Bon, ça s'ouvre en texte, donc RAS et on a pas la suite office de toute
façon.
C'est un trojan downloader.
Guillaume Hilt
Le 21/07/2015 15:42, Guillaume Hilt a écrit :
Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc)
qui était dans un de ces mails (après le doc et le docm, ils changent)
au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?).
MSE n'a pas râlé mais je me demande si il n'y a pas eu d'impact.
Quelqu'un sait ce que font ces pièces jointes en xml ?
Guillaume Hilt
Le 21/07/2015 12:14, Aymeric a écrit :
Bonjour,
On 20/07/2015 14:51, Franck Routier wrote:
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez
convaincants (en français, avec logo légitimes, etc...) contenant des
pièces jointes au format Word.
Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne
détecte
rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus
détectent un malware :
En ce qui me concerne j'en reçois depuis plus d'un mois de manière
régulière, par vague.
SpamAssassin me les envoient dnas le dossier spam sans la moindre
question.
A chaque fois les fichiers sur VirusTotal ne sont pas ou peu détecté le
jour même et j'en ai déjà transféré une bonne partie à ClamAV (mais je
n'ai pas de retour).
Constatez-vous le même type d'activité ? Avez-vous une idée du type de
malware dont il s'agit ? (Office / Windows only ?)
De ce que je reçois, les .doc sont en fait des fichiers très proche du
format EML qui contiennent une PJ nommée editdata.mso qui est la partie
détecté par quelques Antivirus en tant que W97M.
J'ai repris un .doc reçu le 01/07 :
Le 01/07/2015 sur virustotal il était détecté par 2 sur 55 des
antivirus.
Aujourd'hui 24 sur 55.
Avec LibreOffice le .doc est traité comme .txt, n'ayant pas de Windows
je n'ai aucune idée de ce que ça fait avec Word…
Aymeric.
NB :
L'analyse du ".doc" reçu le 01/07 :
https://www.virustotal.com/en/file/d429f0fb215e0069bc3cabf9d60b98048037da65fffd3f100972c7f64dfa4b4e/analysis/1437472614/
L'analyse du .mso contenu dans le ".doc" :
https://www.virustotal.com/en/file/6bf6815b6dacb2eae6a44b36b40030e9f4f6a601f5bced48025aaced6f177c7d/analysis/1437472831/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
