mail avec tentative d'usurpation admin

Forum ayant pour theme les virus, les vers de messagerie, les chevaux de troie, les anti-trojans, les spywares et les anti-virus

Modérateur: modos Ixus

mail avec tentative d'usurpation admin

Messagepar Hecatonchires » 27 Juil 2004 11:07

Salut à tous,

Un de mes utilisateurs viens de me fwder un mail avec un virus en PJ. J'ai voulu le montrer ici car j'ai trouvé le principe pour tromper la vigilance du destinataire assez astucieux.
En saupoudrant le message d'informations disponibles sur le réseau (ici, le domain name) il tente de faire croire à l'utilisateur que le mail proviens de l'admin:

------------------------
From: postmaster@xxxxx.com
Subject: error

Dear user of xxxxx,
Your e-mail account has been used to send a huge amount of spam messages during this week. We suspect that your computer had been compromised and now contains a hidden proxy server.
We recommend you to follow our instruction in order to keep your computer safe.
Best regards,
xxxxxx.com user support team.
(+ PJ)
-------------------------

Les "instructions" sont en principe contenues dans la PJ. Celle-ci étant un programme elle a été effacée par notre système antivirus, mais je soupçonne qu'elle contenait un fichier "malicious". Le principe est classique, mais j'ai trouvé la forme intéressante.
Inutile de dire que l'utilisateur qui a reçu ce message a bien flippé!
Je n'ai pas trouvé de trace sur google, alors j'aimerai aussi savoir vous avez déjà reçu qqchose d'équivalent.

a+, dans l'bus
hecat
Hecatonchires
Matelot
Matelot
 
Messages: 5
Inscrit le: 01 Juil 2004 17:26
Localisation: Paris

Messagepar Mael » 27 Juil 2004 11:31

Salut,

Oui, c'est une des variantes de Bagle je crois,

je l'ai reçu il y a quelques mois sur mon mail professionel


Mael
Avatar de l’utilisateur
Mael
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 312
Inscrit le: 12 Oct 2002 00:00
Localisation: France

Messagepar Mael » 27 Juil 2004 11:37

C'est celui-là que j'avais reçu:

http://www.secuser.com/alertes/2004/baglej.htm
Avatar de l’utilisateur
Mael
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 312
Inscrit le: 12 Oct 2002 00:00
Localisation: France

Bagle.J

Messagepar Hecatonchires » 27 Juil 2004 11:54

Exact, c'est quasiment le même. Merci !

Je lis sur la page de secuser:
Bagle.J installe une porte dérobée qui ouvre le port TCP 2745 de l'ordinateur infecté...


Il y aurait-il une utilité à scanner les port 2745 de tout mes postes au cas où ?
(ex: portqry -n "hostname" -e 2745)

hecat.
Hecatonchires
Matelot
Matelot
 
Messages: 5
Inscrit le: 01 Juil 2004 17:26
Localisation: Paris

Messagepar Franck78 » 27 Juil 2004 13:02

Dans le même esprit, en provenance d'un "postmaster@tondomaime":
Le message xxx n'a pas p êtr délivré ... eror 550 ...
et en pj la vérole...

J'en ai souvent reprenant le format de postfix.

1/4 de seconde pour voir que le destinaire soit disant fautif est parfaitement inconnu et poubelle...

Dis, tes utilisateurs, ils ont l'habitude que tu leur envoies un message en anglais et en signant "support team" ???
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Hecatonchires » 27 Juil 2004 13:58

En fait l'exemple que j'ai donné c'est le message qu'a reçu l'utilisateur, pas moi. De plus dans notre environnement , ce type de message n'est (ou n'était) pas complètement incohérent.
Je m'en veux quand même, car pendant quelques secondes j'ai pris ce message au sérieux :-(
(jusqu'à ce je repère la PJ).
Hecatonchires
Matelot
Matelot
 
Messages: 5
Inscrit le: 01 Juil 2004 17:26
Localisation: Paris


Retour vers Virus et Anti-virus

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron