le Sat, 11 Oct 2003 21:29:15 +0200, Loïc Le Guyader <[EMAIL PROTECTED]> s'exprima en ces termes:
> Salut, > > Non, ne jetez plus les innombrables exemplaires de Swen que vous > recevez, et qui sont, malheureusement, inutilisables sur pauvre > Debian. > > En effet, Swen trimbale avec lui une liste de seveur de news > compressé. Comment la récupérer? C'est simple: > Étape 1: Sauver l'attachement du courriel (swen.exe pour l'exemple) > Étape 2: Copier la liste compressé dans un fichier (swen.news) > dd bs=1 skip=100144 if=swen.exe of=swen.press > Si le fichier swen.news ne commence pas par «SZDD», l'offset > n'est pas bon, demerdez-vous pour le trouver. > Étape 2: Récupérez le décompresseur: > http://www.kyz.uklinux.net/downloads/xfd_SZDD.lha > Décompresser cette archive (apt-get install lha), puis > compiler sddexpand et finalement: > sddexpand swen.news > Étape 3: less swen.news > > Je vous laisse découvrir les *.proxad.net, *.nerim.net, ... qui me > font penser que Swen mais à jour cette liste de serveur de news avec > ceux qu'il a infecté. > > Vérifiez que votre liste est différente de la mienne pour confirmer > cette hypothése (oui c'est ça le jeux, et oui je m'excuse de n'avoir > qu'un Swen sous la main ;o) ). Le md5sum de mon swen.news: > b953eb2b35353307d6e7da0f131ded90 swen.news Tous mes svens ont la même md5 (la même que la tienne). Ça m'étonnerai qu'il se modifie. Par contre, un strings sur sven.exe remonte un ensemble de chaînes intéressantes: f-prot, blackice, zonealarm, safeweb ... D'ici à ce qu'il ne s'exécute que sur des machines totalement non protégées pour éviter de se faire repérer, il n'y a qu'un pas. Autre constat du string: le pool de chaines utilisées pour forger les champs: - une version "patch krosoft": + To: Client, Consumer, Partner, User, Customer, Commercial + Subject: Upgrade, Pack, Update, Patch, Critical, Net, Latest, New, Last, Newest, Current +Aussi du FW, du Newsgroup, ... - une version "can't deliver": + Subject: Notice, Report, Announcement, Advice, Letter, Failure, Abort, Error, Bug, User unknown, Mailer, Sender, Returned To, Message, Mail Undelivered, Undeliverable, Returned Concernant la liste fournie, ça ressemble à une liste issue d'un scan, mais sur quel critère ? D'autres trucs rigolos (allez voir): des listes "top 10 google" pour la duplication du virus sur les réseaux p2p avec des noms intéressants, une url(http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=c nt0 06). Bon, on va tenter d'y aller avec winice pour y voir plus clair. /N ______________________________________________________________________ Nicolas Rueff <[EMAIL PROTECTED]> http://rueff.tuxfamily.org +33 6 77 64 44 80 -- break; /* don't do magic till later */ -- Larry Wall in stab.c from the perl source code ______________________________________________________________________
pgpgeNFSPrvfH.pgp
Description: PGP signature