Répondre à la discussion
Affichage des résultats 1 à 26 sur 26

fichier zlo ?? virus.....



  1. #1
    Ryback08

    bonsoir tout le monde

    il est 22h21

    ca fait 2 fois que je recoit ce genre de mail de personne differente
    a chaque fois, le meme message

    Your file is attached.
    avec un fichier join *.zlo

    bien sur, je ne me suis pas risquer a l'ouvrir
    est-ce arriver a d'autre personne !

    -----

  2. Publicité
  3. #2
    Mouquiette

    tiens zlo, c'est quoi comme extension ca ?
    Sinon, pour répondre à ta qs : je n'ai pas recu ce mail, bien que je brule d'impatience... Je sais pas pourquoi, mais je ne recoit jamais de virus par mail, et pourtant, j'ai 9 emails différents, dont un dont le but avoué et de récupperer le plus de spam/virus possible...

    d'ailleurs, si tu pouvais me l'envoyer sur mouquiette _^chez^_ free $$point$$ fr, afin de l'étudier quand j'aurais le temps...

  4. #3
    Ryback08

    haaaaa, je vient de les viré

    j'espere en recevoir un et je te l'envoye

    j'ai 3 boites aux lettres, et je l'ai recu que sur celle de laposte.net, les 2 autres n'on rien eu ??

  5. #4
    Ryback08

    j'ai parler trop vite, en vla un 4eme, je te l'envoye de suite mouquiette


  6. A voir en vidéo sur Futura
  7. #5
    Mouquiette

    Effectivement, il s'agit d'un virus.
    D'apres mes premieres observation :
    Il se connecte sur un serveur SMTP, surement peu sécurisé.
    Il tente d'envoyer des emails via le carnet d'adresse outlook
    Ensuite, il essaye d'obtenir le maximum d'info sur le PC infecté (il effectue une requete ARP pour connaitre son adresse MAC...)
    Ensuite, ben il plante (en tout cas sous win2k

  8. #6
    Ryback08

    ca va,
    de toute facon, javais pas outlook...
    bé oui, mozilla; c'est mieux

    merci pour l'info mouquiette

    ps. c'est quoi une requette APR

  9. Publicité
  10. #7
    Mouquiette

    une requete ARP, c'est une requete qui permet de connaitre l'adresse MAC (unique) associé à une IP (pas forcément unique). Cela permet à coup sur de reperer le PC.

  11. #8
    [RV]

    lut

    ARP ca permet de connaitre les elemenst ratachées sur ta carte mere via leur codes ecrits apres leur production. une sorte d'identification unique.

    ++

  12. #9
    Mouquiette

    c'est pas la associé à la carte mere, mais à l'adresse IP. Mais les paranos ne doivent pas s'effrayer, cela ne permet pas de nous reperer. Cette adresse "n'existe" plus apres les passerelle.

    un ex :
    voici un réseau :
    moi : 1.1.1.1 <---> passerrelle 1.1.1.2 <---> passerelle 3.3.3.3 <---> copain 3.3.3.4

    je veux envoyer une donnée à mon copain : je ne connais que son IP. Son IP n'etant pas dans mon suos réseau (1.1.1.*), je m'adresse à ma passerelle. Celle ci fait de meme et s'adresse à la 2eme passerelle. Celle ci remarque qu'elle a un pied dans le sous réseau dans lequel le copain est. Elle emet donc une requete ARP pour savoir qui est 3.3.3.4. Copain lui renvoie son adresse MAC, et enfin, passerelle envoie le paquet tant désiré.
    Un adresse MAC ne permetant pas de "sauter" les réseau, il faut obligatoirement passer par l'ip. Si je connais l'adresse MAC de copain, je ne pourrais rien en faire.

  13. #10
    JPL
    Responsable des forums

    Extension zlo :
    Tu as Zone Alarm et tu as enclenché la protection des mails. Chaque fois qu'il voir une pièce attachée avec une extension exécutable, il change l'extension en zlo pour éviter qu'en cliquant le fichier s'exécute. Donc c'est toujours des virus, sauf si un de tes correspondants veut réellement t'envoyer un exécutable (si c'est nécessaire il faut le zipper).
    Si tu demandes si c'est un virus, c'est que tu ne l'a pas testé avec un antivirus. Si tu n'en as pas, est-ce bien prudent ?
    Mouquiette, comment as-tu fait pour le tester ? Tu l'as renommé en exe ? Et tu aimes jouer avec le feu ?
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  14. #11
    Mouquiette

    JPL : ben oui, je l'ai renommé en .exe. Mais je prends mes précautions :
    je n'ai aucun Windows chez moi : j'ai executé le virus sur mon PC sous linux via VMWare, qui permet d'émuler un PC complet, qui lui est sous win2k. sans AV, sans fw perso, bref tout nu
    Ensuite, j'ai un fw qui bloque toute les tentatives de connexions de la machine VMWare sur internet, en les redirigeant vers un autre PC qui sert decible (il possede un client ftp, smtp, ....)
    Et ensuite, je fais mumuse avec le virus, capturant toutes les trames ehernet qui se balande sur mon réseau + désassemblage du virus et étude de celui ci si l'envie me prends...

    Bref, je joue avec le feu, mais avec 3 combi anti feu qui me protège

  15. #12
    Yogo

    J'ai l'impression qu'on ne vit pas dans le meme monde

  16. Publicité
  17. #13
    Mouquiette

    Pourquoi cela ? Tu ne comprends pas ce que j'ai raconté ? Si oui, tu peux toujours demandé, je pourrais essayer de re expliquer les points qui te semble obscur

  18. #14
    JPL
    Responsable des forums

    Astucieux, Mouquiette. Au fait quelle est la taille de la bête ? Cela devrait permettre de l'identifier si c'est un classique.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  19. #15
    Mouquiette

    1m35 au garot, il a le poil roux, et pese son poids (dans les 40kgs). Mais chut, il dort, faut pas le réveiller.
    J'espere que c'est a ce style de réponse que tu t'attendais, sinon, c'est que j'ai mal compris la question

  20. #16
    JPL
    Responsable des forums

    Non, ce n'est pas ce que j'attendais, sans doute parce que je manque d'humour
    Nombre d'octets ?
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  21. #17
    JP

    Salut,

    Moi j'ai une petite question, j'ai aussi essayé un ou deux désassemblages mais :

    1) les fichiers, même s’ils ne sont pas volumineux, sont vite composés de plusieurs dizaines de page d'assembleur.
    2) C'est totalement incompréhensible même avec des connaissance en assembleur tu passes des heures a interpréter tout les saut à droit a gauche. (Bref le casse tête chinoi)

    Donc comment tu fais pour y comprendre quelque chose ?

    A+

  22. #18
    Mouquiette

    Pour JPL : 17 724 octets.

    Pour JP : j'utilise IDA Pro (pour l'instant la démo). Il permet de mettre des noms automatiquement sur les fonctions qu'il reconnait, permet de retrouver facilement le type de la variable (tu tappes * et il te dit par ex que c'est une var d'un octet sur 8 cases, soit un char [8] ). Sinon, j'envisage de tester à coup de débugger pour aller plus vite (mais seulement quand je comprendrais beaucoup mieux l'asm, car la c'est quand meme pas la joie...)
    Sinon, ben faut aimer se prendre la tete pendant quelques heures/jours...
    Mais la j'avoue, celui la j'ai pas encore touché au désassemblage ...

  23. Publicité
  24. #19
    Yogo

    Citation Envoyé par Mouquiette
    Pourquoi cela ? Tu ne comprends pas ce que j'ai raconté ? Si oui, tu peux toujours demandé, je pourrais essayer de re expliquer les points qui te semble obscur

    Je crois que pour moi il faut reprendre le b-a.ba de l'nformatique, je ne pipe pas un mot, pas que je sois hermetique, mais c'est un domaine qu'on ne m'a pas enseigné (sf quelques bases de Basic !!) et que je ne cotoie que depuis peu....

    J'ai beau avoir des amis calés, quand ils parlent entre eux, j'ai l'impressio que ce n'est pas la meme langue, et ici c'est un peu pareil

  25. #20
    JPL
    Responsable des forums

    Pour JPL : 17 724 octets.
    Netsky.D fait 17 424 octets. Faute de frappe ou autre virus ?
    Parce qu'en faisant une recherche Google je ne trouve aucun virus ayant une longueur de 17,724 (il faut faire la recherche au format anglo-saxon), mais des tas de références pour 17,424. Et pour la date Netsky.D est très plausible. Il contient les IP suivantes codées en dur si Mouquiette veut se plonger dans les délices du désassemblage
    145.253.2.171
    151.189.13.35
    193.141.40.42
    193.189.244.205
    193.193.144.12
    193.193.158.10
    194.25.2.129
    194.25.2.129
    194.25.2.130
    194.25.2.131
    194.25.2.132
    194.25.2.133
    194.25.2.134
    195.185.185.195
    195.20.224.234
    212.185.252.136
    212.185.252.73
    212.185.253.70
    212.44.160.8
    212.7.128.162
    212.7.128.165
    213.191.74.19
    217.5.97.137
    62.155.255.16
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  26. #21
    Mouquiette

    Oui, effectivement, j'avais fait une erreur de "mémorisation" (mon PC sous Win étant pas dans la meme salle que mon vrai PC ). Sinon, j'ai trouvé les ips que tu cites (enfin 1 uo 2, la flemme de tout vérifier), donc il s'agit probablement de NetSky.

  27. #22
    Natouyahourt

    Les zlo c'est des fichiers ZoneAlarm comme l'a dit notre confrère ci-dessus. D'autre part sous windows ils peuvent être executés par simple clic, il y a juste un message d'avertissement de la part de ZA qui dit qu'il faut faire attention.
    Pourquoi serais-ce toujours toujours des virus ? Pourquoi un zip serait mieux ? Je ferais remarquer que tous les derniers virus/vers par mail sont des zip. Même le nouveau truc c'est de faire des zip protégés par mot de passe et d'envoyer le pass dans le mail... et ça marche
    Moi les exe que j'ai reçu cette année, 1 était une animation de bonne année, l'autre était un mini logiciel... pas de soucis donc.
    Mais j'suis protégé firewall + anti-virus

  28. #23
    Mouquiette

    Mais j'suis protégé firewall + anti-virus
    Tu paris ?
    A ta place je dirais non, un fw ou un antivirus n'étant que des moyuen de protection, mais pas LE moyen de protection. Il est toujours possible de passer entre. Pour l'antivirus, c'est très facile, le firewall un peu plus compliqué, mais pas irréalisable.

  29. #24
    Natouyahourt

    Citation Envoyé par Mouquiette
    Mais j'suis protégé firewall + anti-virus
    Tu paris ?
    A ta place je dirais non, un fw ou un antivirus n'étant que des moyuen de protection, mais pas LE moyen de protection. Il est toujours possible de passer entre. Pour l'antivirus, c'est très facile, le firewall un peu plus compliqué, mais pas irréalisable.
    Oui bon je sais si tu veux pinailler, même avec windows à jour, un firewall, un anti-virus, un hacker ki veut rentrer entrera... mais faudrait déjà être pris pour cible et que je sois pas devant le PC. Et sans backdoor c'est quand même bien compliqué.

  30. Publicité
  31. #25
    Natouyahourt

    La plus grosse faille de sécurité se situe entre le clavier et le fauteuil
    Je me patche régulièrement également !

  32. #26
    JPL
    Responsable des forums

    D'autre part sous windows ils peuvent être executés par simple clic, il y a juste un message d'avertissement de la part de ZA qui dit qu'il faut faire attention.
    J'ai fait l'essai de renommer des fichiers divers en .zlo. Zone Alarm affiche bien son message, mais si on lui dit d'exécuter le fichier, il le prend pour un .pif (et non pour un .exe ). Par contre si je m'envoie un .exe par mail, il est bien renommé en .zlo, mais à l'ouverture Zone Alarm voit bien que c'est un .exe. Donc ce qu'il fait est un peu plus subtil que de changer l'extension : il écrit l'extension réelle dans le fichier.

    Ceci étant dit, tout-à-fait d'accord pour les zip et les zip protégés par mot de passe. Il n'y a pas de limite à la naïveté des utilisateurs (en fait ce n'est pas le mot naïveté qui m'est venu en premier à l'esprit).
    Il va falloir que je fasse un ajout dans le dossier sur les virus, parce que c'est la seule chose vraiment nouvelle au milieu de cette avalanche récente de cochonneries.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

Discussions similaires

  1. virus sur msn qui le fait parler tous seul et envoie des fichier a mes contacts
    Par stef55f1 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 11
    Dernier message: 22/08/2007, 21h50
  2. conversion de fichier Mp3 a fichier audio
    Par lawren75 dans le forum Logiciel - Software - Open Source
    Réponses: 5
    Dernier message: 22/07/2007, 07h51
  3. probleme d'ouverture d'in fichier ISO et d'un fichier RAR
    Par ABN84 dans le forum Logiciel - Software - Open Source
    Réponses: 12
    Dernier message: 28/08/2006, 18h54
  4. trojan zlo très virulent
    Par dominika dans le forum Internet - Réseau - Sécurité générale
    Réponses: 4
    Dernier message: 16/04/2006, 13h09
Découvrez nos comparatifs produits sur l'informatique et les technologies.