[gull] Une attaque par email?
Félix Hauri
felix at f-hauri.ch
Mon Nov 7 10:33:28 CET 2005
On Mon, Nov 07, 2005 at 10:07:39AM +0200, Daniel Cordey wrote:
>
> Et chez moi, je suis en train d'experimenter le fameux 'spam' en cyrilique,
> ainsi que la circulation d'un virus qui pretend contenir du jpeg mais est
> un .exe...
Souvent, ces .... .exe ou .scr, voire .pif ou .bat, sont des auto-décompactables
- auto-executable que l'on peut décomprésser, sous linux, avec la commande upx:
$ apt-cache search upx
upx-ucl - an efficient live-compressor for executables
upx-nrv - an efficient live-compressor for executables
et le binaire qui en ressort est un executable W* qui est régulièrement le même
(comparable avec md5sum.)
$ mkdir /tmp/browsespam
$ cd /tmp/browsespam
$ cat ~/Mail/spambox |
formail -s munpack -t
$ file * |
grep 'text, with\|text$' |
cut -d: -f1 |
xargs rm
$ file * |
grep 'Zip archive' |
cut -d: -f1 |
while read file;do
unzip -n -j -d . $file &&
rm $file
done
$ $ file * |
sed s/^[^:]*:[[:space:]]*//\;s/,.*//g |
sort |
uniq -c
3 data
1 DBase 3 data file with memo(s) (2083029480 records)
1 Dyalog APL version 151 .109
1 Dyalog APL version 153 .235
26 empty
153 GIF image data
47 JPEG image data
593 MS-DOS executable (EXE)
1 MS Windows PE 32-bit Intel 80386 GUI DLL
1 MS Windows PE Intel 80386 GUI executable not relocatable
6 PDF document
25 PNG image data
3 Sendmail frozen configuration - version p; Dear PostFinance Accoun
7 Sendmail frozen configuration - version p; Dear PostFinance Client
5 Sendmail frozen configuration - version p; Dear PostFinance Custom
2 SysEx File -
3 very short file (no magic)
$ file * |
grep 'executable (EXE' |
cut -d : -f1 |
while read file;do
md5sum "$file" ;
done |
cut -d\ -f1 |
sort |
uniq -c
1 062b6fdf0dd6a03623c83759b373023c
5 0f546c7ca99885a95cce74d5976be297
575 0fea0edba84249f00c4c11b6386263fe
1 2e5e131e4d5a6500b94f68d1c11ffcc5
1 3018e99857f31a59e0777396ae634a8f
1 304184447d54c54eca89b28b8daa8517
5 89f96f14b3aa2e374c7821691b64eb16
1 93ca734da311d4e2def4f8270c611f85
1 9ba24eb90c1dd033d0a88315bf8053e7
1 a4edb6d9b5cba2e8ae79ba6310c05fb4
1 adf162385187a2f4831769afe5b7ea67
Càd sur ~880 spams, j'ai 593 virus windows, dont 575 fois le même.
Dans tous les cas, ces virus fonctionnent dans l'ensemble, plutôt ``bien''
sous wine!
(Attention à ceux qui ont un Mime configuré pour lancer wine! ;)
Sinon, on créé un user puis on lançe le virus sous wine, on laisse mijoter
quelque milisecondes, on tue les process wine en cours et enfin on explore
les ``dégats'' dans le répertoire $USER/.wine/fake_windows...
On s'amuse comme on peut...
> ... Gardons le sourire :-)
C'est c'qu'il faut!
--
Félix Hauri - <felix at f-hauri.ch> - http://www.f-hauri.ch
More information about the gull
mailing list