Re: [HS] sobig et Kmail
Le Mardi 09 Septembre 2003 14:34, Bruno Treguier a écrit :
> On Tue, Sep 09, 2003 at 07:19:14AM +0200, Loic.B (FDUL) wrote:
>
> Bonjour,
bonjour,
>
> Plus exactement, dans le cas de Sobig.F, il prend les adresses "au
> hasard" dans le carnet d'adresses de l'utilisateur de l'ordi infecté,
> met l'une de ces adresses en tant qu'expéditeur, et quelques autres en
> tant que destinataires... Il utilise ensuite son propre moteur SMTP pour
> s'envoyer à ces destinataires...
>
Il modifie également l'adresse "Reply-To:"
>
> Actuellement, tout le monde ou à peu près fait l'autruche à ce niveau,
> et se contente d'un boulot salopé: on prend le 1er émetteur qui vient,
> celui qui est dans la ligne "From:" par exemple, et hop, on balance
> l'alerte, même si on sait très bien que dans 99% des cas ce n'est pas le
> bon. Résultat, ça emmerde tout le monde, mais les techniciens ont "la
> conscience tranquille" (ou tout au moins feignent de l'avoir) vis à vis
> des juristes qui leur ont imposé ça. :-(
>
Il prennent en général l'adresse "Reply-To:" qui est encore plus facile à
falsifier que l'adresse "From:", car, en fait, n'importe qui peut le faire en
paramétrant son mailer.
C'est vrai que ça fait plus de mal que de bien ces réponses automatiques, les
alertes devraient quand-même vérifier la validité de l'envoyeur (et non pas
le Reply-To) avant d'envoyer le message, en faisant une correspondance d'IP
par exemple ; bien qu'à mon avis, ça ne donnerait rien de probant. Les ISP
devraient plutôt faire gaffe aux messages qu'il reçoivent de la part de leur
clients, en filtrant les messages au début de la chaine SMTP quand on envoie
le message, plutôt qu'à la distribution dans les boites aux lettres POP3 !
Enfin, c'est mon avis...
> Bruno
--
ultimateclem
Debian user
Reply to: