Bonjour,
On 20/07/2015 14:51, Franck Routier wrote:
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
En ce qui me concerne j'en reçois depuis plus d'un mois de manière régulière, par vague. SpamAssassin me les envoient dnas le dossier spam sans la moindre question. A chaque fois les fichiers sur VirusTotal ne sont pas ou peu détecté le jour même et j'en ai déjà transféré une bonne partie à ClamAV (mais je n'ai pas de retour).
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
De ce que je reçois, les .doc sont en fait des fichiers très proche du format EML qui contiennent une PJ nommée editdata.mso qui est la partie détecté par quelques Antivirus en tant que W97M.
J'ai repris un .doc reçu le 01/07 : Le 01/07/2015 sur virustotal il était détecté par 2 sur 55 des antivirus. Aujourd'hui 24 sur 55.
Avec LibreOffice le .doc est traité comme .txt, n'ayant pas de Windows je n'ai aucune idée de ce que ça fait avec Word…
Aymeric.
NB :
L'analyse du ".doc" reçu le 01/07 : https://www.virustotal.com/en/file/d429f0fb215e0069bc3cabf9d60b98048037da65f...
L'analyse du .mso contenu dans le ".doc" : https://www.virustotal.com/en/file/6bf6815b6dacb2eae6a44b36b40030e9f4f6a601f...