Worm.Automat.AHB et Swen bilan du soir sur adresse du jour
9 réponses
Chambord
Bonjour
J'ai cree une nouvelle adresse ce jour visible dans l'entete d'un et
unique messages posté sur sur ce forum à 11h ce matin le 190903.
Ce soir j'ai reçu 14 messages lu sur la page web de wana.
2 venant de wanadoo pour inscription
5 avaient un fichier joint detruit pas wanadoo (detruito*)
3 venait de Microsoft mais sans fichier joint et message impossible a
afficher
4 messages impossible à lire
Comment mon adresse de messagerie a elle été ramasser sur ce forum ?
detruito= analyseur de mail sur serveur fourni d'office me semble t il
pour l' adsl 1024k.
Chambord écrivait le Sat, 20 Sep 2003 00:21:44 +0200:
C> Comment mon adresse de messagerie a elle été ramasser sur ce forum ?
Le message aurait été posté sur n'importe quel forum, le résultat eu été identique.
Le ver se connecte sur certains serveur de news publics et s'envoie aux adresses présente dans tout nouveau message.
Tapis dans son terrier le vers surveille les newsgroups :-)
Bye, Jean-Louis
Yvon Nedonchelle
On Sat, 20 Sep 2003 00:31:02 +0200, "Jean-Louis Noel" wrote:
Le message aurait été posté sur n'importe quel forum, le résultat eu été identique. Le ver se connecte sur certains serveur de news publics et s'envoie aux adresses présente dans tout nouveau message.
Tapis dans son terrier le vers surveille les newsgroups :-)
Bonsoir.
La bête semble surveiller beaucoup de choses, voir : http://www.europe.f-secure.com/v-descs/swen.shtml
Comme le spam il faut la nourrir de fausses adresses.
-- Yvon. Adresse email AJOUTER yvon. devant mon nom.
Le message aurait été posté sur n'importe quel forum, le résultat eu été identique.
Le ver se connecte sur certains serveur de news publics et s'envoie aux adresses
présente dans tout nouveau message.
Tapis dans son terrier le vers surveille les newsgroups :-)
Bonsoir.
La bête semble surveiller beaucoup de choses, voir :
http://www.europe.f-secure.com/v-descs/swen.shtml
Comme le spam il faut la nourrir de fausses adresses.
--
Yvon.
Adresse email AJOUTER yvon. devant mon nom.
On Sat, 20 Sep 2003 00:31:02 +0200, "Jean-Louis Noel" wrote:
Le message aurait été posté sur n'importe quel forum, le résultat eu été identique. Le ver se connecte sur certains serveur de news publics et s'envoie aux adresses présente dans tout nouveau message.
Tapis dans son terrier le vers surveille les newsgroups :-)
Bonsoir.
La bête semble surveiller beaucoup de choses, voir : http://www.europe.f-secure.com/v-descs/swen.shtml
Comme le spam il faut la nourrir de fausses adresses.
-- Yvon. Adresse email AJOUTER yvon. devant mon nom.
Chambord
Le ver se connecte sur certains serveur de news publics et s'envoie aux adresses présente dans tout nouveau message.
Tapis dans son terrier le vers surveille les newsgroups :-)
Je comprends un peu mieux , c'est plus credible. Cela veut il dire que pour une fois c'est pas la faute des internautes ni de microsoft et ses failles uniquement mais aussi d'un autre "truc" ?
Le ver se connecte sur certains serveur de news publics et s'envoie aux adresses
présente dans tout nouveau message.
Tapis dans son terrier le vers surveille les newsgroups :-)
Je comprends un peu mieux , c'est plus credible.
Cela veut il dire que pour une fois c'est pas la faute des internautes
ni de microsoft et ses failles uniquement mais aussi d'un autre "truc" ?
Le ver se connecte sur certains serveur de news publics et s'envoie aux adresses présente dans tout nouveau message.
Tapis dans son terrier le vers surveille les newsgroups :-)
Je comprends un peu mieux , c'est plus credible. Cela veut il dire que pour une fois c'est pas la faute des internautes ni de microsoft et ses failles uniquement mais aussi d'un autre "truc" ?
JacK
sur les news:3f6b8ecf$, Jean-Louis Noel signalait:
Bonjour Chambord,
Chambord écrivait le Sat, 20 Sep 2003 01:08:08 +0200:
Je comprends un peu mieux , c'est plus credible. Cela veut il dire que pour une fois c'est pas la faute des internautes ni de microsoft et ses failles uniquement mais aussi d'un autre "truc" ?
Quel truc? 1) Microsoft préviens qu'il a de grosses failles dans son système. 2) Un fou (il faut réellement l'être pour jouer de la sorte), surtout que c'est au moins son deuxième exploit, écris un vers qui utilise ces failles pour entrer dans le système et utilise, entre autre, usenet pour trouver une liste de ses victimes.
Ce ver n'a aucun besoin d'utiliser une faille de l'OS : exploiter la faille
du cerveau des utilisateurs exécutant n'importe quoi lui suffit amplement :-D -- JacK
sur les news:3f6b8ecf$1@news.stben.net,
Jean-Louis Noel <jln@stben.net> signalait:
Bonjour Chambord,
Chambord écrivait le Sat, 20 Sep 2003 01:08:08 +0200:
Je comprends un peu mieux , c'est plus credible.
Cela veut il dire que pour une fois c'est pas la faute des
internautes ni de microsoft et ses failles uniquement mais aussi
d'un autre "truc" ?
Quel truc?
1) Microsoft préviens qu'il a de grosses failles dans son système.
2) Un fou (il faut réellement l'être pour jouer de la sorte), surtout
que c'est au moins son deuxième exploit, écris un vers qui
utilise ces failles pour entrer dans le système et utilise, entre
autre, usenet pour trouver une liste de ses victimes.
Ce ver n'a aucun besoin d'utiliser une faille de l'OS : exploiter la faille
du cerveau des utilisateurs exécutant n'importe quoi lui suffit amplement
:-D
--
JacK
sur les news:3f6b8ecf$, Jean-Louis Noel signalait:
Bonjour Chambord,
Chambord écrivait le Sat, 20 Sep 2003 01:08:08 +0200:
Je comprends un peu mieux , c'est plus credible. Cela veut il dire que pour une fois c'est pas la faute des internautes ni de microsoft et ses failles uniquement mais aussi d'un autre "truc" ?
Quel truc? 1) Microsoft préviens qu'il a de grosses failles dans son système. 2) Un fou (il faut réellement l'être pour jouer de la sorte), surtout que c'est au moins son deuxième exploit, écris un vers qui utilise ces failles pour entrer dans le système et utilise, entre autre, usenet pour trouver une liste de ses victimes.
Ce ver n'a aucun besoin d'utiliser une faille de l'OS : exploiter la faille
du cerveau des utilisateurs exécutant n'importe quoi lui suffit amplement :-D -- JacK
Guillermito
"Jean-Louis Noel" :
écris un vers qui utilise ces failles pour entrer dans le système
A part la très vieille vulnérabilité Iframe d'Outlook, qui doit être marginale en nombre de clients aujourd'hui, je ne crois pas que Swen utilise d'autres failles microsoftiennes grossières pour s'exécuter automatiquement (j'ai lu la description un peu en diagonale, ces worms étant assez ennuyeux techniquement). Il demande gentiment à l'utilisateur de l'exécuter, et curieusement (en 2003!) les utilisateurs double-cliquent.
et utilise, entre autre, usenet pour trouver une liste de ses victimes.
Pas une nouveauté, en fait: Win32.Parvo par Griyo/29A faisait exactement la même chose en 1998, si ma mémoire est bonne. Il y a cinq ans, quand même.
-- Guillermito http://www.guillermito2.net
"Jean-Louis Noel" <jln@stben.net> :
écris un vers qui utilise ces failles
pour entrer dans le système
A part la très vieille vulnérabilité Iframe d'Outlook, qui doit être
marginale en nombre de clients aujourd'hui, je ne crois pas que Swen
utilise d'autres failles microsoftiennes grossières pour s'exécuter
automatiquement (j'ai lu la description un peu en diagonale, ces worms
étant assez ennuyeux techniquement). Il demande gentiment à
l'utilisateur de l'exécuter, et curieusement (en 2003!) les
utilisateurs double-cliquent.
et utilise, entre autre, usenet pour trouver
une liste de ses victimes.
Pas une nouveauté, en fait: Win32.Parvo par Griyo/29A faisait
exactement la même chose en 1998, si ma mémoire est bonne. Il y a cinq
ans, quand même.
écris un vers qui utilise ces failles pour entrer dans le système
A part la très vieille vulnérabilité Iframe d'Outlook, qui doit être marginale en nombre de clients aujourd'hui, je ne crois pas que Swen utilise d'autres failles microsoftiennes grossières pour s'exécuter automatiquement (j'ai lu la description un peu en diagonale, ces worms étant assez ennuyeux techniquement). Il demande gentiment à l'utilisateur de l'exécuter, et curieusement (en 2003!) les utilisateurs double-cliquent.
et utilise, entre autre, usenet pour trouver une liste de ses victimes.
Pas une nouveauté, en fait: Win32.Parvo par Griyo/29A faisait exactement la même chose en 1998, si ma mémoire est bonne. Il y a cinq ans, quand même.
-- Guillermito http://www.guillermito2.net
djehuti
salut "JacK" a écrit dans le message news: bkg50q$1dv5l$
Ce ver n'a aucun besoin d'utiliser une faille de l'OS : exploiter la faille du cerveau des utilisateurs exécutant n'importe quoi lui suffit amplement :-D
a t-on une idée du nombre de ces décérébrés ?
ça devient quand même un peu chiant cette histoire
et allez, encore 2 swen de plus... à l'instant :-(
@tchao
salut
"JacK" <not4usp@wanadoo.fr> a écrit dans le message news:
bkg50q$1dv5l$1@ID-204425.news.uni-berlin.de
Ce ver n'a aucun besoin d'utiliser une faille de l'OS : exploiter la
faille du cerveau des utilisateurs exécutant n'importe quoi lui
suffit amplement :-D
a t-on une idée du nombre de ces décérébrés ?
ça devient quand même un peu chiant cette histoire
et allez, encore 2 swen de plus... à l'instant :-(
salut "JacK" a écrit dans le message news: bkg50q$1dv5l$
Ce ver n'a aucun besoin d'utiliser une faille de l'OS : exploiter la faille du cerveau des utilisateurs exécutant n'importe quoi lui suffit amplement :-D
a t-on une idée du nombre de ces décérébrés ?
ça devient quand même un peu chiant cette histoire
et allez, encore 2 swen de plus... à l'instant :-(
@tchao
Jean-Louis Noel
Bonjour JacK,
JacK écrivait le Sat, 20 Sep 2003 01:55:17 +0200:
J> Ce ver n'a aucun besoin d'utiliser une faille de l'OS : exploiter la faille J> du cerveau des utilisateurs exécutant n'importe quoi lui suffit amplement
La faille en question permet que le vers soit exécuter SANS que l'on clique pour l'exécuter.
Et quand la fenêtre de demande d'autorisation s'ouvre quelle que soit la réponse il infecte!
Donc la faille permet au vers _s'il est placé en dernier_ de s'exécuter automatiquement sans que l'utilisateur n'intervienne!
Bye, Jean-Louis
Bonjour JacK,
JacK écrivait le Sat, 20 Sep 2003 01:55:17 +0200:
J> Ce ver n'a aucun besoin d'utiliser une faille de l'OS : exploiter la faille
J> du cerveau des utilisateurs exécutant n'importe quoi lui suffit amplement
La faille en question permet que le vers soit exécuter SANS que l'on
clique pour l'exécuter.
Et quand la fenêtre de demande d'autorisation s'ouvre quelle que soit
la réponse il infecte!
Donc la faille permet au vers _s'il est placé en dernier_ de s'exécuter
automatiquement sans que l'utilisateur n'intervienne!
J> Ce ver n'a aucun besoin d'utiliser une faille de l'OS : exploiter la faille J> du cerveau des utilisateurs exécutant n'importe quoi lui suffit amplement
La faille en question permet que le vers soit exécuter SANS que l'on clique pour l'exécuter.
Et quand la fenêtre de demande d'autorisation s'ouvre quelle que soit la réponse il infecte!
Donc la faille permet au vers _s'il est placé en dernier_ de s'exécuter automatiquement sans que l'utilisateur n'intervienne!
Bye, Jean-Louis
joke0
Salut,
Guillermito:
Pas une nouveauté, en fait: Win32.Parvo par Griyo/29A faisait exactement la même chose en 1998, si ma mémoire est bonne.
Oui, ta mémoire est bonne ;-) Il y a effectivement une routine de connection aléatoire à un serveur nntp et rappatriement de l'adresse du from.
Plus tard il y eu aussi Hybris qui se connectait sur acv pour récupérer des plugins.
-- joke0
Salut,
Guillermito:
Pas une nouveauté, en fait: Win32.Parvo par Griyo/29A faisait
exactement la même chose en 1998, si ma mémoire est bonne.
Oui, ta mémoire est bonne ;-)
Il y a effectivement une routine de connection aléatoire à un
serveur nntp et rappatriement de l'adresse du from.
Plus tard il y eu aussi Hybris qui se connectait sur acv pour
récupérer des plugins.
Pas une nouveauté, en fait: Win32.Parvo par Griyo/29A faisait exactement la même chose en 1998, si ma mémoire est bonne.
Oui, ta mémoire est bonne ;-) Il y a effectivement une routine de connection aléatoire à un serveur nntp et rappatriement de l'adresse du from.
Plus tard il y eu aussi Hybris qui se connectait sur acv pour récupérer des plugins.
-- joke0
Nicolas Richard
Bonjour Guillermito,
Guillermito écrivait le Fri, 19 Sep 2003 20:01:24 -0400:
G> étant assez ennuyeux techniquement). Il demande gentiment à G> l'utilisateur de l'exécuter, et curieusement (en 2003!) les G> utilisateurs double-cliquent.
Ici que l'on réponde oui, non ou que l'on ferme la fenêtre le résultat est identique le virus est installé!
A mon avis G ne parlait pas de ça, mais du fait que le virus ne faisait qu'apparaitre comme une pièce jointe n'attendant qu'à être executée, et que beaucoup cliquaient à ce moment... (une fois qu'elle est executée, celui ci "demande" de confirmer, mais là c'est effectivement déjà trop tard)
-- Nico.
Bonjour Guillermito,
Guillermito écrivait le Fri, 19 Sep 2003 20:01:24 -0400:
G> étant assez ennuyeux techniquement). Il demande gentiment à
G> l'utilisateur de l'exécuter, et curieusement (en 2003!) les
G> utilisateurs double-cliquent.
Ici que l'on réponde oui, non ou que l'on ferme la fenêtre
le résultat est identique le virus est installé!
A mon avis G ne parlait pas de ça, mais du fait que le virus ne faisait
qu'apparaitre comme une pièce jointe n'attendant qu'à être executée, et
que beaucoup cliquaient à ce moment... (une fois qu'elle est executée,
celui ci "demande" de confirmer, mais là c'est effectivement déjà trop
tard)
Guillermito écrivait le Fri, 19 Sep 2003 20:01:24 -0400:
G> étant assez ennuyeux techniquement). Il demande gentiment à G> l'utilisateur de l'exécuter, et curieusement (en 2003!) les G> utilisateurs double-cliquent.
Ici que l'on réponde oui, non ou que l'on ferme la fenêtre le résultat est identique le virus est installé!
A mon avis G ne parlait pas de ça, mais du fait que le virus ne faisait qu'apparaitre comme une pièce jointe n'attendant qu'à être executée, et que beaucoup cliquaient à ce moment... (une fois qu'elle est executée, celui ci "demande" de confirmer, mais là c'est effectivement déjà trop tard)
