Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
ThreatTrack 422 ms Jul 20 2015
LooksLike.Macro.Malware.g (v)
Infected F-secure 1030 ms Jul 20 2015
Trojan:W97M/MaliciousMacro.GEN
Infected QuickHeal 110 ms Jul 16 2015 (4 days ago)
W97M.Dropper.Gen
Infected McAfee-Gateway 344 ms Jul 20 2015
W97M/Downloader.akh
Infected
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
Franck
Salut Franck,
C’est un problème relativement global dixit les ml OVH. Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie.
Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée).
Je ne sais pas si certains ici ont trouvé une recette miracle ?
A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent…
Bon courage, Anael
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Franck Routier Envoyé : lundi 20 juillet 2015 14:51 À : frsag@frsag.org Objet : [FRsAG] Spam + virus
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : ThreatTrack
422 ms
Jul 20 2015
LooksLike.Macro.Malware.g (v)
F-secure
1030 ms
Jul 20 2015
Trojan:W97M/MaliciousMacro.GEN
QuickHeal
110 ms
Jul 16 2015 (4 days ago)
W97M.Dropper.Gen
McAfee-Gateway
344 ms
Jul 20 2015
W97M/Downloader.akh
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
Franck
Hello,
A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx...
Voila... voila... ou les mettre en quarantaine par défaut.
Xavier
De: "MOBILIA Anael" AMOBILIA@agduc.com À: frsag@frsag.org Envoyé: Lundi 20 Juillet 2015 14:59:21 Objet: Re: [FRsAG] Spam + virus
Salut Franck,
C’est un problème relativement global dixit les ml OVH.
Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie.
Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée).
Je ne sais pas si certains ici ont trouvé une recette miracle ?
A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent…
Bon courage,
Anael
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Franck Routier Envoyé : lundi 20 juillet 2015 14:51 À : frsag@frsag.org Objet : [FRsAG] Spam + virus
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com , seuls 4 des 44 anti-virus détectent un malware :
ThreatTrack
422 ms
Jul 20 2015
LooksLike.Macro.Malware.g (v)
F-secure
1030 ms
Jul 20 2015
Trojan:W97M/MaliciousMacro.GEN
QuickHeal
110 ms
Jul 16 2015 (4 days ago)
W97M.Dropper.Gen
McAfee-Gateway
344 ms
Jul 20 2015
W97M/Downloader.akh
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
Franck
Liste de diffusion du FRsAG http://www.frsag.org/
Le 20 juillet 2015 15:02, Xavier Beaudouin kiwi@oav.net a écrit :
Hello, A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx...
Malheureusement impossible en milieu pro, les clients s'échangent ce genre de documents chaque jour.
Cette attaque est compliqué car effectivement, le trojan intégré est mutant et change chaque jour, donc les signatures antivirus sont toujours en retard.
J'espère qu'une parade sera trouvée car le volume est vraiment impressionnant.
Hello,
Hello, A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx...
Malheureusement impossible en milieu pro, les clients s'échangent ce genre de documents chaque jour.
Cette attaque est compliqué car effectivement, le trojan intégré est mutant et change chaque jour, donc les signatures antivirus sont toujours en retard.
J'espère qu'une parade sera trouvée car le volume est vraiment impressionnant.
Après de l’éducation des "milieu pro" peut-être une bonne idée. Autrement have fun avec les virus... :)
Xavier
rebonjour,
Le 20 juillet 2015 15:16, Xavier Beaudouin kiwi@oav.net a écrit :
A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx...
Malheureusement impossible en milieu pro, les clients s'échangent ce
genre de
documents chaque jour.
Après de l’éducation des "milieu pro" peut-être une bonne idée. Autrement have fun avec les virus... :)
Tu prêches un convaincu, mais ma foi en l'éducation en a pris un coup lors du dernier changement de serveur email pour les clients, où nous avons désactivé les protocoles non sécurisés (obligation d'utiliser SSL ou STARTTLS à minima) : une personne sur deux n'arrivait plus à relever ses emails, et "oh mon dieu c'est trop compliqué d'aller changer le paramètre de configuration, vous pouvez pas remettre comme avant ? ". J'ai même eu un "J'utilise Outlook Express 95, qui ne connait pas ces protocoles".
Là je teste l'ajout d'une pénalité Spamassassin, on va voir ce que ça donne ...
Olivier
Le lundi 20 juillet 2015 à 15:02 +0200, Xavier Beaudouin a écrit :
Hello,
A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx...
Voila... voila... ou les mettre en quarantaine par défaut.
Xavier
Pas idiot ça. Sans aller jusqu'à les bloquer, je vais déjà augmenter le facteur de “spamitude” en cas de présence de ces extensions.
Après tout, c'est comme le flash, ces formats n'existent plus sur Internet :D
Idem.
---- Jérôme
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de MOBILIA Anael Envoyé : lundi 20 juillet 2015 14:59 À : frsag@frsag.org Objet : Re: [FRsAG] Spam + virus
Salut Franck,
C’est un problème relativement global dixit les ml OVH. Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie.
Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée).
Je ne sais pas si certains ici ont trouvé une recette miracle ?
A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent…
Bon courage, Anael
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Franck Routier Envoyé : lundi 20 juillet 2015 14:51 À : frsag@frsag.orgmailto:frsag@frsag.org Objet : [FRsAG] Spam + virus
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware : ThreatTrack
422 ms
Jul 20 2015
LooksLike.Macro.Malware.g (v)
F-secure
1030 ms
Jul 20 2015
Trojan:W97M/MaliciousMacro.GEN
QuickHeal
110 ms
Jul 16 2015 (4 days ago)
W97M.Dropper.Gen
McAfee-Gateway
344 ms
Jul 20 2015
W97M/Downloader.akh
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
Franck
Bonjour,
Effectivement, ils sont très très bien fait.
Nous avons le même souci, par vagues et pour ma part je constate ceci depuis 1 semaine environ. Pas de recette, juste l’antispam en effet qui aide un peu.
JP
--
Jean-Philippe GUIOT
Skype : jp.guiot - Twitter : https://twitter.com/jpguiot jpguiot
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de MOBILIA Anael Envoyé : lundi 20 juillet 2015 14:59 À : frsag@frsag.org Objet : Re: [FRsAG] Spam + virus
Salut Franck,
C’est un problème relativement global dixit les ml OVH.
Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie.
Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée).
Je ne sais pas si certains ici ont trouvé une recette miracle ?
A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent…
Bon courage,
Anael
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Franck Routier Envoyé : lundi 20 juillet 2015 14:51 À : frsag@frsag.org mailto:frsag@frsag.org Objet : [FRsAG] Spam + virus
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
ThreatTrack
422 ms
Jul 20 2015
LooksLike.Macro.Malware.g (v)
F-secure
1030 ms
Jul 20 2015
Trojan:W97M/MaliciousMacro.GEN
QuickHeal
110 ms
Jul 16 2015 (4 days ago)
W97M.Dropper.Gen
McAfee-Gateway
344 ms
Jul 20 2015
W97M/Downloader.akh
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
Franck
Salut
j'ai BL les IP qui m'envoyaient leurs saloperies
-A INPUT -s 50.250.38.225/32 -j DROP -A INPUT -s 202.85.38.184/32 -j DROP -A INPUT -s 119.77.209.173/32 -j DROP -A INPUT -s 60.251.133.50/32 -j DROP -A INPUT -s 178.23.209.96/32 -j DROP -A INPUT -s 194.112.179.129/32 -j DROP -A INPUT -s 217.92.225.26/32 -j DROP -A INPUT -s 24.116.160.201/32 -j DROP
Surement très peu, mais efficace pour le moment.
Le 20/07/2015 15:05, GUIOT Jean-Philippe a écrit :
Bonjour,
Effectivement, ils sont très très bien fait.
Nous avons le même souci, par vagues et pour ma part je constate ceci depuis 1 semaine environ. Pas de recette, juste l’antispam en effet qui aide un peu.
JP
--
Jean-Philippe GUIOT
Skype :jp.guiot- Twitter :jpguiot https://twitter.com/jpguiot
*De :*FRsAG [mailto:frsag-bounces@frsag.org] *De la part de* MOBILIA Anael *Envoyé :* lundi 20 juillet 2015 14:59 *À :* frsag@frsag.org *Objet :* Re: [FRsAG] Spam + virus
Salut Franck,
C’est un problème relativement global dixit les ml OVH.
Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie.
Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée).
Je ne sais pas si certains ici ont trouvé une recette miracle ?
A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent…
Bon courage,
Anael
*De :*FRsAG [mailto:frsag-bounces@frsag.org] *De la part de* Franck Routier *Envoyé :* lundi 20 juillet 2015 14:51 *À :* frsag@frsag.org mailto:frsag@frsag.org *Objet :* [FRsAG] Spam + virus
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
ThreatTrack
422 ms
Jul 20 2015
LooksLike.Macro.Malware.g (v)
F-secure
1030 ms
Jul 20 2015
Trojan:W97M/MaliciousMacro.GEN
QuickHeal
110 ms
Jul 16 2015 (4 days ago)
W97M.Dropper.Gen
McAfee-Gateway
344 ms
Jul 20 2015
W97M/Downloader.akh
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
Franck
Liste de diffusion du FRsAG http://www.frsag.org/
On Mon Jul 20 15:12:36 2015, Pierre DOLIDON wrote:
Salut
j'ai BL les IP qui m'envoyaient leurs saloperies
-A INPUT -s 50.250.38.225/32 -j DROP -A INPUT -s 202.85.38.184/32 -j DROP -A INPUT -s 119.77.209.173/32 -j DROP -A INPUT -s 60.251.133.50/32 -j DROP -A INPUT -s 178.23.209.96/32 -j DROP -A INPUT -s 194.112.179.129/32 -j DROP -A INPUT -s 217.92.225.26/32 -j DROP -A INPUT -s 24.116.160.201/32 -j DROP
Surement très peu, mais efficace pour le moment.
Salut,
Une autre idée peut être de mettre du greylist sur le serveur mail, avec du bol les MX qui envoient les spams n’ont pas de queue et le mail se verra envoyé dans la nature. Pour ma part j’utilise ce mécanisme sur tous les serveurs mails où j’ai la main, et c’est très efficace.
Le 20/07/2015 15:25, Alarig Le Lay a écrit :
On Mon Jul 20 15:12:36 2015, Pierre DOLIDON wrote:
Salut
j'ai BL les IP qui m'envoyaient leurs saloperies
-A INPUT -s 50.250.38.225/32 -j DROP -A INPUT -s 202.85.38.184/32 -j DROP -A INPUT -s 119.77.209.173/32 -j DROP -A INPUT -s 60.251.133.50/32 -j DROP -A INPUT -s 178.23.209.96/32 -j DROP -A INPUT -s 194.112.179.129/32 -j DROP -A INPUT -s 217.92.225.26/32 -j DROP -A INPUT -s 24.116.160.201/32 -j DROP
Surement très peu, mais efficace pour le moment.
Salut,
Une autre idée peut être de mettre du greylist sur le serveur mail, avec du bol les MX qui envoient les spams n’ont pas de queue et le mail se verra envoyé dans la nature. Pour ma part j’utilise ce mécanisme sur tous les serveurs mails où j’ai la main, et c’est très efficace.
Le greylist est efficace. voir même trop. Avec Gmail, tes mails peuvent être délayés de plusieurs heures, (pour pas dire un ou 2 jours !) entre les moultes serveurs relai qui sont a la fois IPv4 et IPv6 et le système qui veut que le mail tente, a chaque émission échouée, de changer de serveur sortant... et de basculer entre v6 et v4...
Effectivement tu reçoit moins de spams, mais également les serveurs spammeurs sont aussi des serveurs hackés, et donc ont une belle queue mail.
A mon avis, le système n'est pas assez efficace compte tenu des problèmes de retard de transmission que cela peut engendrer.
Après, greylist + whitelist ça doit être le top, mais chiant à maintenir...
Liste de diffusion du FRsAG http://www.frsag.org/
Le greylist est efficace. voir même trop. Avec Gmail, tes mails peuvent être délayés de plusieurs heures, (pour pas dire un ou 2 jours !)
Ça résume parfaitement. Pour ma part j'utilise les greylist, mais uniquement si le serveur en face n'a pas l'air d'être un MX.
Genre s'il y a la moindre déclaration DKIM valide, ou SPF qui match (même en best-guess), voir IP présente dans une whitelist que j'utiliserais, alors je n'applique pas de greylist, qui ne ferait que ralentir la livraison du mail.
On Mon Jul 20 15:39:24 2015, Olivier Bonvalet wrote:
Ça résume parfaitement. Pour ma part j'utilise les greylist, mais uniquement si le serveur en face n'a pas l'air d'être un MX.
Genre s'il y a la moindre déclaration DKIM valide, ou SPF qui match (même en best-guess), voir IP présente dans une whitelist que j'utiliserais, alors je n'applique pas de greylist, qui ne ferait que ralentir la livraison du mail.
Ce n’est pas bête du tout comme configuration. Tu y’y prends comment ?
De mon côté, je n’ai jamais vu de délai supérieur à une heure, ce qui reste acceptable pour du mail.
Le lundi 20 juillet 2015 à 15:45 +0200, Alarig Le Lay a écrit :
On Mon Jul 20 15:39:24 2015, Olivier Bonvalet wrote:
Ça résume parfaitement. Pour ma part j'utilise les greylist, mais uniquement si le serveur en face n'a pas l'air d'être un MX.
Genre s'il y a la moindre déclaration DKIM valide, ou SPF qui match (même en best-guess), voir IP présente dans une whitelist que j'utiliserais, alors je n'applique pas de greylist, qui ne ferait que ralentir la livraison du mail.
Ce n’est pas bête du tout comme configuration. Tu y’y prends comment ?
De mon côté, je n’ai jamais vu de délai supérieur à une heure, ce qui reste acceptable pour du mail.
Avec Exim, ça me donne un truc de ce genre :
defer log_message = Greylisted ($acl_m_note/$acl_c_ipcat/$acl_m_domcat) $acl_c_warns $acl_m_warns message = $sender_host_address is not yet authorized to deliver \ mail from <$sender_address> to <$recipients>. Please try again later. !authenticated = * !hosts = +relay_from_hosts !senders = : !dnslists = list.dnswl.org condition = ${if or { {>={$acl_m_note}{TRIGGER_GREYLIST}} {eq{local_parts}{postmaster}} } } # s'il s'agit d'un vrai serveur de mail, inutile de coller du greylist condition = ${if and { {!eq{$acl_c_ipcat}{white}} {!eq{$acl_c_ipcat}{yellow}} {!eq{$acl_m_spfcode}{pass}} }} !acl = acl_daevel_greylist
1) dans cet exemple j'utilise list.dnswl.org en guise de whitelist direct. 2) acl_m_note fait référence à des tests de réputation en amont, qui intègrent notamment le DKIM. 3) les tests acl_c_ipcat concernent JunkEmailFilter.com. 4) acl_m_spfcode concerne... SPF :)
On Mon, 20 Jul 2015 15:31:25 +0200 Pierre DOLIDON sn4ky@sn4ky.net wrote:
| Le 20/07/2015 15:25, Alarig Le Lay a écrit : | > On Mon Jul 20 15:12:36 2015, Pierre DOLIDON wrote: | >> Salut | >> | >> j'ai BL les IP qui m'envoyaient leurs saloperies | >> | >> -A INPUT -s 50.250.38.225/32 -j DROP | >> -A INPUT -s 202.85.38.184/32 -j DROP | >> -A INPUT -s 119.77.209.173/32 -j DROP | >> -A INPUT -s 60.251.133.50/32 -j DROP | >> -A INPUT -s 178.23.209.96/32 -j DROP | >> -A INPUT -s 194.112.179.129/32 -j DROP | >> -A INPUT -s 217.92.225.26/32 -j DROP | >> -A INPUT -s 24.116.160.201/32 -j DROP | >> | >> | >> Surement très peu, mais efficace pour le moment. | > Salut, | > | > Une autre idée peut être de mettre du greylist sur le serveur mail, avec | > du bol les MX qui envoient les spams n’ont pas de queue et le mail se | > verra envoyé dans la nature. | > Pour ma part j’utilise ce mécanisme sur tous les serveurs mails où j’ai | > la main, et c’est très efficace. | | Le greylist est efficace. voir même trop. | Avec Gmail, tes mails peuvent être délayés de plusieurs heures, (pour | pas dire un ou 2 jours !) | entre les moultes serveurs relai qui sont a la fois IPv4 et IPv6 et le | système qui veut que le mail tente, a chaque émission échouée, de | changer de serveur sortant... et de basculer entre v6 et v4... | | Effectivement tu reçoit moins de spams, mais également les serveurs | spammeurs sont aussi des serveurs hackés, et donc ont une belle queue mail. | | A mon avis, le système n'est pas assez efficace compte tenu des | problèmes de retard de transmission que cela peut engendrer. | | Après, greylist + whitelist ça doit être le top, mais chiant à maintenir...
Tu peux désactiver le grey-listing pour les serveurs dont le nom est mta*, smtp* + quelques autres du même type (qui de toute façon sont de vrais "serveurs" qui vont réessayer): ca va éviter le grey-listing pour une bonne partie des serveurs de mail légitimes. Par ailleurs, une immense proportion de ces virus sont émis par des serveurs qui n'ont pas de reverse DNS donc si tu testes la presénce d'un reverse avant d'accepter le mail tu évite déjà une bonne partie de ces virus (et d'autres spams par la même occasion).
Manuel
-- ______________________________________________________________________ Manuel Guesdon - OXYMIUM
Salut,
Attention : tu te coupes de toute l'Asie si tu acceptes uniquement les serveurs mails avec reverse. Perso, j'ai Spamassassin + Zen SpamHaus + Barracuda et je reçois quasi aucun spam
SAUF ces $£*µù% de mails virulés qui passent les tests ClamAV :(
Cordialement, André NEGROPONTES
----- Mail original ----- De: "Manuel Guesdon" ml+frsag@oxymium.net À: "Pierre DOLIDON" sn4ky@sn4ky.net Cc: frsag@frsag.org Envoyé: Lundi 20 Juillet 2015 15:48:40 Objet: Re: [FRsAG] Spam + virus
Par ailleurs, une immense proportion de ces virus sont émis par des serveurs qui n'ont pas de reverse DNS donc si tu testes la presénce d'un reverse avant d'accepter le mail tu évite déjà une bonne partie de ces virus (et d'autres spams par la même occasion).
Manuel
On Mon, 20 Jul 2015 15:55:03 +0200 (CEST) Andre NEGROPONTES andre@negropontes.ovh wrote:
| Attention : tu te coupes de toute l'Asie si tu acceptes uniquement les serveurs mails avec reverse.
Bah, ils n'ont qu'à suivre les RFCs :-) RFC 1912 chap 2.1. (OK c'est un "should" mais bon) RFC 1033
Si les gens veulent qu'on reçoivent leur courrier il n'ont qu'à configurer un minimum correctement leurs serveurs. Personne de censé n'irait jeter une lettre dans une poubelle en espérant que ca arrive correctement au destinataire à chaque fois; ben le mail c'est pareil :-)
Manuel
-- ______________________________________________________________________ Manuel Guesdon - OXYMIUM
Pareil
Étant donné que c'est des points doc, je suppose que c'est une diffusion massive de DaViCi de Hacker Team, qui vient de ce faire hack tout son système, ces tools, and co. Sachant que leur outil RSC ce transemere par .doc,... Bref c'est qu'une idée.
Pierre
Le 20/07/2015 3:pm:05 pm, GUIOT Jean-Philippe a écrit :
Bonjour,
Effectivement, ils sont très très bien fait.
Nous avons le même souci, par vagues et pour ma part je constate ceci depuis 1 semaine environ. Pas de recette, juste l’antispam en effet qui aide un peu.
JP
--
Jean-Philippe GUIOT
Skype :jp.guiot- Twitter :jpguiot https://twitter.com/jpguiot
*De :*FRsAG [mailto:frsag-bounces@frsag.org] *De la part de* MOBILIA Anael *Envoyé :* lundi 20 juillet 2015 14:59 *À :* frsag@frsag.org *Objet :* Re: [FRsAG] Spam + virus
Salut Franck,
C’est un problème relativement global dixit les ml OVH.
Cette attaque dure depuis plusieurs jours (certains parlent de semaine), avec des spams très très bien fait et dont les pièces-jointes sont systématiquement des fichiers .doc avec au choix une saleté intégrée ou un downloader typiquement d’un cheval de troie.
Globalement, j’ai pu constaté que les anti-virus (virustotal) ne détectaient que les pièces-jointes du jour précédent (soit autant dire le temps qu’il leur faut pour apprendre la nouvelle version du virus qui est envoyée).
Je ne sais pas si certains ici ont trouvé une recette miracle ?
A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de limiter la casse, mais on a toujours 2/3 séries par jour qui passent…
Bon courage,
Anael
*De :*FRsAG [mailto:frsag-bounces@frsag.org] *De la part de* Franck Routier *Envoyé :* lundi 20 juillet 2015 14:51 *À :* frsag@frsag.org mailto:frsag@frsag.org *Objet :* [FRsAG] Spam + virus
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
ThreatTrack
422 ms
Jul 20 2015
LooksLike.Macro.Malware.g (v)
F-secure
1030 ms
Jul 20 2015
Trojan:W97M/MaliciousMacro.GEN
QuickHeal
110 ms
Jul 16 2015 (4 days ago)
W97M.Dropper.Gen
McAfee-Gateway
344 ms
Jul 20 2015
W97M/Downloader.akh
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
Franck
Liste de diffusion du FRsAG http://www.frsag.org/
Hello,
J'en reçois aussi beaucoup, aucun en Inbox, tous en SPAM. (c'est google qui se charge de tout)
Samuel
Le 20 juillet 2015 14:51, Franck Routier franck.routier@axege.com a écrit :
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
ThreatTrack 422 ms Jul 20 2015
LooksLike.Macro.Malware.g (v) [image: Infected] F-secure 1030 ms Jul 20 2015
Trojan:W97M/MaliciousMacro.GEN [image: Infected] QuickHeal 110 ms Jul 16 2015 (4 days ago)
W97M.Dropper.Gen [image: Infected] McAfee-Gateway 344 ms Jul 20 2015
W97M/Downloader.akh [image: Infected]
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
Franck
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
on en reçois aussi beaucoup chez nous. Clamav laisse tout passer aussi.
Comme à chaque vague de spams les fichiers ont un nom et une structure différente, on bloque les .doc (mais uniquement les .doc, on a rien repéré dans des docx) dans postfix momentanément le temps que ça se calme et que les curseurs repassent dans le vert.
J'ai essayé d'ouvrir quelques fichiers dans une VM isolée mais j'ai pas eu d'impact direct. Bon après je ne me suis pas attardé dessus.
Dorian
Le 20 juillet 2015 15:00, Samuel Chesnel samuel.chesnel@itsense.fr a écrit :
Hello,
J'en reçois aussi beaucoup, aucun en Inbox, tous en SPAM. (c'est google qui se charge de tout)
Samuel
Le 20 juillet 2015 14:51, Franck Routier franck.routier@axege.com a écrit :
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
ThreatTrack 422 ms Jul 20 2015
LooksLike.Macro.Malware.g (v) [image: Infected] F-secure 1030 ms Jul 20 2015
Trojan:W97M/MaliciousMacro.GEN [image: Infected] QuickHeal 110 ms Jul 16 2015 (4 days ago)
W97M.Dropper.Gen [image: Infected] McAfee-Gateway 344 ms Jul 20 2015
W97M/Downloader.akh [image: Infected]
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
Franck
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
On Mon, 20 Jul 2015 14:51:10 +0200 Franck Routier franck.routier@axege.com wrote:
| je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez | convaincants (en français, avec logo légitimes, etc...) contenant des | pièces jointes au format Word. | Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte | rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus | détectent un malware :
On a a 2 ou 3 nouvelles versions tous les jours de la semaine (pas le we) depuis la semaine dernière. Les anti-virus ne les détectent pas aussitôt car c'est a chaque fois une nouvelle variante. Pour DrWeb, c'est la souche: W97M.DownLoader.XXX. Ils en sont à la 502eme versions :-(
Par contre, quand on en repère une version, il "suffit" de filtrer sur le Message-ID qui est toujours le même pour chaque salve.
Actuellement on bloque: /^Message-Id: <74f9d9.89taar@APMUZE1RMC11-PROD.zres.ztech>$/ REJECT Virus /^Message-Id: <bad688d1.2Jm.nVZ.2Q.frEZJ8@mailjet.com>$/ REJECT Virus /^Message-ID: <021b01d0bfcf.e59afe60.b0d0fb20.@com>$/ REJECT Virus /^Message-Id: <201507161513.t6GFDWc0020909@mail.cegid.com>$/ REJECT Virus /^Message-ID: <CACtsHw842A0DawxwTEm1uxhL7.ti360yKsDmT5YJ4uHdLE.AQA@mail.gmail.com>$/ REJECT Virus
| Constatez-vous le même type d'activité ? Avez-vous une idée du type de | malware dont il s'agit ? (Office / Windows only ?)
Des détails ici: http://regenerus.com/malware-analysis/w97m-downloader-vba-macro-downloader/ J'avais une url plus complete mais je l'ai égarée :-(
Manuel Guesdon
-- ______________________________________________________________________ Manuel Guesdon - OXYMIUM
Le Mon, Jul 20, 2015 at 02:51:10PM +0200, Franck Routier [franck.routier@axege.com] a écrit:
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
Benjamin Sonntag a sorti une empreinte pour clamav qui marche pour une partie des saloperies qui circulent en ce moment :
https://benjamin.sonntag.fr/Signature-antivirus-Clamav
Benjamin Sonntag a sorti une empreinte pour clamav qui marche pour une partie des saloperies qui circulent en ce moment :
De mon côté, j'essaie d'intégrer le script olevba.py à Amavis. Si le résultat n'est pas "No VBA macros found." => poubelle.
Denis
Le 20/07/2015 14:51, Franck Routier a écrit :
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
Avec les signatures maintenues par sanesecurity, il en bloque nettement plus, mais certains passent toujours. Je crois que quelqu'un les remontent depuis 2 jours, ou alors la signature n'a pas changé, car ils se mangent un mur sans faire broncher postfix ;)
Un petit coup de fail2ban pour firewaller rapidement les IPs qui reviennent et boum.
@+ Gilles
Hello,
Non testée, mais est-ce que bannir uniquement les .doc/xls/whatever envoyé en application/octet-stream ne serais pas une bonne idée ?
En principe c'est plutôt ca le mime type pour un docx : application/vnd.openxmlformats-officedocument.wordprocessingml.document
@+ Nathan
C'est ce que j'ai fait, j'ai bloqué les PJ en .doc, et on en a plus aucun. De toute façon on utilise OpenOffice donc on est pas concerné.
Et pour les mails externes, c'est très rare qu'on doive en recevoir, c'est généralement du PDF et l'erreur qu'ils reçoivent, le cas échéant, est assez explicite.
Guillaume Hilt
Le 20/07/2015 16:31, Nathan delhaye a écrit :
Hello,
Non testée, mais est-ce que bannir uniquement les .doc/xls/whatever envoyé en application/octet-stream ne serais pas une bonne idée ? En principe c'est plutôt ca le mime type pour un docx : application/vnd.openxmlformats-officedocument.wordprocessingml.document @+ Nathan
Liste de diffusion du FRsAG http://www.frsag.org/
Le 21 juillet 2015 08:07, Guillaume Hilt ghilt@shadowprojects.org a écrit :
C'est ce que j'ai fait, j'ai bloqué les PJ en .doc, et on en a plus aucun.
Il suffisait d'en parler ... Et depuis ce matin, la saloperie est revenue avec des PJ en .docm !
Bonjour,
Ci joint notre plugin Spamassassin : - il scanne les archives en pièce jointe (.zip, .rar) et capte celles qui contiennent un fichier louche - il scanne les .doc pour détecter les macros et déterminer si c'est louche ou pas
loadplugin Mail::SpamAssassin::Plugin::ArchiveScan /etc/spamassassin/ArchiveScan.pm
ifplugin Mail::SpamAssassin::Plugin::ArchiveScan body IS_ATTACHMENT_VIRUS eval:is_attachment_virus() score IS_ATTACHMENT_VIRUS 20 endif
Modules Perl nécessaires:
use Archive::Zip qw( :ERROR_CODES :CONSTANTS ); use Archive::Rar; use IO::String; use File::LibMagic;
Bonjour,
On 20/07/2015 14:51, Franck Routier wrote:
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
En ce qui me concerne j'en reçois depuis plus d'un mois de manière régulière, par vague. SpamAssassin me les envoient dnas le dossier spam sans la moindre question. A chaque fois les fichiers sur VirusTotal ne sont pas ou peu détecté le jour même et j'en ai déjà transféré une bonne partie à ClamAV (mais je n'ai pas de retour).
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
De ce que je reçois, les .doc sont en fait des fichiers très proche du format EML qui contiennent une PJ nommée editdata.mso qui est la partie détecté par quelques Antivirus en tant que W97M.
J'ai repris un .doc reçu le 01/07 : Le 01/07/2015 sur virustotal il était détecté par 2 sur 55 des antivirus. Aujourd'hui 24 sur 55.
Avec LibreOffice le .doc est traité comme .txt, n'ayant pas de Windows je n'ai aucune idée de ce que ça fait avec Word…
Aymeric.
NB :
L'analyse du ".doc" reçu le 01/07 : https://www.virustotal.com/en/file/d429f0fb215e0069bc3cabf9d60b98048037da65f...
L'analyse du .mso contenu dans le ".doc" : https://www.virustotal.com/en/file/6bf6815b6dacb2eae6a44b36b40030e9f4f6a601f...
Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc) qui était dans un de ces mails (après le doc et le docm, ils changent) au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?). MSE n'a pas râlé mais je me demande si il n'y a pas eu d'impact.
Quelqu'un sait ce que font ces pièces jointes en xml ?
Guillaume Hilt
Le 21/07/2015 12:14, Aymeric a écrit :
Bonjour,
On 20/07/2015 14:51, Franck Routier wrote:
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
En ce qui me concerne j'en reçois depuis plus d'un mois de manière régulière, par vague. SpamAssassin me les envoient dnas le dossier spam sans la moindre question. A chaque fois les fichiers sur VirusTotal ne sont pas ou peu détecté le jour même et j'en ai déjà transféré une bonne partie à ClamAV (mais je n'ai pas de retour).
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
De ce que je reçois, les .doc sont en fait des fichiers très proche du format EML qui contiennent une PJ nommée editdata.mso qui est la partie détecté par quelques Antivirus en tant que W97M.
J'ai repris un .doc reçu le 01/07 : Le 01/07/2015 sur virustotal il était détecté par 2 sur 55 des antivirus. Aujourd'hui 24 sur 55.
Avec LibreOffice le .doc est traité comme .txt, n'ayant pas de Windows je n'ai aucune idée de ce que ça fait avec Word…
Aymeric.
NB :
L'analyse du ".doc" reçu le 01/07 : https://www.virustotal.com/en/file/d429f0fb215e0069bc3cabf9d60b98048037da65f...
L'analyse du .mso contenu dans le ".doc" : https://www.virustotal.com/en/file/6bf6815b6dacb2eae6a44b36b40030e9f4f6a601f... _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bon, ça s'ouvre en texte, donc RAS et on a pas la suite office de toute façon. C'est un trojan downloader.
Guillaume Hilt
Le 21/07/2015 15:42, Guillaume Hilt a écrit :
Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc) qui était dans un de ces mails (après le doc et le docm, ils changent) au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?). MSE n'a pas râlé mais je me demande si il n'y a pas eu d'impact.
Quelqu'un sait ce que font ces pièces jointes en xml ?
Guillaume Hilt
Le 21/07/2015 12:14, Aymeric a écrit :
Bonjour,
On 20/07/2015 14:51, Franck Routier wrote:
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
En ce qui me concerne j'en reçois depuis plus d'un mois de manière régulière, par vague. SpamAssassin me les envoient dnas le dossier spam sans la moindre question. A chaque fois les fichiers sur VirusTotal ne sont pas ou peu détecté le jour même et j'en ai déjà transféré une bonne partie à ClamAV (mais je n'ai pas de retour).
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
De ce que je reçois, les .doc sont en fait des fichiers très proche du format EML qui contiennent une PJ nommée editdata.mso qui est la partie détecté par quelques Antivirus en tant que W97M.
J'ai repris un .doc reçu le 01/07 : Le 01/07/2015 sur virustotal il était détecté par 2 sur 55 des antivirus. Aujourd'hui 24 sur 55.
Avec LibreOffice le .doc est traité comme .txt, n'ayant pas de Windows je n'ai aucune idée de ce que ça fait avec Word…
Aymeric.
NB :
L'analyse du ".doc" reçu le 01/07 : https://www.virustotal.com/en/file/d429f0fb215e0069bc3cabf9d60b98048037da65f...
L'analyse du .mso contenu dans le ".doc" : https://www.virustotal.com/en/file/6bf6815b6dacb2eae6a44b36b40030e9f4f6a601f...
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
On 21/07/2015 15:42, Guillaume Hilt wrote:
Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc) qui était dans un de ces mails (après le doc et le docm, ils changent) au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?). MSE n'a pas râlé mais je me demande si il n'y a pas eu d'impact.
Quelqu'un sait ce que font ces pièces jointes en xml ?
A priori ça :
http://regenerus.com/malware-analysis/w97-downloader-dridex-dropper/
Ça expliquerai pourquoi les fichiers changent à chaque fois, les liens pastebin changent.
Aymeric.
-
Alarig Le Lay -
Andre NEGROPONTES -
Aymeric -
Denis Fondras -
Dominique Rousseau -
Dorian BECKER -
Franck Routier -
Frédéric VANNIÈRE -
Gilou -
Guillaume Hilt -
GUIOT Jean-Philippe -
Jérôme Marceau -
Manuel Guesdon -
MOBILIA Anael -
Nathan delhaye -
Olivier -
Olivier Bonvalet -
Pierre -
Pierre DOLIDON -
Samuel Chesnel -
Xavier Beaudouin