[gull] Une attaque par email?

Félix Hauri felix at f-hauri.ch
Mon Nov 7 10:33:28 CET 2005 

On Mon, Nov 07, 2005 at 10:07:39AM +0200, Daniel Cordey wrote:
> 
> Et chez moi, je suis en train d'experimenter le fameux 'spam' en cyrilique, 
> ainsi que la circulation d'un virus qui pretend contenir du jpeg mais est 
> un .exe...

Souvent, ces .... .exe ou .scr, voire .pif ou .bat, sont des auto-décompactables
- auto-executable que l'on peut décomprésser, sous linux, avec la commande upx:
$ apt-cache search upx
upx-ucl - an efficient live-compressor for executables
upx-nrv - an efficient live-compressor for executables

et le binaire qui en ressort est un executable W* qui est régulièrement le même
(comparable avec md5sum.)

$ mkdir /tmp/browsespam
$ cd /tmp/browsespam
$ cat ~/Mail/spambox | 
    formail -s munpack -t
$ file * |
    grep 'text, with\|text$' |
    cut -d: -f1 |
    xargs rm
$ file * |
    grep 'Zip archive' |
    cut -d: -f1 |
    while read file;do
        unzip -n -j -d . $file &&
            rm $file
        done
$ $ file * |
    sed s/^[^:]*:[[:space:]]*//\;s/,.*//g |
    sort |
    uniq -c
      3 data
      1 DBase 3 data file with memo(s) (2083029480 records)
      1 Dyalog APL version 151 .109
      1 Dyalog APL version 153 .235
     26 empty
    153 GIF image data
     47 JPEG image data
    593 MS-DOS executable (EXE)
      1 MS Windows PE 32-bit Intel 80386 GUI DLL
      1 MS Windows PE Intel 80386 GUI executable not relocatable
      6 PDF document
     25 PNG image data
      3 Sendmail frozen configuration  - version p; Dear PostFinance Accoun
      7 Sendmail frozen configuration  - version p; Dear PostFinance Client
      5 Sendmail frozen configuration  - version p; Dear PostFinance Custom
      2 SysEx File -
      3 very short file (no magic)
$ file * |
    grep 'executable (EXE' |
    cut -d : -f1 |
    while read file;do
        md5sum "$file" ;
        done |
    cut -d\  -f1 |
    sort |
    uniq -c
      1 062b6fdf0dd6a03623c83759b373023c
      5 0f546c7ca99885a95cce74d5976be297
    575 0fea0edba84249f00c4c11b6386263fe
      1 2e5e131e4d5a6500b94f68d1c11ffcc5
      1 3018e99857f31a59e0777396ae634a8f
      1 304184447d54c54eca89b28b8daa8517
      5 89f96f14b3aa2e374c7821691b64eb16
      1 93ca734da311d4e2def4f8270c611f85
      1 9ba24eb90c1dd033d0a88315bf8053e7
      1 a4edb6d9b5cba2e8ae79ba6310c05fb4
      1 adf162385187a2f4831769afe5b7ea67
Càd sur ~880 spams, j'ai 593 virus windows, dont 575 fois le même.

Dans tous les cas, ces virus fonctionnent dans l'ensemble, plutôt ``bien''
sous wine!
(Attention à ceux qui ont un Mime configuré pour lancer wine! ;)

Sinon, on créé un user puis on lançe le virus sous wine, on laisse mijoter
quelque milisecondes, on tue les process wine en cours et enfin on explore
les ``dégats'' dans le répertoire $USER/.wine/fake_windows...

On s'amuse comme on peut...

> ... Gardons le sourire :-)
C'est c'qu'il faut!

-- 
 Félix Hauri  -  <felix at f-hauri.ch>  -  http://www.f-hauri.ch

More information about the gull mailing list