[gull] Un mauvais virus...
Félix Hauri
felix at f-hauri.ch
Thu Jan 29 23:35:02 CET 2004
Très actif, ces temps ci, il n'est pourtant pas très difficile à
identifier.
Le petit script suivant agira comme un filtre qui laisse passer les
mails mais pas CE virus:
http://f-hauri.ch/vrac/virus.sh.gz
$ ( cat ~/mbox | formail +1 -s ~/bin/virus.sh ) >newmbox 2>virdetect
Une fois dé-mime-encodé, éventuellement dézippé et enfin dé-upx-é,
il a toujours le même md5.
Mais le plus rigolo est que le lisant avec la commande suivante:
$ tr n-za-mN-ZA-M a-zA-Z <body.htm\ ...\ .exe | less
on finit par trouver qqch comme : ...GET / HTTP/1.1
Host: www.sco.com
Je me demande bien pourquoi cette requette là...
--
Félix Hauri - <felix at f-hauri.ch> - http://www.f-hauri.ch
More information about the gull
mailing list