le Sat, 11 Oct 2003 21:29:15 +0200, Loïc Le Guyader
<loic.leguyader-spam@laposte.net> s'exprima en ces termes:
> Salut,
>
> Non, ne jetez plus les innombrables exemplaires de Swen que vous
> recevez, et qui sont, malheureusement, inutilisables sur pauvre
> Debian.
>
> En effet, Swen trimbale avec lui une liste de seveur de news
> compressé. Comment la récupérer? C'est simple:
> Étape 1: Sauver l'attachement du courriel (swen.exe pour l'exemple)
> Étape 2: Copier la liste compressé dans un fichier (swen.news)
> dd bs=1 skip=100144 if=swen.exe of=swen.press
> Si le fichier swen.news ne commence pas par «SZDD», l'offset
> n'est pas bon, demerdez-vous pour le trouver.
> Étape 2: Récupérez le décompresseur:
> http://www.kyz.uklinux.net/downloads/xfd_SZDD.lha
> Décompresser cette archive (apt-get install lha), puis
> compiler sddexpand et finalement:
> sddexpand swen.news
> Étape 3: less swen.news
>
> Je vous laisse découvrir les *.proxad.net, *.nerim.net, ... qui me
> font penser que Swen mais à jour cette liste de serveur de news avec
> ceux qu'il a infecté.
>
> Vérifiez que votre liste est différente de la mienne pour confirmer
> cette hypothése (oui c'est ça le jeux, et oui je m'excuse de n'avoir
> qu'un Swen sous la main ;o) ). Le md5sum de mon swen.news:
> b953eb2b35353307d6e7da0f131ded90 swen.news
Tous mes svens ont la même md5 (la même que la tienne). Ça m'étonnerai
qu'il se modifie.
Par contre, un strings sur sven.exe remonte un ensemble de chaînes
intéressantes: f-prot, blackice, zonealarm, safeweb ... D'ici à ce qu'il
ne s'exécute que sur des machines totalement non protégées pour éviter
de se faire repérer, il n'y a qu'un pas.
Autre constat du string: le pool de chaines utilisées pour forger les
champs:
- une version "patch krosoft":
+ To: Client, Consumer, Partner, User, Customer, Commercial
+ Subject: Upgrade, Pack, Update, Patch, Critical, Net, Latest, New,
Last, Newest, Current
+Aussi du FW, du Newsgroup, ...
- une version "can't deliver":
+ Subject: Notice, Report, Announcement, Advice, Letter, Failure,
Abort, Error, Bug, User unknown, Mailer, Sender, Returned To, Message,
Mail Undelivered, Undeliverable, Returned
Concernant la liste fournie, ça ressemble à une liste issue d'un scan,
mais sur quel critère ?
D'autres trucs rigolos (allez voir): des listes "top 10 google" pour la
duplication du virus sur les réseaux p2p avec des noms intéressants, une
url(http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=c
nt0 06).
Bon, on va tenter d'y aller avec winice pour y voir plus clair.
/N
______________________________________________________________________
Nicolas Rueff <n.rueff@tuxfamily.org>
http://rueff.tuxfamily.org
+33 6 77 64 44 80
--
break; /* don't do magic till later */
-- Larry Wall in stab.c from the perl source code
______________________________________________________________________
Attachment:
pgp2oKqcnHzS0.pgp
Description: PGP signature