Yop

Aller au contenu | Aller au menu | Aller à la recherche

Spam/Virus

Tout ce qui a rapport avec les spams ou les virus

Fil des billets - Fil des commentaires

mercredi, 15 avril 2009

Viagra en couleur

viagraTableauCouleur.png


viagraTableauCouleur1.png

samedi, 15 novembre 2008

McColo débranché

  • Résumé de l'histoire

McColo Corp est un hébergeur basé en Californie, surtout connu pour sa part importante dans tout ce qui touche à des activités "cyber criminelles"...
Depuis 4 mois, Security Fix récoltait (auprès de diverses sociétés de sécurité) un maximum d'informations sur McColo pour monter un dossier sur leurs activités.
Lundi, le rapport est envoyé aux 2 principaux providers de McColo...
Mardi, l'un des deux, Hurricane Electric, coupe tous les accès Internet de McColo.. Depuis, impossible de joindre toutes leurs machines...
Et, ce qui était prévu ce produit, une baisse de 2/3 des spams dans le monde.
(Bon, je doute, comme d'autres, que cela ai été aussi simple, mais on n'a pas plus d'infos actuellement).


  • Les chiffres

Ci dessous le graph de SpamCop qui était disponible à la date de ce post à cette adresse.

Il résume assez bien tous les graphs que j'ai pu voir sur le sujet, et correspond exactement à ce que j'ai également contasté ( -75% de spams en moyenne jusqu'à ce jour)) sur les serveurs mails dont j'ai la gestion. (Des serveurs dont le nombre de spams quotidiens ce compte toujours en plusieurs millions).


  • Divers

Biensur, les spams n'étaient pas envoyés depuis les serveurs de McColo (çà aurait un peu trop simple à bloquer).
Par contre, les serveurs qui controlaient toutes les machines infectées dans le monde, elles, étaient chez McColo...
Depuis qu'elles ne peuvent plus joindre leur serveurs "maitres", ces machines infectées n'envoient plus de spams...(pour l'instant)...

Il n'est qu'une question de temps avant que les activités ne reprennent par d'autres providers ou sur d'autres hébergeurs... Mais quand même ça fait drôle de voir à quel point couper un seul hébergeur peut faire chuter instantanément un nombre si important de spams... A quand le retour des spams à leur niveau précédent ?


  • Updates

20Nov2008- L'ISP suédois TeliaSonera a laisser passer du traffic vers McColo en Californie quelques heures.
Ceci semble avoir permis à McColo de reconfigurer ses bots pour pointer vers une IP en Russie...

21Nov2008- Les botnets Asprox/Ozdok/Mega-D sont de retour... pas encore de signes de Srizbi/Rustock..


  • Références

WashingtonPost: Lien 1 Lien 2 Lien 3 Lien 4
F-Secure
Sophos
Un rapport de HostExploit sur McColo.
McColo up again, down again
Le botnet pointe vers la Russie
Le point par CBL

vendredi, 28 mars 2008

ORDB se rebelle

Ordb a cessé son activité en 2006 (cf ce billet)......Mais depuis 2 jours, leurs serveurs DNS répondent une IP pour tout sous domaine demandé. Ceci a pour conséquence de ne laisser passer aucun mail pour ceux qui auraient oubliés d'enlever relays.ordb.org de la liste des RBLs de leur serveur AntiSpam.

$ dig 1.2.3.4.relays.ordb.org +short
127.0.0.2
$ dig 11.222.3.4444.relays.ordb.org +short
127.0.0.2
$


L'info sur Slashdot:

At noon today (Eastern Standard Time), the long dead ORDB spam identification system began returning false positives as a way to get sleeping users to remove the ORDB query from their spam filters. The net effect: all mail is blocked on servers still configured to use the ORDB service, which was taken out of commission in December of 2006. So if you're not getting any mail, check your spam filter configuration!"

mardi, 14 août 2007

Vérification de virus

vtuploader.pl est un script écrit par Cd-MaN qui permet d'uploader des fichiers suspects chez VirusTotal.com pour être analysés par plus d'une trentaine de moteurs anti-virus.

$ wget http://hype.free.googlepages.com/vtuploader.pl
$ chmod +x vtuploader.pl

Nous allons prendre pour tests les virus fournis dans le récent article http://blog.untangle.com/?p=96
Les détails sont aussi sur http://virus.untangle.com/

$ wget http://virus.untangle.com/samples.zip
$ unzip -P a samples.zip

$ ./vtuploader.pl -nv all/000_eicar.com
Processing file all/000_eicar.com
MD5: 44d88612fea8a8f36de82e1278abb02f
File size: 68 bytes

Upload finished, waiting for scanning
Enqued in position 10. Estimated start time between 93 and 133 seconds
Scanning. Scanned with 31 engines
Scanning done
Infection count 32 out of 32

File all/000_eicar.com

Antivirus...... Version ...... Last Update ......Result
AVG ...... 7.5.0.476 ...... 2007.08.13 ...... EICAR_Test
AhnLab-V3 ...... 2007.8.9.2 ...... 2007.08.13...... EICAR_Test_File
AntiVir ...... 7.4.0.60 ...... 2007.08.13 ...... Eicar-Test-Signature
Authentium ...... 4.93.8 ...... 2007.08.13 ...... EICAR_Test_File
Avast ...... 4.7.1029.0 ...... 2007.08.13 ...... EICAR Test-NOT virus!!
BitDefender ...... 7.2 ...... 2007.08.13...... EICAR-Test-File (not a virus)
CAT-QuickHeal ...... 9.00 ...... 2007.08.13 ...... EICAR Test File
ClamAV ...... 0.91 ...... 2007.08.13 ...... Eicar-Test-Signature
DrWeb ...... 4.33 ...... 2007.08.13...... EICAR Test File (NOT a Virus!)
Ewido ...... 4.0 ...... 2007.08.13...... Not-A-Virus.Test.Eicar
F-Prot ...... 4.3.2.48 ...... 2007.08.13...... EICAR_Test_File
F-Secure ...... 6.70.13030.0 ......2007.08.13 ...... EICAR_Test_File
FileAdvisor ...... 1 ...... 2007.08.13...... High threat detected
Fortinet ...... 2.91.0.0 ...... 2007.08.13...... EICAR_TEST_FILE
Ikarus ...... T3.1.1.12 ...... 2007.08.13 ...... EICAR-ANTIVIRUS-TESTFILE
Kaspersky ...... 4.0.2.24 ...... 2007.08.13...... EICAR-Test-File
McAfee ...... 5096 ...... 2007.08.13 ...... EICAR test file
Microsoft ...... 1.2704 ...... 2007.08.13...... Virus:DOS/EICAR_Test_File
NOD32v2 ...... 2457 ...... 2007.08.13...... Eicar test file
Norman ...... 5.80.02 ...... 2007.08.13...... EICAR_Test_file_not_a_virus!
Panda ...... 9.0.0.4 ...... 2007.08.12 ...... EICAR-AV-TEST-FILE
Prevx1...... V2 ...... 2007.08.13 ...... Win32.Malware.gen
Rising ...... 19.36.02.00 ...... 2007.08.13...... EICAR-Test-File
Sophos ...... 4.20.0 ...... 2007.08.12...... EICAR-AV-Test
Sunbelt ...... 2.2.907.0 ...... 2007.08.11 ...... EICAR (v)
Symantec ...... 10 ...... 2007.08.13...... EICAR Test String
TheHacker ...... 6.1.8.167 ...... 2007.08.13 ...... EICAR_Test_File
VBA32 ...... 3.12.2.2 ...... 2007.08.13...... EICAR-Test-File
VirusBuster...... 4.3.26:9 ...... 2007.08.13 ...... EICAR_test_file
Webwasher-Gateway...... 6.0.1 ...... 2007.08.13 ...... Virus.Eicar-Test-Signature
eSafe ...... 7.0.15.0 ...... 2007.08.10...... EICAR Test File
eTrust-Vet ...... 31.1.5055 ...... 2007.08.13...... the EICAR test string

Additional information

File size: 68 bytes
MD5: 44d88612fea8a8f36de82e1278abb02f
SHA1: 3395856ce81f2b7382dee72602f798b642f14140
$

Le test complet:

$ ./vtuploader.pl -nv all/*

Les résultats sont ici.

Chacun en tirera ses conclusions...

/!\ Le script est à utiliser avec parcimonie pour éviter un DOS sur VirusTotal.com ou un filtrage du script de leur part...

dimanche, 29 juillet 2007

Recherche d'adresses emails "masquées" par Google

Vous protégez votre adresse mail en l'écrivant:

moi [at] mondomaine [dot] com

?

allinurl:*(at)*dot*|allinurl:*[at]*dot*
Résultats 1 - 10 sur un total d'environ 1 780 000 pour allinurl:*(at)*dot*|allinurl:*[at]*dot* (0,33 secondes)

Le recherche Google

Source

- page 1 de 6