Re: [FRsAG] Spam + virus
On 21/07/2015 15:42, Guillaume Hilt wrote: Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc) qui était dans un de ces mails (après le doc et le docm, ils changent) au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?). MSE n'a pas râlé mais je me demande si il n'y a pas eu d'impact. Quelqu'un sait ce que font ces pièces jointes en xml ? A priori ça : http://regenerus.com/malware-analysis/w97-downloader-dridex-dropper/ Ça expliquerai pourquoi les fichiers changent à chaque fois, les liens pastebin changent. Aymeric. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Il suffisait d'en parler ... Et depuis ce matin, la saloperie est revenue avec des PJ en .docm ! Je ne sais pas si c'est le cas chez vous aussi mais j'ai pas mal de payload qui sont hébergés sur des sites en français. Denis ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Le 21 juillet 2015 08:07, Guillaume Hilt gh...@shadowprojects.org a écrit : C'est ce que j'ai fait, j'ai bloqué les PJ en .doc, et on en a plus aucun. Il suffisait d'en parler ... Et depuis ce matin, la saloperie est revenue avec des PJ en .docm ! ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Bonjour, On 20/07/2015 14:51, Franck Routier wrote: Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : En ce qui me concerne j'en reçois depuis plus d'un mois de manière régulière, par vague. SpamAssassin me les envoient dnas le dossier spam sans la moindre question. A chaque fois les fichiers sur VirusTotal ne sont pas ou peu détecté le jour même et j'en ai déjà transféré une bonne partie à ClamAV (mais je n'ai pas de retour). Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?) De ce que je reçois, les .doc sont en fait des fichiers très proche du format EML qui contiennent une PJ nommée editdata.mso qui est la partie détecté par quelques Antivirus en tant que W97M. J'ai repris un .doc reçu le 01/07 : Le 01/07/2015 sur virustotal il était détecté par 2 sur 55 des antivirus. Aujourd'hui 24 sur 55. Avec LibreOffice le .doc est traité comme .txt, n'ayant pas de Windows je n'ai aucune idée de ce que ça fait avec Word… Aymeric. NB : L'analyse du .doc reçu le 01/07 : https://www.virustotal.com/en/file/d429f0fb215e0069bc3cabf9d60b98048037da65fffd3f100972c7f64dfa4b4e/analysis/1437472614/ L'analyse du .mso contenu dans le .doc : https://www.virustotal.com/en/file/6bf6815b6dacb2eae6a44b36b40030e9f4f6a601f5bced48025aaced6f177c7d/analysis/1437472831/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc) qui était dans un de ces mails (après le doc et le docm, ils changent) au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?). MSE n'a pas râlé mais je me demande si il n'y a pas eu d'impact. Quelqu'un sait ce que font ces pièces jointes en xml ? Guillaume Hilt Le 21/07/2015 12:14, Aymeric a écrit : Bonjour, On 20/07/2015 14:51, Franck Routier wrote: Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : En ce qui me concerne j'en reçois depuis plus d'un mois de manière régulière, par vague. SpamAssassin me les envoient dnas le dossier spam sans la moindre question. A chaque fois les fichiers sur VirusTotal ne sont pas ou peu détecté le jour même et j'en ai déjà transféré une bonne partie à ClamAV (mais je n'ai pas de retour). Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?) De ce que je reçois, les .doc sont en fait des fichiers très proche du format EML qui contiennent une PJ nommée editdata.mso qui est la partie détecté par quelques Antivirus en tant que W97M. J'ai repris un .doc reçu le 01/07 : Le 01/07/2015 sur virustotal il était détecté par 2 sur 55 des antivirus. Aujourd'hui 24 sur 55. Avec LibreOffice le .doc est traité comme .txt, n'ayant pas de Windows je n'ai aucune idée de ce que ça fait avec Word… Aymeric. NB : L'analyse du .doc reçu le 01/07 : https://www.virustotal.com/en/file/d429f0fb215e0069bc3cabf9d60b98048037da65fffd3f100972c7f64dfa4b4e/analysis/1437472614/ L'analyse du .mso contenu dans le .doc : https://www.virustotal.com/en/file/6bf6815b6dacb2eae6a44b36b40030e9f4f6a601f5bced48025aaced6f177c7d/analysis/1437472831/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Bon, ça s'ouvre en texte, donc RAS et on a pas la suite office de toute façon. C'est un trojan downloader. Guillaume Hilt Le 21/07/2015 15:42, Guillaume Hilt a écrit : Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc) qui était dans un de ces mails (après le doc et le docm, ils changent) au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?). MSE n'a pas râlé mais je me demande si il n'y a pas eu d'impact. Quelqu'un sait ce que font ces pièces jointes en xml ? Guillaume Hilt Le 21/07/2015 12:14, Aymeric a écrit : Bonjour, On 20/07/2015 14:51, Franck Routier wrote: Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : En ce qui me concerne j'en reçois depuis plus d'un mois de manière régulière, par vague. SpamAssassin me les envoient dnas le dossier spam sans la moindre question. A chaque fois les fichiers sur VirusTotal ne sont pas ou peu détecté le jour même et j'en ai déjà transféré une bonne partie à ClamAV (mais je n'ai pas de retour). Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?) De ce que je reçois, les .doc sont en fait des fichiers très proche du format EML qui contiennent une PJ nommée editdata.mso qui est la partie détecté par quelques Antivirus en tant que W97M. J'ai repris un .doc reçu le 01/07 : Le 01/07/2015 sur virustotal il était détecté par 2 sur 55 des antivirus. Aujourd'hui 24 sur 55. Avec LibreOffice le .doc est traité comme .txt, n'ayant pas de Windows je n'ai aucune idée de ce que ça fait avec Word… Aymeric. NB : L'analyse du .doc reçu le 01/07 : https://www.virustotal.com/en/file/d429f0fb215e0069bc3cabf9d60b98048037da65fffd3f100972c7f64dfa4b4e/analysis/1437472614/ L'analyse du .mso contenu dans le .doc : https://www.virustotal.com/en/file/6bf6815b6dacb2eae6a44b36b40030e9f4f6a601f5bced48025aaced6f177c7d/analysis/1437472831/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Hello, A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx... Voila... voila... ou les mettre en quarantaine par défaut. Xavier De: MOBILIA Anael amobi...@agduc.com À: frsag@frsag.org Envoyé: Lundi 20 Juillet 2015 14:59:21 Objet: Re: [FRsAG] Spam + virus Salut Franck, C’est un problème relativement global dixit les ml OVH. Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie. Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée). Je ne sais pas si certains ici ont trouvé une recette miracle ? A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent… Bon courage, Anael De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de Franck Routier Envoyé : lundi 20 juillet 2015 14:51 À : frsag@frsag.org Objet : [FRsAG] Spam + virus Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com , seuls 4 des 44 anti-virus détectent un malware : ThreatTrack 422 ms Jul 20 2015 LooksLike.Macro.Malware.g (v) F-secure 1030 ms Jul 20 2015 Trojan:W97M/MaliciousMacro.GEN QuickHeal 110 ms Jul 16 2015 (4 days ago) W97M.Dropper.Gen McAfee-Gateway 344 ms Jul 20 2015 W97M/Downloader.akh Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?) Franck ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Le 20 juillet 2015 15:02, Xavier Beaudouin k...@oav.net a écrit : Hello, A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx... Malheureusement impossible en milieu pro, les clients s'échangent ce genre de documents chaque jour. Cette attaque est compliqué car effectivement, le trojan intégré est mutant et change chaque jour, donc les signatures antivirus sont toujours en retard. J'espère qu'une parade sera trouvée car le volume est vraiment impressionnant. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Hello, Hello, A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx... Malheureusement impossible en milieu pro, les clients s'échangent ce genre de documents chaque jour. Cette attaque est compliqué car effectivement, le trojan intégré est mutant et change chaque jour, donc les signatures antivirus sont toujours en retard. J'espère qu'une parade sera trouvée car le volume est vraiment impressionnant. Après de l’éducation des milieu pro peut-être une bonne idée. Autrement have fun avec les virus... :) Xavier ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Salut j'ai BL les IP qui m'envoyaient leurs saloperies -A INPUT -s 50.250.38.225/32 -j DROP -A INPUT -s 202.85.38.184/32 -j DROP -A INPUT -s 119.77.209.173/32 -j DROP -A INPUT -s 60.251.133.50/32 -j DROP -A INPUT -s 178.23.209.96/32 -j DROP -A INPUT -s 194.112.179.129/32 -j DROP -A INPUT -s 217.92.225.26/32 -j DROP -A INPUT -s 24.116.160.201/32 -j DROP Surement très peu, mais efficace pour le moment. Le 20/07/2015 15:05, GUIOT Jean-Philippe a écrit : Bonjour, Effectivement, ils sont très très bien fait. Nous avons le même souci, par vagues et pour ma part je constate ceci depuis 1 semaine environ. Pas de recette, juste l’antispam en effet qui aide un peu. JP -- Jean-Philippe GUIOT Skype :jp.guiot- Twitter :jpguiot https://twitter.com/jpguiot *De :*FRsAG [mailto:frsag-boun...@frsag.org] *De la part de* MOBILIA Anael *Envoyé :* lundi 20 juillet 2015 14:59 *À :* frsag@frsag.org *Objet :* Re: [FRsAG] Spam + virus Salut Franck, C’est un problème relativement global dixit les ml OVH. Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie. Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée). Je ne sais pas si certains ici ont trouvé une recette miracle ? A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent… Bon courage, Anael *De :*FRsAG [mailto:frsag-boun...@frsag.org] *De la part de* Franck Routier *Envoyé :* lundi 20 juillet 2015 14:51 *À :* frsag@frsag.org mailto:frsag@frsag.org *Objet :* [FRsAG] Spam + virus Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : ThreatTrack 422 ms Jul 20 2015 LooksLike.Macro.Malware.g (v) F-secure 1030 ms Jul 20 2015 Trojan:W97M/MaliciousMacro.GEN QuickHeal 110 ms Jul 16 2015 (4 days ago) W97M.Dropper.Gen McAfee-Gateway 344 ms Jul 20 2015 W97M/Downloader.akh Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?) Franck ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Le lundi 20 juillet 2015 à 15:02 +0200, Xavier Beaudouin a écrit : Hello, A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx... Voila... voila... ou les mettre en quarantaine par défaut. Xavier Pas idiot ça. Sans aller jusqu'à les bloquer, je vais déjà augmenter le facteur de “spamitude” en cas de présence de ces extensions. Après tout, c'est comme le flash, ces formats n'existent plus sur Internet :D ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
On Mon Jul 20 15:12:36 2015, Pierre DOLIDON wrote: Salut j'ai BL les IP qui m'envoyaient leurs saloperies -A INPUT -s 50.250.38.225/32 -j DROP -A INPUT -s 202.85.38.184/32 -j DROP -A INPUT -s 119.77.209.173/32 -j DROP -A INPUT -s 60.251.133.50/32 -j DROP -A INPUT -s 178.23.209.96/32 -j DROP -A INPUT -s 194.112.179.129/32 -j DROP -A INPUT -s 217.92.225.26/32 -j DROP -A INPUT -s 24.116.160.201/32 -j DROP Surement très peu, mais efficace pour le moment. Salut, Une autre idée peut être de mettre du greylist sur le serveur mail, avec du bol les MX qui envoient les spams n’ont pas de queue et le mail se verra envoyé dans la nature. Pour ma part j’utilise ce mécanisme sur tous les serveurs mails où j’ai la main, et c’est très efficace. -- Alarig Le Lay signature.asc Description: Digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Hello, J'en reçois aussi beaucoup, aucun en Inbox, tous en SPAM. (c'est google qui se charge de tout) Samuel Le 20 juillet 2015 14:51, Franck Routier franck.rout...@axege.com a écrit : Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : ThreatTrack 422 ms Jul 20 2015 LooksLike.Macro.Malware.g (v) [image: Infected] F-secure 1030 ms Jul 20 2015 Trojan:W97M/MaliciousMacro.GEN [image: Infected] QuickHeal 110 ms Jul 16 2015 (4 days ago) W97M.Dropper.Gen [image: Infected] McAfee-Gateway 344 ms Jul 20 2015 W97M/Downloader.akh [image: Infected] Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?) Franck ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Idem. Jérôme De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de MOBILIA Anael Envoyé : lundi 20 juillet 2015 14:59 À : frsag@frsag.org Objet : Re: [FRsAG] Spam + virus Salut Franck, C’est un problème relativement global dixit les ml OVH. Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie. Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée). Je ne sais pas si certains ici ont trouvé une recette miracle ? A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent… Bon courage, Anael De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de Franck Routier Envoyé : lundi 20 juillet 2015 14:51 À : frsag@frsag.orgmailto:frsag@frsag.org Objet : [FRsAG] Spam + virus Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : ThreatTrack 422 ms Jul 20 2015 LooksLike.Macro.Malware.g (v) F-secure 1030 ms Jul 20 2015 Trojan:W97M/MaliciousMacro.GEN QuickHeal 110 ms Jul 16 2015 (4 days ago) W97M.Dropper.Gen McAfee-Gateway 344 ms Jul 20 2015 W97M/Downloader.akh Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?) Franck ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Bonjour, Effectivement, ils sont très très bien fait. Nous avons le même souci, par vagues et pour ma part je constate ceci depuis 1 semaine environ. Pas de recette, juste l’antispam en effet qui aide un peu. JP -- Jean-Philippe GUIOT Skype : jp.guiot - Twitter : https://twitter.com/jpguiot jpguiot De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de MOBILIA Anael Envoyé : lundi 20 juillet 2015 14:59 À : frsag@frsag.org Objet : Re: [FRsAG] Spam + virus Salut Franck, C’est un problème relativement global dixit les ml OVH. Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie. Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée). Je ne sais pas si certains ici ont trouvé une recette miracle ? A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent… Bon courage, Anael De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de Franck Routier Envoyé : lundi 20 juillet 2015 14:51 À : frsag@frsag.org mailto:frsag@frsag.org Objet : [FRsAG] Spam + virus Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : ThreatTrack 422 ms Jul 20 2015 LooksLike.Macro.Malware.g (v) F-secure 1030 ms Jul 20 2015 Trojan:W97M/MaliciousMacro.GEN QuickHeal 110 ms Jul 16 2015 (4 days ago) W97M.Dropper.Gen McAfee-Gateway 344 ms Jul 20 2015 W97M/Downloader.akh Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?) Franck ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Bonjour, on en reçois aussi beaucoup chez nous. Clamav laisse tout passer aussi. Comme à chaque vague de spams les fichiers ont un nom et une structure différente, on bloque les .doc (mais uniquement les .doc, on a rien repéré dans des docx) dans postfix momentanément le temps que ça se calme et que les curseurs repassent dans le vert. J'ai essayé d'ouvrir quelques fichiers dans une VM isolée mais j'ai pas eu d'impact direct. Bon après je ne me suis pas attardé dessus. Dorian Le 20 juillet 2015 15:00, Samuel Chesnel samuel.ches...@itsense.fr a écrit : Hello, J'en reçois aussi beaucoup, aucun en Inbox, tous en SPAM. (c'est google qui se charge de tout) Samuel Le 20 juillet 2015 14:51, Franck Routier franck.rout...@axege.com a écrit : Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : ThreatTrack 422 ms Jul 20 2015 LooksLike.Macro.Malware.g (v) [image: Infected] F-secure 1030 ms Jul 20 2015 Trojan:W97M/MaliciousMacro.GEN [image: Infected] QuickHeal 110 ms Jul 16 2015 (4 days ago) W97M.Dropper.Gen [image: Infected] McAfee-Gateway 344 ms Jul 20 2015 W97M/Downloader.akh [image: Infected] Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?) Franck ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ -- Blaked 84 Zt Iresam Zi Phot's 06 77 61 66 58 | C 103 ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Pareil Étant donné que c'est des points doc, je suppose que c'est une diffusion massive de DaViCi de Hacker Team, qui vient de ce faire hack tout son système, ces tools, and co. Sachant que leur outil RSC ce transemere par .doc,... Bref c'est qu'une idée. Pierre Le 20/07/2015 3:pm:05 pm, GUIOT Jean-Philippe a écrit : Bonjour, Effectivement, ils sont très très bien fait. Nous avons le même souci, par vagues et pour ma part je constate ceci depuis 1 semaine environ. Pas de recette, juste l’antispam en effet qui aide un peu. JP -- Jean-Philippe GUIOT Skype :jp.guiot- Twitter :jpguiot https://twitter.com/jpguiot *De :*FRsAG [mailto:frsag-boun...@frsag.org] *De la part de* MOBILIA Anael *Envoyé :* lundi 20 juillet 2015 14:59 *À :* frsag@frsag.org *Objet :* Re: [FRsAG] Spam + virus Salut Franck, C’est un problème relativement global dixit les ml OVH. Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie. Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée). Je ne sais pas si certains ici ont trouvé une recette miracle ? A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent… Bon courage, Anael *De :*FRsAG [mailto:frsag-boun...@frsag.org] *De la part de* Franck Routier *Envoyé :* lundi 20 juillet 2015 14:51 *À :* frsag@frsag.org mailto:frsag@frsag.org *Objet :* [FRsAG] Spam + virus Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : ThreatTrack 422 ms Jul 20 2015 LooksLike.Macro.Malware.g (v) F-secure 1030 ms Jul 20 2015 Trojan:W97M/MaliciousMacro.GEN QuickHeal 110 ms Jul 16 2015 (4 days ago) W97M.Dropper.Gen McAfee-Gateway 344 ms Jul 20 2015 W97M/Downloader.akh Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?) Franck ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Le 20/07/2015 15:25, Alarig Le Lay a écrit : On Mon Jul 20 15:12:36 2015, Pierre DOLIDON wrote: Salut j'ai BL les IP qui m'envoyaient leurs saloperies -A INPUT -s 50.250.38.225/32 -j DROP -A INPUT -s 202.85.38.184/32 -j DROP -A INPUT -s 119.77.209.173/32 -j DROP -A INPUT -s 60.251.133.50/32 -j DROP -A INPUT -s 178.23.209.96/32 -j DROP -A INPUT -s 194.112.179.129/32 -j DROP -A INPUT -s 217.92.225.26/32 -j DROP -A INPUT -s 24.116.160.201/32 -j DROP Surement très peu, mais efficace pour le moment. Salut, Une autre idée peut être de mettre du greylist sur le serveur mail, avec du bol les MX qui envoient les spams n’ont pas de queue et le mail se verra envoyé dans la nature. Pour ma part j’utilise ce mécanisme sur tous les serveurs mails où j’ai la main, et c’est très efficace. Le greylist est efficace. voir même trop. Avec Gmail, tes mails peuvent être délayés de plusieurs heures, (pour pas dire un ou 2 jours !) entre les moultes serveurs relai qui sont a la fois IPv4 et IPv6 et le système qui veut que le mail tente, a chaque émission échouée, de changer de serveur sortant... et de basculer entre v6 et v4... Effectivement tu reçoit moins de spams, mais également les serveurs spammeurs sont aussi des serveurs hackés, et donc ont une belle queue mail. A mon avis, le système n'est pas assez efficace compte tenu des problèmes de retard de transmission que cela peut engendrer. Après, greylist + whitelist ça doit être le top, mais chiant à maintenir... ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Le 20/07/2015 14:51, Franck Routier a écrit : Bonjour, je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : Avec les signatures maintenues par sanesecurity, il en bloque nettement plus, mais certains passent toujours. Je crois que quelqu'un les remontent depuis 2 jours, ou alors la signature n'a pas changé, car ils se mangent un mur sans faire broncher postfix ;) Un petit coup de fail2ban pour firewaller rapidement les IPs qui reviennent et boum. @+ Gilles ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Hello, Non testée, mais est-ce que bannir uniquement les .doc/xls/whatever envoyé en application/octet-stream ne serais pas une bonne idée ? En principe c'est plutôt ca le mime type pour un docx : application/vnd.openxmlformats-officedocument.wordprocessingml.document @+ Nathan ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
On Mon, 20 Jul 2015 15:31:25 +0200 Pierre DOLIDON sn...@sn4ky.net wrote: | Le 20/07/2015 15:25, Alarig Le Lay a écrit : | On Mon Jul 20 15:12:36 2015, Pierre DOLIDON wrote: | Salut | | j'ai BL les IP qui m'envoyaient leurs saloperies | | -A INPUT -s 50.250.38.225/32 -j DROP | -A INPUT -s 202.85.38.184/32 -j DROP | -A INPUT -s 119.77.209.173/32 -j DROP | -A INPUT -s 60.251.133.50/32 -j DROP | -A INPUT -s 178.23.209.96/32 -j DROP | -A INPUT -s 194.112.179.129/32 -j DROP | -A INPUT -s 217.92.225.26/32 -j DROP | -A INPUT -s 24.116.160.201/32 -j DROP | | | Surement très peu, mais efficace pour le moment. | Salut, | | Une autre idée peut être de mettre du greylist sur le serveur mail, avec | du bol les MX qui envoient les spams n’ont pas de queue et le mail se | verra envoyé dans la nature. | Pour ma part j’utilise ce mécanisme sur tous les serveurs mails où j’ai | la main, et c’est très efficace. | | Le greylist est efficace. voir même trop. | Avec Gmail, tes mails peuvent être délayés de plusieurs heures, (pour | pas dire un ou 2 jours !) | entre les moultes serveurs relai qui sont a la fois IPv4 et IPv6 et le | système qui veut que le mail tente, a chaque émission échouée, de | changer de serveur sortant... et de basculer entre v6 et v4... | | Effectivement tu reçoit moins de spams, mais également les serveurs | spammeurs sont aussi des serveurs hackés, et donc ont une belle queue mail. | | A mon avis, le système n'est pas assez efficace compte tenu des | problèmes de retard de transmission que cela peut engendrer. | | Après, greylist + whitelist ça doit être le top, mais chiant à maintenir... Tu peux désactiver le grey-listing pour les serveurs dont le nom est mta*, smtp* + quelques autres du même type (qui de toute façon sont de vrais serveurs qui vont réessayer): ca va éviter le grey-listing pour une bonne partie des serveurs de mail légitimes. Par ailleurs, une immense proportion de ces virus sont émis par des serveurs qui n'ont pas de reverse DNS donc si tu testes la presénce d'un reverse avant d'accepter le mail tu évite déjà une bonne partie de ces virus (et d'autres spams par la même occasion). Manuel -- __ Manuel Guesdon - OXYMIUM ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Le greylist est efficace. voir même trop. Avec Gmail, tes mails peuvent être délayés de plusieurs heures, (pour pas dire un ou 2 jours !) Ça résume parfaitement. Pour ma part j'utilise les greylist, mais uniquement si le serveur en face n'a pas l'air d'être un MX. Genre s'il y a la moindre déclaration DKIM valide, ou SPF qui match (même en best-guess), voir IP présente dans une whitelist que j'utiliserais, alors je n'applique pas de greylist, qui ne ferait que ralentir la livraison du mail. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
On Mon Jul 20 15:39:24 2015, Olivier Bonvalet wrote: Ça résume parfaitement. Pour ma part j'utilise les greylist, mais uniquement si le serveur en face n'a pas l'air d'être un MX. Genre s'il y a la moindre déclaration DKIM valide, ou SPF qui match (même en best-guess), voir IP présente dans une whitelist que j'utiliserais, alors je n'applique pas de greylist, qui ne ferait que ralentir la livraison du mail. Ce n’est pas bête du tout comme configuration. Tu y’y prends comment ? De mon côté, je n’ai jamais vu de délai supérieur à une heure, ce qui reste acceptable pour du mail. -- Alarig Le Lay signature.asc Description: Digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
rebonjour, Le 20 juillet 2015 15:16, Xavier Beaudouin k...@oav.net a écrit : A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx... Malheureusement impossible en milieu pro, les clients s'échangent ce genre de documents chaque jour. Après de l’éducation des milieu pro peut-être une bonne idée. Autrement have fun avec les virus... :) Tu prêches un convaincu, mais ma foi en l'éducation en a pris un coup lors du dernier changement de serveur email pour les clients, où nous avons désactivé les protocoles non sécurisés (obligation d'utiliser SSL ou STARTTLS à minima) : une personne sur deux n'arrivait plus à relever ses emails, et oh mon dieu c'est trop compliqué d'aller changer le paramètre de configuration, vous pouvez pas remettre comme avant ? . J'ai même eu un J'utilise Outlook Express 95, qui ne connait pas ces protocoles. Là je teste l'ajout d'une pénalité Spamassassin, on va voir ce que ça donne ... Olivier ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Salut, Attention : tu te coupes de toute l'Asie si tu acceptes uniquement les serveurs mails avec reverse. Perso, j'ai Spamassassin + Zen SpamHaus + Barracuda et je reçois quasi aucun spam SAUF ces $£*µù% de mails virulés qui passent les tests ClamAV :( Cordialement, André NEGROPONTES - Mail original - De: Manuel Guesdon ml+fr...@oxymium.net À: Pierre DOLIDON sn...@sn4ky.net Cc: frsag@frsag.org Envoyé: Lundi 20 Juillet 2015 15:48:40 Objet: Re: [FRsAG] Spam + virus Par ailleurs, une immense proportion de ces virus sont émis par des serveurs qui n'ont pas de reverse DNS donc si tu testes la presénce d'un reverse avant d'accepter le mail tu évite déjà une bonne partie de ces virus (et d'autres spams par la même occasion). Manuel ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Benjamin Sonntag a sorti une empreinte pour clamav qui marche pour une partie des saloperies qui circulent en ce moment : https://benjamin.sonntag.fr/Signature-antivirus-Clamav De mon côté, j'essaie d'intégrer le script olevba.py à Amavis. Si le résultat n'est pas No VBA macros found. = poubelle. Denis ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Bonjour, Ci joint notre plugin Spamassassin : - il scanne les archives en pièce jointe (.zip, .rar) et capte celles qui contiennent un fichier louche - il scanne les .doc pour détecter les macros et déterminer si c'est louche ou pas loadplugin Mail::SpamAssassin::Plugin::ArchiveScan /etc/spamassassin/ArchiveScan.pm ifplugin Mail::SpamAssassin::Plugin::ArchiveScan body IS_ATTACHMENT_VIRUS eval:is_attachment_virus() score IS_ATTACHMENT_VIRUS 20 endif Modules Perl nécessaires: use Archive::Zip qw( :ERROR_CODES :CONSTANTS ); use Archive::Rar; use IO::String; use File::LibMagic; ArchiveScan.pm Description: Perl program ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Spam + virus
Le lundi 20 juillet 2015 à 15:45 +0200, Alarig Le Lay a écrit : On Mon Jul 20 15:39:24 2015, Olivier Bonvalet wrote: Ça résume parfaitement. Pour ma part j'utilise les greylist, mais uniquement si le serveur en face n'a pas l'air d'être un MX. Genre s'il y a la moindre déclaration DKIM valide, ou SPF qui match (même en best-guess), voir IP présente dans une whitelist que j'utiliserais, alors je n'applique pas de greylist, qui ne ferait que ralentir la livraison du mail. Ce n’est pas bête du tout comme configuration. Tu y’y prends comment ? De mon côté, je n’ai jamais vu de délai supérieur à une heure, ce qui reste acceptable pour du mail. ___ Avec Exim, ça me donne un truc de ce genre : defer log_message = Greylisted ($acl_m_note/$acl_c_ipcat/$acl_m_domcat) $acl_c_warns $acl_m_warns message = $sender_host_address is not yet authorized to deliver \ mail from $sender_address to $recipients. Please try again later. !authenticated = * !hosts = +relay_from_hosts !senders = : !dnslists = list.dnswl.org condition = ${if or { {={$acl_m_note}{TRIGGER_GREYLIST}} {eq{local_parts}{postmaster}} } } # s'il s'agit d'un vrai serveur de mail, inutile de coller du greylist condition = ${if and { {!eq{$acl_c_ipcat}{white}} {!eq{$acl_c_ipcat}{yellow}} {!eq{$acl_m_spfcode}{pass}} }} !acl = acl_daevel_greylist 1) dans cet exemple j'utilise list.dnswl.org en guise de whitelist direct. 2) acl_m_note fait référence à des tests de réputation en amont, qui intègrent notamment le DKIM. 3) les tests acl_c_ipcat concernent JunkEmailFilter.com. 4) acl_m_spfcode concerne... SPF :) ___ Liste de diffusion du FRsAG http://www.frsag.org/