Pfouuu .., un virus et c'est reparti ...
Bienvenue invité ( Connexion | Inscription )
Pfouuu .., un virus et c'est reparti ...
momo |
01/03/2004 17:35
Message
#1
|
||||||
lvl1 male rogue St=1 Dex=5 Int=17 Wi=5 Ch=0 Groupe : Modérateurs Messages : 1,730 Inscrit le : 16/05/2002 23:00 Lieu : .gif Membre no. 12 |
ben ouais, j'ai, pour la premiere fois en 2 ans, reçu un virus (en double !) par e-mail donc, je m'amuse avec ...
le fautif : un email intitulé "Your Documents" venant d'une des nombreuses adresses vers lesquelles j'ai 'démarché' mais dont l'ip ne correspond pas ... premiere étape : Nmap sur l'ip : 81.80.167.30
bon, déjà , c'est sûr que c'est une machine vérolé avec un mauvais parefeu... donc, je part sur le domaine indiqué : ncc-promotional.rain.fr avec l'aide de dig
je fouilles sur www.rain.fr et je tombe sur un site de FT (www.trasnpac.fr), nic.fr me renvoi sur l'afnic, donc je fais un whois mais, aucun information pour rain.fr, bien qu'il soit réservé ... (d'ailleurs, vous remarquez que l'ip obtenu via la requete DNS ne correspond pas au coupable : c'est donc un station de reseau pro de vérolé sur un pare feu configuré avec les pieds .. ) je tentes alors le dernier NS de fautif, est je tombe sur un http://www.transpac.net/ qui renvoi sur escrow.com ... vu le prix du domaine (pres de 400$), c'est apparament le coupable idéal ... alors je fouilles les Headers :
apparament, l'engin a été owned pour la propagation de virus ... enfin, c'est ce qu'on veut faire croire ? mais bon, conclusion : un spammer tente d'agrandir sa collection d'open relays ... ou alors une nouvelle version de Sobig vient de sortir ... bon, au passage, mon av s'est superbement chié dessus quand à la tentative de detection dudit virus dans ce fichier PIF ... et hop, poubelle les emails ... -------------------- Natural evolution insists that we are apes; artificial evolution insists that we are machines with an attitude.
Kevin Kelly - Out of control |
||||||
Version bas débit | Nous sommes le : : 21/09/2024 1:19 |