yann wrote: >Salut > >"c.devise" a écrit : > >>David Porcherat wrote: >> >>>salut, >>> >>>les fichier en .eml viennent du monde de Windows, et plus précisément de >>>Outlook car c'est sous cette extension que Outlook enregistre les mails. >>> >>>@+ >>>David >>> >>Merci à David et à Ismaël. >>ça confirme ce que je pensais. >>j'ai viré les fichiers eml, et la machine se comporte normalement. >> >>Mais je me pose 2 questions : >> >>1)- Comment la sale bestiole a-t-elle pu entrer ? >>sur ma machine (LM 8.2 standard), j'ai : >>- Apache : 1.3.23 mod_ssl/2.8.7 Openssl/0.9.6c PHP 4.1.2 , >>avec la page d'accueil standard (jamais trouvé le temps d'aller plus >>loin ;-) ) >> >>- Samba 2.2.3a Release 7 mdk >>- Proftp >> >>- ADSL et une adresse IP dynamique >> >>je crois bien que c'est tout. >> >>Pour une fois, j'ai laissé tourner ma machine 2 jours et 2 nuits (pour >>cause de >>download de la Mandrake 9), et j'ai du me faire repérer/flasher par un >>scanner/radar... >>(ADSL, c'est pas mieux que l'autoroute... ;-) ) >> >>2) Comment être certain que cette machine n'est pas devenue "sensible", >>et donc de polluer tout le monde ? >> >>Ismael dit : Ca ressemble beaucoup à Nimda. >>pourtant Nimda (d'après ce que j'ai lu) ne s'attaque qu'a des machines >>Windows (IIS); >>Cela serait-il le virus dont on a parlé sur cette ML il y a qqu jours >>(explotant une faille de OpenSSL) ? >> >>Si vous avez une piste... >> >>c.devise >> >Tu as été "victime" du nouveau virus propagé par Outlook : Bugbear. >Il n'a pas besoin que tu cliques sur une pièce jointe puisqu'il utilise >une faille qui permet l'auto-exécution de la pièce jointe. >Il n'est pas destructeur mais sous Win, il ouvre une backdoor et renvoie >les frappes claviers ;-( >Sous Linux, il ne fait rien. >donc si tu as des potes sous win, signale leur que visiblement il y en a >au moins 1 qui est infecté!!! > Merci Yann, j'ai fait une p'tite recherche sur ce bidule, ça ressemble effectivement à BugBear, mais ce qui m'étonne, c'est que je le retrouve sur une machine *Linux*, qui utilise *Mozilla* pour le courrier : comment le code (Windows) contenu par le mail infecté peut-il s'éxecuter sur ma machine, puisque j'ai retrouvé un nombre important de fichiers *.eml (en particulier, un est appelé henry.eml que j'ai retrouvé pratiquement partout),dans /home/claude et dans les sous-répertoires (.kde/Autostart, par exemple) Il y a bien eu un évènement qui a déclenché la propagation *sous linux*, puisque j'ai un éditeur (kedit, je crois) chargé avec ce mail pourri qui est apparu sur mon bureau au lancement de kde (après un boot des plus normaux). en fait, ceci a été provoqué, je pense, par la presence de de mail dans /home/claude/.kde/Autostart.
En fait de messages entrants, je suis abonné à plusieurs ML (dont celle-ci) concernant Linux, Je vais faire le tour des personnes m'ayant envvoyé un mail ces derniers jours. En tous cas, ce genre d'alerte me parait suffisament suspect pour que beaucoup se mettent en chassse. Une solution radicale serait de filtrer les messages provenant d'un Mailer Outlook ;-) : boycott ? A+ c.devise
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
