[ En ligne ] · Standard · Linéaire+ Pfouuu .., un virus et c'est reparti ...

[momo]

ben ouais, j'ai, pour la premiere fois en 2 ans, reçu un virus (en double !) par e-mail donc, je m'amuse avec ...
le fautif : un email intitulé "Your Documents" venant d'une des nombreuses adresses vers lesquelles j'ai 'démarché' mais dont l'ip ne correspond pas ...

premiere étape : Nmap sur l'ip : 81.80.167.30

QUOTE

Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Interesting ports on ncc-promotional.rain.fr (81.80.167.30): (The 1597 ports scanned but not shown below are in state: closed) Port       State       Service 135/tcp    filtered    loc-srv                 137/tcp    filtered    netbios-ns               138/tcp    filtered    netbios-dgm             139/tcp    filtered    netbios-ssn             Remote OS guesses: Axis 200+ Web Camera running OS v1.42, Cisco Catalyst 2820 Management Console, FlowPoint/2000 - 2200 SDSL Router (v1.2.3 - 3.0.4) or ASCOM Timeplex Access Router, DSL Router: Flowpoint 144/22XX v3.0.8 or SpeedStream 5851 v4.0.5.1, IBM MVS TCP/IP stack V. 3.2 or AIX 4.3.2, Windows 98SE + IE5.5sp1 Nmap run completed -- 1 IP address (1 host up) scanned in 11 seconds

bon, déjà, c'est sûr que c'est une machine vérolé avec un mauvais parefeu...
donc, je part sur le domaine indiqué : ncc-promotional.rain.fr avec l'aide de dig

QUOTE

morvan@debian:~$ dig ncc-promotional.rain.fr ; <<>> DiG 9.2.1 <<>> ncc-promotional.rain.fr ;; global options:  printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45932 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 3 ;; QUESTION SECTION: ;ncc-promotional.rain.fr.       IN      A ;; ANSWER SECTION: ncc-promotional.rain.fr. 3303   IN      A       81.80.128.121 ncc-promotional.rain.fr. 3303   IN      A       194.250.69.14 ;; AUTHORITY SECTION: rain.fr.                2924    IN      NS      ns.transpac.net. rain.fr.                2924    IN      NS      bow.rain.fr. rain.fr.                2924    IN      NS      ns2.nic.fr. rain.fr.                2924    IN      NS      proof.rain.fr. ;; ADDITIONAL SECTION: bow.rain.fr.            82924   IN      A       194.51.3.49 ns2.nic.fr.             86177   IN      A       192.93.0.4 proof.rain.fr.          82924   IN      A       194.51.3.65 ;; Query time: 84 msec ;; SERVER: 192.168.0.7#53(192.168.0.7) ;; WHEN: Mon Mar  1 17:22:58 2004 ;; MSG SIZE  rcvd: 210

je fouilles sur www.rain.fr et je tombe sur un site de FT (www.trasnpac.fr), nic.fr me renvoi sur l'afnic, donc je fais un whois mais, aucun information pour rain.fr, bien qu'il soit réservé ...
(d'ailleurs, vous remarquez que l'ip obtenu via la requete DNS ne correspond pas au coupable : c'est donc un station de reseau pro de vérolé sur un pare feu configuré avec les pieds .. )
je tentes alors le dernier NS de fautif, est je tombe sur un http://www.transpac.net/ qui renvoi sur escrow.com ... vu le prix du domaine (pres de 400$), c'est apparament le coupable idéal ...
alors je fouilles les Headers :

QUOTE

Server: Apache/1.3.29 (Unix) PHP/4.3.2

apparament, l'engin a été owned pour la propagation de virus ... enfin, c'est ce qu'on veut faire croire ?
mais bon, conclusion : un spammer tente d'agrandir sa collection d'open relays ... ou alors une nouvelle version de Sobig vient de sortir ...
bon, au passage, mon av s'est superbement chié dessus quand à la tentative de detection dudit virus dans ce fichier PIF ...

et hop, poubelle les emails ...

[PoP]

Je vais faire un virus qui reboot la machine le 4 juin à 2 heure moi...