-
-
- Formations :
-
-
-
Un jour, un virus (W32.Blackmal.E@mm!enc) a commencé à se diffuser depuis la machine 193.252.197.37
. Il s'agissait d'une usurpation d'identité, le processus viral envoyait a une liste d'adresses une pièce jointe infectée en prenant l'identité de nkubler@eila.jussieu.fr
. Cette triste histoire a pour origine une imprudence d'un utilisateur expliquée ici.
Examinons une première version :
From - Mon Jun 26 17:50:48 2006 X-Account-Key: account2 X-UIDL: AEOxktkAAD+6RKAAdARhFm9VPbA X-Mozilla-Status: 0001 X-Mozilla-Status2: 10000000 X-Apparently-To: XXX AT yahoo.fr via 217.146.177.67; Mon, 26 Jun 2006 08:42:43 -0700 X-YahooFilteredBulk: 193.252.197.37 X-Originating-IP: [193.252.197.37] Authentication-Results: mta197.mail.re4.yahoo.com from=eila.univ-paris-diderot.fr; domainkeys=neutral (no sig) Received: from 193.252.197.37 (HELO sairam1-9msicw3) (193.252.197.37) by mta197.mail.re4.yahoo.com with SMTP; Mon, 26 Jun 2006 08:42:43 -0700 From: "nkubler" <nkubler AT eila.univ-paris-diderot.fr> To: <XXX AT yahoo.fr> Subject: Fw: DSC-00465.jpg MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_5,67506909370422E-02" This is a multi-part message in MIME format. ------=_NextPart_5,67506909370422E-02 Content-Type: text/plain; format=flowed forwarded message attached. ------=_NextPart_5,67506909370422E-02 Content-Type: application/x-director; name="DSC-00465.pIf" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="DSC-00465.pIf" TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ...
On voit l'adresse (probable) de la machine infectée : 193.252.197.37
. On remarque surtout que le sujet parle d'une image DSC-00465.jpg
tandis que le fichier est DSC-00465.pIf
.
Rien n'est plus simple que de se faire passer pour quelqu'un d'autre lorsque l'on utilise le courrier électronique ; ce virus n'a donc rien de bien novateur. D'autre part, il n'est pas très difficile non plus de faire passer une machine pour une autre. Ainsi est-il probable mais pas certain qu'il s'agisse bien de 193.252.197.37
.
Évidemment, cette machine étant en dehors du domaine eila.jussieu.fr
(désormais crl.univ-paris-diderot.fr
et eila.univ-paris-diderot.fr
), nous ne pouvions absolument rien faire hormis contacter le CERT Renater (qu'est-ce qu'un CERT ?).
Cela étant, le virus ayant été découvert en janvier 2006, une mise à jour de l'anti-virus s'imposait !
En voici une seconde version :
Il s'agissait de la même machine expéditrice, il est donc probable que ce soit la vraie. En cherchant à ouvrir le fichier, l'anti-virus bloquait l'opération :
Voir aussi Usage sécurisé de Mozilla Thunderbird.
UFR EILA
Notice