bonsoir tout le monde
il est 22h21
ca fait 2 fois que je recoit ce genre de mail de personne differente
a chaque fois, le meme message
avec un fichier join *.zloYour file is attached.
bien sur, je ne me suis pas risquer a l'ouvrir
est-ce arriver a d'autre personne !
tiens zlo, c'est quoi comme extension ca ?
Sinon, pour répondre à ta qs : je n'ai pas recu ce mail, bien que je brule d'impatience... Je sais pas pourquoi, mais je ne recoit jamais de virus par mail, et pourtant, j'ai 9 emails différents, dont un dont le but avoué et de récupperer le plus de spam/virus possible...
d'ailleurs, si tu pouvais me l'envoyer sur mouquiette _^chez^_ free $$point$$ fr, afin de l'étudier quand j'aurais le temps...
haaaaa, je vient de les viré
j'espere en recevoir un et je te l'envoye
j'ai 3 boites aux lettres, et je l'ai recu que sur celle de laposte.net, les 2 autres n'on rien eu ??
j'ai parler trop vite, en vla un 4eme, je te l'envoye de suite mouquiette
Effectivement, il s'agit d'un virus.
D'apres mes premieres observation :
Il se connecte sur un serveur SMTP, surement peu sécurisé.
Il tente d'envoyer des emails via le carnet d'adresse outlook
Ensuite, il essaye d'obtenir le maximum d'info sur le PC infecté (il effectue une requete ARP pour connaitre son adresse MAC...)
Ensuite, ben il plante (en tout cas sous win2k
ca va,
de toute facon, javais pas outlook...
bé oui, mozilla; c'est mieux
merci pour l'info mouquiette
ps. c'est quoi une requette APR
une requete ARP, c'est une requete qui permet de connaitre l'adresse MAC (unique) associé à une IP (pas forcément unique). Cela permet à coup sur de reperer le PC.
lut
ARP ca permet de connaitre les elemenst ratachées sur ta carte mere via leur codes ecrits apres leur production. une sorte d'identification unique.
++
c'est pas la associé à la carte mere, mais à l'adresse IP. Mais les paranos ne doivent pas s'effrayer, cela ne permet pas de nous reperer. Cette adresse "n'existe" plus apres les passerelle.
un ex :
voici un réseau :
moi : 1.1.1.1 <---> passerrelle 1.1.1.2 <---> passerelle 3.3.3.3 <---> copain 3.3.3.4
je veux envoyer une donnée à mon copain : je ne connais que son IP. Son IP n'etant pas dans mon suos réseau (1.1.1.*), je m'adresse à ma passerelle. Celle ci fait de meme et s'adresse à la 2eme passerelle. Celle ci remarque qu'elle a un pied dans le sous réseau dans lequel le copain est. Elle emet donc une requete ARP pour savoir qui est 3.3.3.4. Copain lui renvoie son adresse MAC, et enfin, passerelle envoie le paquet tant désiré.
Un adresse MAC ne permetant pas de "sauter" les réseau, il faut obligatoirement passer par l'ip. Si je connais l'adresse MAC de copain, je ne pourrais rien en faire.
Extension zlo :
Tu as Zone Alarm et tu as enclenché la protection des mails. Chaque fois qu'il voir une pièce attachée avec une extension exécutable, il change l'extension en zlo pour éviter qu'en cliquant le fichier s'exécute. Donc c'est toujours des virus, sauf si un de tes correspondants veut réellement t'envoyer un exécutable (si c'est nécessaire il faut le zipper).
Si tu demandes si c'est un virus, c'est que tu ne l'a pas testé avec un antivirus. Si tu n'en as pas, est-ce bien prudent ?
Mouquiette, comment as-tu fait pour le tester ? Tu l'as renommé en exe ? Et tu aimes jouer avec le feu ?
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
JPL : ben oui, je l'ai renommé en .exe. Mais je prends mes précautions :
je n'ai aucun Windows chez moi : j'ai executé le virus sur mon PC sous linux via VMWare, qui permet d'émuler un PC complet, qui lui est sous win2k. sans AV, sans fw perso, bref tout nu
Ensuite, j'ai un fw qui bloque toute les tentatives de connexions de la machine VMWare sur internet, en les redirigeant vers un autre PC qui sert decible (il possede un client ftp, smtp, ....)
Et ensuite, je fais mumuse avec le virus, capturant toutes les trames ehernet qui se balande sur mon réseau + désassemblage du virus et étude de celui ci si l'envie me prends...
Bref, je joue avec le feu, mais avec 3 combi anti feu qui me protège
J'ai l'impression qu'on ne vit pas dans le meme monde
Pourquoi cela ? Tu ne comprends pas ce que j'ai raconté ? Si oui, tu peux toujours demandé, je pourrais essayer de re expliquer les points qui te semble obscur
Astucieux, Mouquiette. Au fait quelle est la taille de la bête ? Cela devrait permettre de l'identifier si c'est un classique.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
1m35 au garot, il a le poil roux, et pese son poids (dans les 40kgs). Mais chut, il dort, faut pas le réveiller.
J'espere que c'est a ce style de réponse que tu t'attendais, sinon, c'est que j'ai mal compris la question
Non, ce n'est pas ce que j'attendais, sans doute parce que je manque d'humour
Nombre d'octets ?
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Salut,
Moi j'ai une petite question, j'ai aussi essayé un ou deux désassemblages mais :
1) les fichiers, même s’ils ne sont pas volumineux, sont vite composés de plusieurs dizaines de page d'assembleur.
2) C'est totalement incompréhensible même avec des connaissance en assembleur tu passes des heures a interpréter tout les saut à droit a gauche. (Bref le casse tête chinoi)
Donc comment tu fais pour y comprendre quelque chose ?
A+
Pour JPL : 17 724 octets.
Pour JP : j'utilise IDA Pro (pour l'instant la démo). Il permet de mettre des noms automatiquement sur les fonctions qu'il reconnait, permet de retrouver facilement le type de la variable (tu tappes * et il te dit par ex que c'est une var d'un octet sur 8 cases, soit un char [8] ). Sinon, j'envisage de tester à coup de débugger pour aller plus vite (mais seulement quand je comprendrais beaucoup mieux l'asm, car la c'est quand meme pas la joie...)
Sinon, ben faut aimer se prendre la tete pendant quelques heures/jours...
Mais la j'avoue, celui la j'ai pas encore touché au désassemblage ...
Envoyé par Mouquiette
Je crois que pour moi il faut reprendre le b-a.ba de l'nformatique, je ne pipe pas un mot, pas que je sois hermetique, mais c'est un domaine qu'on ne m'a pas enseigné (sf quelques bases de Basic !!) et que je ne cotoie que depuis peu....
J'ai beau avoir des amis calés, quand ils parlent entre eux, j'ai l'impressio que ce n'est pas la meme langue, et ici c'est un peu pareil
Netsky.D fait 17 424 octets. Faute de frappe ou autre virus ?Pour JPL : 17 724 octets.
Parce qu'en faisant une recherche Google je ne trouve aucun virus ayant une longueur de 17,724 (il faut faire la recherche au format anglo-saxon), mais des tas de références pour 17,424. Et pour la date Netsky.D est très plausible. Il contient les IP suivantes codées en dur si Mouquiette veut se plonger dans les délices du désassemblage
145.253.2.171
151.189.13.35
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.185.252.73
212.185.253.70
212.44.160.8
212.7.128.162
212.7.128.165
213.191.74.19
217.5.97.137
62.155.255.16
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Oui, effectivement, j'avais fait une erreur de "mémorisation" (mon PC sous Win étant pas dans la meme salle que mon vrai PC
Les zlo c'est des fichiers ZoneAlarm comme l'a dit notre confrère ci-dessus. D'autre part sous windows ils peuvent être executés par simple clic, il y a juste un message d'avertissement de la part de ZA qui dit qu'il faut faire attention.
Pourquoi serais-ce toujours toujours des virus ? Pourquoi un zip serait mieux ? Je ferais remarquer que tous les derniers virus/vers par mail sont des zip. Même le nouveau truc c'est de faire des zip protégés par mot de passe et d'envoyer le pass dans le mail... et ça marche
Moi les exe que j'ai reçu cette année, 1 était une animation de bonne année, l'autre était un mini logiciel... pas de soucis donc.
Mais j'suis protégéfirewall + anti-virus
Tu paris ?Mais j'suis protégé firewall + anti-virus
A ta place je dirais non, un fw ou un antivirus n'étant que des moyuen de protection, mais pas LE moyen de protection. Il est toujours possible de passer entre. Pour l'antivirus, c'est très facile, le firewall un peu plus compliqué, mais pas irréalisable.
Oui bon je sais si tu veux pinailler, même avec windows à jour, un firewall, un anti-virus, un hacker ki veut rentrer entrera... mais faudrait déjà être pris pour cible et que je sois pas devant le PC. Et sans backdoor c'est quand même bien compliqué.Tu paris ?Mais j'suis protégé firewall + anti-virus
A ta place je dirais non, un fw ou un antivirus n'étant que des moyuen de protection, mais pas LE moyen de protection. Il est toujours possible de passer entre. Pour l'antivirus, c'est très facile, le firewall un peu plus compliqué, mais pas irréalisable.
Je me patche régulièrement également !La plus grosse faille de sécurité se situe entre le clavier et le fauteuil
J'ai fait l'essai de renommer des fichiers divers en .zlo. Zone Alarm affiche bien son message, mais si on lui dit d'exécuter le fichier, il le prend pour un .pif (et non pour un .exe ). Par contre si je m'envoie un .exe par mail, il est bien renommé en .zlo, mais à l'ouverture Zone Alarm voit bien que c'est un .exe. Donc ce qu'il fait est un peu plus subtil que de changer l'extension : il écrit l'extension réelle dans le fichier.D'autre part sous windows ils peuvent être executés par simple clic, il y a juste un message d'avertissement de la part de ZA qui dit qu'il faut faire attention.
Ceci étant dit, tout-à-fait d'accord pour les zip et les zip protégés par mot de passe. Il n'y a pas de limite à la naïveté des utilisateurs (en fait ce n'est pas le mot naïveté qui m'est venu en premier à l'esprit).
Il va falloir que je fasse un ajout dans le dossier sur les virus, parce que c'est la seule chose vraiment nouvelle au milieu de cette avalanche récente de cochonneries.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
