Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
5 novembre 2010 5 05 /11 /novembre /2010 00:17

Je n'ai pas honte de le dire, j'ai failli m'y faire prendre moi-même.

 

Voilà le courriel reçu (e 04/11), faussement émis par 123radar que je connais de nom :

courriel_123radar_VX_041110-copie-1.jpg

 

L'affichage dans Lanikaï est trompeur : le champ envelope-from est en fait : envelope-from <www@lary.aquaray.com>


 Le texte français est plutôt bien fait, mais une faute de génération du code (les balises) HTML casse toute la mise en page. Cela se produit à cette balise, en début de message :

<span<br> style=3D"font-weight: bold;">


 

Enfin, l'aspect viral montre son nez avec le lien bien visible dans le courriel :

Cliquer ICI

Pour Telecharger La Facture .


En fait, cela pointe sur : http://ryan8585. fileave.com/bill.exe

Et voilà le résultat VT pour ce fichier : 9/43 ! (version ligne de commande des AV).

Je peux par contre certifier que la version "complète" de Nod32, ainsi que Clam In The Cloud n'ont rien vu... Clam commence à détecter 12h plus tard (le lendemain matin de la réception du courriel)



Le courriel et son code viral ont contourné :

- les filtrages antispam de Orange

- les filtrages antispam de SpamAssassin

- les filtrages AV vus plus haut

- les filtrages sur URL de IE8, Chrome, FF 3

Pour finir, une analyse en "bac à sable" en ligne indique que ce bel échantillon a tout d'un BotNet :
Serveur de contrôle : 46.4 .245.19  (port 6667, un classique...)
Quelques commandes IRC intéressantes : BoTNeT.GoV...

Attendons de voir la réactivité des éditeurs d'antivirus !

Partager cet article

Repost0

commentaires