Salut à tous,
Un de mes utilisateurs viens de me fwder un mail avec un virus en PJ. J'ai voulu le montrer ici car j'ai trouvé le principe pour tromper la vigilance du destinataire assez astucieux.
En saupoudrant le message d'informations disponibles sur le réseau (ici, le domain name) il tente de faire croire à l'utilisateur que le mail proviens de l'admin:
------------------------
From: postmaster@xxxxx.com
Subject: error
Dear user of xxxxx,
Your e-mail account has been used to send a huge amount of spam messages during this week. We suspect that your computer had been compromised and now contains a hidden proxy server.
We recommend you to follow our instruction in order to keep your computer safe.
Best regards,
xxxxxx.com user support team.
(+ PJ)
-------------------------
Les "instructions" sont en principe contenues dans la PJ. Celle-ci étant un programme elle a été effacée par notre système antivirus, mais je soupçonne qu'elle contenait un fichier "malicious". Le principe est classique, mais j'ai trouvé la forme intéressante.
Inutile de dire que l'utilisateur qui a reçu ce message a bien flippé!
Je n'ai pas trouvé de trace sur google, alors j'aimerai aussi savoir vous avez déjà reçu qqchose d'équivalent.
a+, dans l'bus
hecat
mail avec tentative d'usurpation admin
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
mail avec tentative d'usurpation admin
par Hecatonchires » 27 Juil 2004 11:07
- Hecatonchires
- Matelot
- Messages: 5
- Inscrit le: 01 Juil 2004 17:26
- Localisation: Paris
Bagle.J
par Hecatonchires » 27 Juil 2004 11:54
Exact, c'est quasiment le même. Merci !
Je lis sur la page de secuser:
Il y aurait-il une utilité à scanner les port 2745 de tout mes postes au cas où ?
(ex: portqry -n "hostname" -e 2745)
hecat.
Je lis sur la page de secuser:
Bagle.J installe une porte dérobée qui ouvre le port TCP 2745 de l'ordinateur infecté...
Il y aurait-il une utilité à scanner les port 2745 de tout mes postes au cas où ?
(ex: portqry -n "hostname" -e 2745)
hecat.
- Hecatonchires
- Matelot
- Messages: 5
- Inscrit le: 01 Juil 2004 17:26
- Localisation: Paris
par Franck78 » 27 Juil 2004 13:02
Dans le même esprit, en provenance d'un "postmaster@tondomaime":
Le message xxx n'a pas p êtr délivré ... eror 550 ...
et en pj la vérole...
J'en ai souvent reprenant le format de postfix.
1/4 de seconde pour voir que le destinaire soit disant fautif est parfaitement inconnu et poubelle...
Dis, tes utilisateurs, ils ont l'habitude que tu leur envoies un message en anglais et en signant "support team" ???
Le message xxx n'a pas p êtr délivré ... eror 550 ...
et en pj la vérole...
J'en ai souvent reprenant le format de postfix.
1/4 de seconde pour voir que le destinaire soit disant fautif est parfaitement inconnu et poubelle...
Dis, tes utilisateurs, ils ont l'habitude que tu leur envoies un message en anglais et en signant "support team" ???
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par Hecatonchires » 27 Juil 2004 13:58
En fait l'exemple que j'ai donné c'est le message qu'a reçu l'utilisateur, pas moi. De plus dans notre environnement , ce type de message n'est (ou n'était) pas complètement incohérent.
Je m'en veux quand même, car pendant quelques secondes j'ai pris ce message au sérieux
(jusqu'à ce je repère la PJ).
Je m'en veux quand même, car pendant quelques secondes j'ai pris ce message au sérieux
(jusqu'à ce je repère la PJ).
- Hecatonchires
- Matelot
- Messages: 5
- Inscrit le: 01 Juil 2004 17:26
- Localisation: Paris
6 messages
• Page 1 sur 1
Retour vers Virus et Anti-virus
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité