On Mon, 20 Jul 2015 14:51:10 +0200 Franck Routier <franck.rout...@axege.com> wrote: >| je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez >| convaincants (en français, avec logo légitimes, etc...) contenant des >| pièces jointes au format Word. >| Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte >| rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus >| détectent un malware :
On a a 2 ou 3 nouvelles versions tous les jours de la semaine (pas le we) depuis la semaine dernière. Les anti-virus ne les détectent pas aussitôt car c'est a chaque fois une nouvelle variante. Pour DrWeb, c'est la souche: W97M.DownLoader.XXX. Ils en sont à la 502eme versions :-( Par contre, quand on en repère une version, il "suffit" de filtrer sur le Message-ID qui est toujours le même pour chaque salve. Actuellement on bloque: /^Message-Id: <74f9d9.89taar\@APMUZE1RMC11-PROD.zres.ztech>$/ REJECT Virus /^Message-Id: <bad688d1.2Jm.nVZ.2Q.frEZJ8\@mailjet.com>$/ REJECT Virus /^Message-ID: <021b01d0bfcf.e59afe60.b0d0fb20.\@com>$/ REJECT Virus /^Message-Id: <201507161513.t6GFDWc0020909\@mail.cegid.com>$/ REJECT Virus /^Message-ID: <CACtsHw842A0DawxwTEm1uxhL7.ti360yKsDmT5YJ4uHdLE.AQA\@mail.gmail.com>$/ REJECT Virus >| Constatez-vous le même type d'activité ? Avez-vous une idée du type de >| malware dont il s'agit ? (Office / Windows only ?) Des détails ici: http://regenerus.com/malware-analysis/w97m-downloader-vba-macro-downloader/ J'avais une url plus complete mais je l'ai égarée :-( Manuel Guesdon -- ______________________________________________________________________ Manuel Guesdon - OXYMIUM _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/