On Thu, 22 Apr 2004, Rémi Letot wrote: > On Thu, 2004-04-22 at 16:12, Jean-Francois Dive wrote: > > On Thu, Apr 22, 2004 at 01:54:52PM +0200, R?mi Letot wrote: > > > On Thu, 2004-04-22 at 12:48, Jean-Francois Dive wrote: > > > > oui mais le fait que le virus se transmet par mail ne signifie > > > > aucunement que c'est une personne qui a envoye un mail donc tu n'es pas > > > > certain du tout qu'il y ai kkun derriere l'addresse du from. > > > > > > Heu, je suppose qu'il y a une erreur dans ta phrase, car pour un virus > > > dont le mode de transmission est le mail, je suis *absolument* certain > > > qu'il n'y a personne de l'autre c?t?. > > > > john doo ouvre outlook envois un mail a un de ses amis et y attache un > > .doc/.exe qui contient un virus. Le mail a ete envoye par un humain. > > Mais même si ce virus se propage habituellement par le mail, il y a fort > peu de chance pour que le mail qui le contient dans ce cas précis ait le > format qu'il génère lorsqu'il se propage. Donc c'est détectable.
C'est tjs détectable ? Quelle la différence entre un MUA qui est utilisé par une faille de sécurité ou un MUA utilisé par un end-user ? Souvent l'échange SMTP sera exactement le même. Il faudrait alors faire des hypthèses sur le contenu mais alors ce sont des hypothèses... Un exemple : On s'échange des virus pour créer des signatures clamav est-ce un virus qu'il a envoyé ou des gars qui font du logiciel libre et du reverse-engineering sur des virus ? > > Note que même sans aller jusqu'à la détection de ce cas particulier > somme toute probablement très rare, différencier dans les mails les > virii qui ne se transmettent pas par mail de ceux qui le font serait > déjà un grand pas en avant, non ? Ce n'est pas parce qu'un système n'est > pas parfait qu'il faut continuer à faire pire... C'est une question subtile. Préfères-tu jeter 100% du courrier avec 99 virus dedans et un 1 mail légitime ? ou garder les 100 mails pour retrouver ton mail légitime ? > <couic> > > > > Je crois qu'il est possible de transmettre au MTA l'information > > > n?cessaire pour qu'il puisse d?cider de la conduite ? tenir : > > > silencieusement effacer le mail s'il est envoy? par un virus, et avertir > > > dans le cas contraire. Mais je n'ai pas trouv? d'outils permettant cette > > > distinction. > > > > C'est pour cela que bcp de monde configure leur MTA pour envoyer un mail > > au destinataire disant blah vous avez recu un mail qui contenait un > > virus et provenant de <from>. > > Oui mais alors soit tu transmets le message, ce qui revient à > transmettre le virus, soit tu transmets juste un avis de réception de > virus de la part de From. Mais dans ce cas tu enlèves la possibilité au > destinataire de distinguer entre un mail valide mais contenant un virus > et un mail généré par un virus avec un faux From. A part remplir > inutilement une boite mail, cette info est inutile. C'est en effet inutile pour l'envoyeur mais pas tjs pour le destinataire... C'est comme cela que je repères les mails légitimes avec des virus dedans. (ben oui, on peut avoir des mails légitimes avec des virus ou avoir ses mails de la mailing-list bugtraq ;-) just my .02 EUR, adulau -- ** Alexandre Dulaunoy (adulau) **** http://www.foo.be/ **** 0x44E6CBCD **/ "To disable the Internet to save EMI and Disney is the moral **/ equivalent of burning down the library of Alexandria to ensure the **/ livelihood of monastic scribes." Jon Ippolito. _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
