditrice d'un mail infecté. Et dans le cas présent, les vers se content d'un simple moteur SMTP embarqué. Donc mon raisonnement est valide ...
Nicob
On Thu, 29 Jan 2004 11:55:10 +0100, JacK wrote:
Très facile à faire en utilisant un serveur SMTP perso pour poster avec un
proxysocks ;)
Mouais ...
Mais le cadre de la discussion ne concerne pas les mille moyens de cacher
la source d'un mail en s'en donnant les moyens, mais de déterminer si
telle ou telle machine est bien l'expéditrice d'un mail infecté. Et dans
le cas présent, les vers se content d'un simple moteur SMTP embarqué.
Donc mon raisonnement est valide ...
Très facile à faire en utilisant un serveur SMTP perso pour poster avec un proxysocks ;)
Mouais ...
Mais le cadre de la discussion ne concerne pas les mille moyens de cacher la source d'un mail en s'en donnant les moyens, mais de déterminer si telle ou telle machine est bien l'expéditrice d'un mail infecté. Et dans le cas présent, les vers se content d'un simple moteur SMTP embarqué. Donc mon raisonnement est valide ...
Nicob
Virginie
Bonjour,
J'ai exactement le même problème, on vient de m'informer qu'un de mes messages avait été bloqué parce qu'il contenait le virus W32/MyDoom-A. Je n'ai pas ce virus et je n'ai pas envoyé cet e-mail. Par contre, je reçois des courriers contenant des virus très régulièrement et de la même personne à en croire ce qu'on peut voir dans les propriétes du message. (j'ai une bonne protection, les virus sont supprimés du message dès leur arrivée. ) Mais : Comment peut-on repérer ces usurpateurs d'e-mail ? Peut-on porté plainte ? Auprès de qui ? Merci
Bonjour,
J'ai exactement le même problème, on vient de m'informer qu'un de mes messages
avait été bloqué parce qu'il contenait le virus W32/MyDoom-A.
Je n'ai pas ce virus et je n'ai pas envoyé cet e-mail.
Par contre, je reçois des courriers contenant des virus très régulièrement et de
la même personne à en croire ce qu'on peut voir dans les propriétes du message.
(j'ai une bonne protection, les virus sont supprimés du message dès leur arrivée.
)
Mais :
Comment peut-on repérer ces usurpateurs d'e-mail ?
Peut-on porté plainte ? Auprès de qui ?
Merci
J'ai exactement le même problème, on vient de m'informer qu'un de mes messages avait été bloqué parce qu'il contenait le virus W32/MyDoom-A. Je n'ai pas ce virus et je n'ai pas envoyé cet e-mail. Par contre, je reçois des courriers contenant des virus très régulièrement et de la même personne à en croire ce qu'on peut voir dans les propriétes du message. (j'ai une bonne protection, les virus sont supprimés du message dès leur arrivée. ) Mais : Comment peut-on repérer ces usurpateurs d'e-mail ? Peut-on porté plainte ? Auprès de qui ? Merci
Xavier Roche
Virginie wrote:
Comment peut-on repérer ces usurpateurs d'e-mail ?
"L'usurpateur", c'est le virus lui même, qui se fait passer pour quelqun d'autre: A est infecté par le virus, qui s'expédie à B en se faisant passer pour C. Stricto sensus, A expédie (sans le savoir!) à B le virus, et C n'a rien à voir là dedans.
Peut-on porté plainte ? Auprès de qui ?
Auprès de personne. A, B et C sont toutes des victimes, même si A porte la responsabilité (de ne pas avoir correctement protégé sa machine, notamment)
Virginie wrote:
Comment peut-on repérer ces usurpateurs d'e-mail ?
"L'usurpateur", c'est le virus lui même, qui se fait passer pour quelqun
d'autre: A est infecté par le virus, qui s'expédie à B en se faisant
passer pour C. Stricto sensus, A expédie (sans le savoir!) à B le virus,
et C n'a rien à voir là dedans.
Peut-on porté plainte ? Auprès de qui ?
Auprès de personne. A, B et C sont toutes des victimes, même si A porte
la responsabilité (de ne pas avoir correctement protégé sa machine,
notamment)
Comment peut-on repérer ces usurpateurs d'e-mail ?
"L'usurpateur", c'est le virus lui même, qui se fait passer pour quelqun d'autre: A est infecté par le virus, qui s'expédie à B en se faisant passer pour C. Stricto sensus, A expédie (sans le savoir!) à B le virus, et C n'a rien à voir là dedans.
Peut-on porté plainte ? Auprès de qui ?
Auprès de personne. A, B et C sont toutes des victimes, même si A porte la responsabilité (de ne pas avoir correctement protégé sa machine, notamment)
Laurent Wacrenier
Xavier Roche écrit:
Peut-on porté plainte ? Auprès de qui ?
Auprès de personne. A, B et C sont toutes des victimes, même si A porte la responsabilité (de ne pas avoir correctement protégé sa machine, notamment)
S'il y a des dommages, auprès du tribunal d'instance pour réclamer des dommages et interêts, en invoquant les articles de 1382 à 1384 du code civil (en gros, on est responsable des dommages causés par les choses dont on a la garde et on se doit de réparer ces dommages).
Auprès de personne. A, B et C sont toutes des victimes, même si A porte
la responsabilité (de ne pas avoir correctement protégé sa machine,
notamment)
S'il y a des dommages, auprès du tribunal d'instance pour réclamer des
dommages et interêts, en invoquant les articles de 1382 à 1384 du code
civil (en gros, on est responsable des dommages causés par les choses
dont on a la garde et on se doit de réparer ces dommages).
Auprès de personne. A, B et C sont toutes des victimes, même si A porte la responsabilité (de ne pas avoir correctement protégé sa machine, notamment)
S'il y a des dommages, auprès du tribunal d'instance pour réclamer des dommages et interêts, en invoquant les articles de 1382 à 1384 du code civil (en gros, on est responsable des dommages causés par les choses dont on a la garde et on se doit de réparer ces dommages).
