Re: [FRsAG] Spam + virus

2015-07-21 Thread Aymeric 
Bonjour,

On 20/07/2015 14:51, Franck Routier wrote:
> Bonjour,
> 
> je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez
> convaincants (en français, avec logo légitimes, etc...) contenant des
> pièces jointes au format Word.
> Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte
> rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus
> détectent un malware :
> 

En ce qui me concerne j'en reçois depuis plus d'un mois de manière
régulière, par vague.
SpamAssassin me les envoient dnas le dossier spam sans la moindre question.
A chaque fois les fichiers sur VirusTotal ne sont pas ou peu détecté le
jour même et j'en ai déjà transféré une bonne partie à ClamAV (mais je
n'ai pas de retour).

> 
> 
> Constatez-vous le même type d'activité ? Avez-vous une idée du type de
> malware dont il s'agit ? (Office / Windows only ?)

De ce que je reçois, les .doc sont en fait des fichiers très proche du
format EML qui contiennent une PJ nommée editdata.mso qui est la partie
détecté par quelques Antivirus en tant que W97M.

J'ai repris un .doc reçu le 01/07 :
Le 01/07/2015 sur virustotal il était détecté par 2 sur 55 des antivirus.
Aujourd'hui 24 sur 55.

Avec LibreOffice le .doc est traité comme .txt, n'ayant pas de Windows
je n'ai aucune idée de ce que ça fait avec Word…

Aymeric.

NB :

L'analyse du ".doc" reçu le 01/07 :
https://www.virustotal.com/en/file/d429f0fb215e0069bc3cabf9d60b98048037da65fffd3f100972c7f64dfa4b4e/analysis/1437472614/


L'analyse du .mso contenu dans le ".doc" :
https://www.virustotal.com/en/file/6bf6815b6dacb2eae6a44b36b40030e9f4f6a601f5bced48025aaced6f177c7d/analysis/1437472831/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Spam + virus

2015-07-21 Thread Aymeric 


On 21/07/2015 15:42, Guillaume Hilt wrote:
> Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc)
> qui était dans un de ces mails (après le doc et le docm, ils changent)
> au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?).
> MSE n'a pas râlé mais je me demande si il n'y a pas eu d'impact.
> 
> Quelqu'un sait ce que font ces pièces jointes en xml ?

A priori ça :

http://regenerus.com/malware-analysis/w97-downloader-dridex-dropper/

Ça expliquerai pourquoi les fichiers changent à chaque fois, les liens
pastebin changent.

Aymeric.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Suppression post Narkive.com

2019-05-22 Thread aymeric 

Bonjour,

Comment supprimer un ancien de mes post hébergé ici : 
https://frsag.frsag.narkive.com/ ?


Je ne trouve pas d'adresse pour les contacter, avez vous un indice ;-)

Cordialement,
Aymeric
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] CVE-2013-2224 Vulnérabilité Kernel 2.6.32

2013-07-02 Thread MulX (Aymeric) 
On 02/07/2013 23:13, Sébastien Mureau wrote:
> Reste à surveiller les dev d'exploits pour voir s'il y a un 0day
> bientôt. Ça pourrait faire mal ...

Il me semble qu'il y a déjà le code d'un exploit là :
https://www.rack911.com/poc/hemlock.c (il y a le lien sur osvdb).
Je suppose qu'il suffit de changer la ligne 35 pour l'utiliser a
distance.. (pas testé, ni en local d'ailleurs)

Aymeric





signature.asc
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/