Outils pour utilisateurs

Outils du site


sysadmin:securite:virus:id-nkubler

Diffusion d'un mail porteur d'un virus

Un jour, un virus (W32.Blackmal.E@mm!enc) a commencé à se diffuser depuis la machine 193.252.197.37. Il s'agissait d'une usurpation d'identité, le processus viral envoyait a une liste d'adresses une pièce jointe infectée en prenant l'identité de nkubler@eila.jussieu.fr. Cette triste histoire a pour origine une imprudence d'un utilisateur expliquée ici.

Examinons une première version :

From - Mon Jun 26 17:50:48 2006
X-Account-Key: account2
X-UIDL: AEOxktkAAD+6RKAAdARhFm9VPbA
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Apparently-To: XXX AT yahoo.fr via 217.146.177.67; Mon, 26 Jun 2006 08:42:43 -0700
X-YahooFilteredBulk: 193.252.197.37
X-Originating-IP: [193.252.197.37]
Authentication-Results: mta197.mail.re4.yahoo.com
  from=eila.univ-paris-diderot.fr; domainkeys=neutral (no sig)
Received: from 193.252.197.37  (HELO sairam1-9msicw3) (193.252.197.37)
  by mta197.mail.re4.yahoo.com with SMTP; Mon, 26 Jun 2006 08:42:43 -0700
From: "nkubler" <nkubler AT eila.univ-paris-diderot.fr>
To: <XXX AT yahoo.fr>
Subject: Fw: DSC-00465.jpg
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_5,67506909370422E-02"

This is a multi-part message in MIME format.

------=_NextPart_5,67506909370422E-02
Content-Type: text/plain; format=flowed

forwarded message attached.

------=_NextPart_5,67506909370422E-02
Content-Type: application/x-director; name="DSC-00465.pIf"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="DSC-00465.pIf"

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
...

On voit l'adresse (probable) de la machine infectée : 193.252.197.37. On remarque surtout que le sujet parle d'une image DSC-00465.jpg tandis que le fichier est DSC-00465.pIf.

Rien n'est plus simple que de se faire passer pour quelqu'un d'autre lorsque l'on utilise le courrier électronique ; ce virus n'a donc rien de bien novateur. D'autre part, il n'est pas très difficile non plus de faire passer une machine pour une autre. Ainsi est-il probable mais pas certain qu'il s'agisse bien de 193.252.197.37.

Évidemment, cette machine étant en dehors du domaine eila.jussieu.fr (désormais crl.univ-paris-diderot.fr et eila.univ-paris-diderot.fr), nous ne pouvions absolument rien faire hormis contacter le CERT Renater (qu'est-ce qu'un CERT ?).

Cela étant, le virus ayant été découvert en janvier 2006, une mise à jour de l'anti-virus s'imposait !

En voici une seconde version :

Il s'agissait de la même machine expéditrice, il est donc probable que ce soit la vraie. En cherchant à ouvrir le fichier, l'anti-virus bloquait l'opération :

Voir aussi Usage sécurisé de Mozilla Thunderbird.

sysadmin/securite/virus/id-nkubler.txt · Dernière modification: 2011/02/16 16:10 par Pascal Cabaud