Courriel étrange

Bon je fait ce thread pour vous faire part d’un message que j’ai recu hier, dont j’avais déja recu des similaires.
Au début je me disai que cela était sans doute pas grave mais la a force je commence a douter. 
Donc voila le mail incriminé:

Failed to deliver to '<apott@worldcom.ch>'
Virus trouv(s)  |  Virus(es) found.
message.scr est infect par W32/Netsky.p@MM
message.scr is infected with W32/Netsky.p@MM
Viruses: 1
Trojans: 0
Jokes: 0
Tests: 0

Ceci est un message d’information automatique.
Votre ordinateur semble avoir envoy un message contenant un virus !
Il n’a pas t envoy.
Nous vous conseillons de vrifier et protger votre ordinateur.

Si vous recevez galement un message ‘Virus rejet’, il est probable que le
virus ne soit pas chez vous et utilise votre identit tire du carnet d’adresse
de l’ordinateur infect.  Vrifiez la date, l’heure et l’adresse IP de l’envoi.

This is an automatic message for your information.
Your computer seems to send a message containing a virus, that was not sent !
Please take all actions to check and protect your computer.

If you also receive a ‘Virus warning’ message, this probably means that the
virus was not issued by you, but used your identity from the address book of the
infected computer.  Check the sent date, time and IP address.

J’aurai aimer avoir vos lumieres sur ce mail. Sachant que j’ai déja été cherché sur le site de symantec pour avoir des infos, et donc j’ai télécharger un logiciel pour désinfecter le virus citer ci dessus.
Mais rien, donc d’après vous simple spam ou plus grave ?

Quand tu dis que tu en avais reçu des similaires, est-ce qu’ils venaient tous de la même adresse email ?
Sinon, il existe des antivirus qui peuvent, à chaque virus détecté envoyé un mail, mais je ne pense pas qu’il serait formatté tel que celui-là (sauf peut-être le début), mais rien de sûr.
Mais bon, je dirais SPAM…

En fait pour les mails, ce n’est pas moi qui recoit les mails virusés.
C’est comme si c’était moi qui les avais envoyer. Alors que pa du tout, j’ai un norton a jour et tout et tout.

Tenez un autre exemple:

[url="http://by17fd.bay17.hotmail.msn.com/cgi-bin/getmsg?curmbox=F000000001&a=ce190398e1108d72e4a133ed9fb33a49&msg=MSG1082738943.56&start=359322&len=43590&mimepart=1"]Content-Type: multipart/report[/url]; report-type=delivery-status; boundary="i3NGlP617702.1082738845/r1m2.servercentral.net"       [url="http://by17fd.bay17.hotmail.msn.com/cgi-bin/saferd?_lang=FR&hm___tg=http%3a%2f%2f64%2e4%2e43%2e250%2fcgi%2dbin%2fgetmsg&hm___qs=curmbox%3dF000000001%26a%3dce190398e1108d72e4a133ed9fb33a49%26msg%3dMSG1082738943%2e56%26start%3d359322%26len%3d43590%26mimepart%3d2%26disk%3d64%2e4%2e43%2e30_d321%26login%3dstuntman017%26domain%3dhotmail%252ecom%26_lang%3dFR%26country%3dFR&hm___cacheh=1&hm___fl=attrd&domain=hotmail.com"]Content-Type: text/plain[/url]        The original message was received at Fri, 23 Apr 2004 11:46:57 -0500 from d213-103-148-203.cust.tele2.ch [213.103.148.203]    ----- The following addresses had permanent fatal errors ----- <[url="http://by17fd.bay17.hotmail.msn.com/cgi-bin/compose?curmbox=F000000001&a=ce190398e1108d72e4a133ed9fb33a49&mailto=1&to=general@mthreedev.com&msg=MSG1082738943.56&start=359322&len=43590&src=&type=x"]general@mthreedev.com[/url]>   &nbsp; (reason: can't create (user) output file)    ----- Transcript of session follows ----- procmail: Quota exceeded while writing "/var/spool/mail/general" 550 5.0.0 <[url="http://by17fd.bay17.hotmail.msn.com/cgi-bin/compose?curmbox=F000000001&a=ce190398e1108d72e4a133ed9fb33a49&mailto=1&to=general@mthreedev.com&msg=MSG1082738943.56&start=359322&len=43590&src=&type=x"]general@mthreedev.com[/url]>... Can't create output [/quote]      [url="http://by17fd.bay17.hotmail.msn.com/cgi-bin/saferd?_lang=FR&hm___tg=http%3a%2f%2f64%2e4%2e43%2e250%2fcgi%2dbin%2fgetmsg&hm___qs=curmbox%3dF000000001%26a%3dce190398e1108d72e4a133ed9fb33a49%26msg%3dMSG1082738943%2e56%26start%3d359322%26len%3d43590%26mimepart%3d3%26disk%3d64%2e4%2e43%2e30_d321%26login%3dstuntman017%26domain%3dhotmail%252ecom%26_lang%3dFR%26country%3dFR&domain=hotmail.com"]Content-Type: message/delivery-status[/url]             [url="http://by17fd.bay17.hotmail.msn.com/cgi-bin/saferd?_lang=FR&hm___tg=http%3a%2f%2f64%2e4%2e43%2e250%2fcgi%2dbin%2fgetmsg&hm___qs=curmbox%3dF000000001%26a%3dce190398e1108d72e4a133ed9fb33a49%26msg%3dMSG1082738943%2e56%26start%3d359322%26len%3d43590%26mimepart%3d4%26disk%3d64%2e4%2e43%2e30_d321%26login%3dstuntman017%26domain%3dhotmail%252ecom%26_lang%3dFR%26country%3dFR&domain=hotmail.com"]Content-Type: message/rfc822[/url]     var SaveAddLink = '/cgi-bin/domsgaddresses?curmbox=F000000001&a=ce190398e1108d72e4a133ed9fb33a49&msg=MSG1082738943.56&start=359322&len=43590&action=Modify&msg=MSG1082738943.56'; function DoPrintFriendly() { if (document.attachbody) document.attachbody.submit(); else window.location.replace("http://by17fd.bay17.hotmail.msn.com/cgi-bin/getmsg?curmbox=F000000001&a=ce190398e1108d72e4a133ed9fb33a49&msg=MSG1082738943.56&printf=1"); }     [b]De&nbsp;:&nbsp;[/b]        <stuntman017@hotmail.com>  &nbsp;   [b]À&nbsp;:&nbsp;[/b]        general@mthreedev.com  &nbsp;  [b]Objet&nbsp;:&nbsp;[/b]        Re: important  &nbsp;  [b]Envoyer&nbsp;:&nbsp;[/b]        vendredi&nbsp;23&nbsp;avril&nbsp;2004&nbsp;16:47:36  &nbsp;  [b]Pièces&nbsp;jointes&nbsp;:[/b]  text_general.exe&nbsp;(40 Ko)  &nbsp;MIME-Version: 1.0 

Received: from mthreedev.com (d213-103-148-203.cust.tele2.ch [213.103.148.203])by r1m2.servercentral.net (8.10.2/8.10.2) with ESMTP id i3NGkt617625for general@mthreedev.com; Fri, 23 Apr 2004 11:46:57 -0500
Return-Path: stuntman017@hotmail.com
Message-Id: 200404231646.i3NGkt617625@r1m2.servercentral.net
X-MSMail-Priority: Normal Content-Type: multipart/mixed; boundary="----=_NextPart_000_0016----=_NextPart_000_0016" MIME-Version: 1.0Received: from mthreedev.com (d213-103-148-203.cust.tele2.ch [213.103.148.203])by r1m2.servercentral.net (8.10.2/8.10.2) with ESMTP id i3NGkt617625for general@mthreedev.com; Fri, 23 Apr 2004 11:46:57 -0500Return-Path: stuntman017@hotmail.comMessage-Id: 200404231646.i3NGkt617625@r1m2.servercentral.netX-MSMail-Priority: Normal Content-Type: text/plain; charset=“Windows-1252” Content-Transfer-Encoding: 7bit Please read the document. [/quote]

Ce message a été édité par stuntman le 27/04/2004

Les FAI et les fournisseurs de boites mail commencent à s’équiper d’antivirus automatiques qui expurgent les mails vérolés. A mon avis ton message vient d’un système de ce genre. Et c’est sans doute pas toi le gars infecté, mais comme le dit le mail, un type qui t’a dans son carnet d’adresse.

il me semble que netsky peut faire semblant d’utiliser une adresse mail pour se diffuser, le fait que ce soit une adresse à toi n’implique pas forcément que tu soit infecté.
par contre, que ton adresse serve pour envoyer le virus, ça me parait probable (d’où le message que tu reçois)

J’en recu aussi quelques uns.
Pour moi l’explication est la suivante :
Quelq’un est vérolé , tu dans son carnet d’adresse ( ou ton adresse traines en clair dans un fichier chez lui (cache d’IE…), le virus se propage via son PC par mail mais en faisant croire qu’il vient de toi .
Il est envoyé , entre autres, à un user qui à un serveur de mail bien sécurisé, lequel serveur rejettte le mail et t’en informe

Voila
C’est plausible non ?

EDIT: j’ai été trop lent, mais les autres confirme mond idée. Hein , pas à posteriori, mais à priori ? Ok, c’est moi qui confirme leur message en fait …
Ce message a été édité par Lukkant le 27/04/2004

Merci pour vos reponse, en fait je pensai a un peu la meme chose aussi.
Comme sur le site de symantec il est repertorier niveau 3.
Donc j’ai pas a m’inquieter, a la limite je reposte si j’ai un autre message du genre.

il m’est arrive la meme chose avec un mail que j’aurais envoye a ma fac, et apres discussion avec nos informaticiens ils m’ont dit si je me rapelle bien que c’etait le serveur qui repondait automatiquement

Un Spammeur t’envoit un mail en te faisant croire que c’est toi qui a envoyé ce mail. C’est super simple à faire, vu comment les mails sont peu securisés.
Du coup, tu peux te dire que tu avais quelque chose à voir avec ce mail (genre un mail que tu avais envoyé et qui te revient parce que tu t’es trompé dans le destinataire, etc.). Je vois qu’un fichier .exe est attaché au mail, donc clairement un virus.
Je reçois de plus en plus de mails vérolés (et non pas virusés) qui reprend l’avetissement d’un serveur mail en cas d’erreur.
Les Spammeurs évoluent, modifient leurs habitudes. Ptêt qu’un jour ils viendront directement chez toi pour double-cliquer sur la pièce jointe vérolé

[quote]Quelq’un est vérolé , tu dans son carnet d’adresse ( ou ton adresse traines en clair dans un fichier chez lui (cache d’IE…), le virus se propage via son PC par mail mais en faisant croire qu’il vient de toi . Il est envoyé , entre autres, à un user qui à un serveur de mail bien sécurisé, lequel serveur rejettte le mail et t’en informe[/quote]C’est quasiment exactement ça. Le virus récupère l’adresse dans les fichiers textuels et autres lisibles facilement et s’auto-envoie à ceux-ci en mélangeant allègrement expéditeurs et destinataires.

Le mieux, c’est d’envoyer des plaintes au FAI du bourreau en envoyant l’entête du mail que tu reçoit. Pour savoir comment consulter l’entête, une explication se trouve ici : http://assistance.wanadoo.fr/reponse206.asp et pour savoir qu’elle IP se cache derrière, va voir là : http://assistance.wanadoo.fr/reponse207.asp

Certains FAIs font des choses, surtout en France grâce à l’AFA.

Et après 3 à 4 plaintes envoyés (mais j’imagine n’avoir pas été le seul), et bien tu reçevra ce genre de mail : 

Bonjour,
Nous avons bien réceptionné votre mail relatif à la transmission de virus par un de nos abonnés.
Nous vous remercions d’avoir porté ces faits à notre connaissance et vous informons que le nécessaire a été effectué auprès de l’utilisateur fautif : son accès a été résilié ce jour.

Cordialement,
Service Abuse Wanadoo 

Et au revoir Monsieur j’ai pas sécurisé ma machine après 3 avertissements en 3 semaines!

Je suis admin Domino dans ma boite et je reçois environ 400 messages de ce genre par jour. En effet, il proviennent d’une machine infecté mais il est tres dur de tracer l’origine car le virus utilise sont propre serveur SMTP pour s’expedier. Il prends des identités aléatoires parmis ce qu’il a glané dans le carnet d’adresse d’une machine. Cela signifie en gros que la personne dont la machine est infecté est relativement proche de vous car Netsky a bien récupéré votre adresse quelque part.

Ces messages infectés sont en général désinfectés par les anti virus des providers d’ou le gros pb qu’il occasionnent…

1 - Ils continuent leur chemin… ils ne sont interceptés par aucun antivirus local car non dangereux… et finissent en général dans les boites des utilisateurs qui s’en inquietent, même s’il ne sont plus dangereux…
2 - Si un virus se fait passer pour vous ou vous choisi comme destinataire, beaucoup de serveur Mail protégés par anti virus envoient a l’expediteur et au destinataire une alerte… soit 2 fois plus de messages…

Dans mon cas les messages, etant filtrés par Trend, ont toujours le même type d’entête et arrivent sur le serveur Domino, la j’ai installé des filtres analysant le contenu du message et le rejetant si ce n’est qu’un message d’avertissement. 2eme effet Kisscool comme le message a etait intercepté par l’AV du serveur d’email, le destinataire et l’emeteur (qu’ils existent ou pas) recoivent une alerte du type “Vous avez envoyé un virus” ou “Telle personne vous a envoyé un virus”… J’ai du désactiver certaines alertes et jouer avec les regles des messages d’alerte pour différencier les “vrais” interceptions de virus des interceptions de message d’alerte…

Génial…

A savoir, MyDoom et Netsky ont généré l’envoie d’environ 60 milliards d’email en quelques mois…
Ce message a été édité par steph___leto le 28/04/2004

[quote]2 - Si un virus se fait passer pour vous ou vous choisi comme destinataire, beaucoup de serveur Mail protégés par anti virus envoient a l’expediteur et au destinataire une alerte… soit 2 fois plus de messages…

Dans mon cas les messages, etant filtrés par Trend, ont toujours le même type d’entête et arrivent sur le serveur Domino, la j’ai installé des filtres analysant le contenu du message et le rejetant si ce n’est qu’un message d’avertissement. 2eme effet Kisscool comme le message a etait intercepté par l’AV du serveur d’email, le destinataire et l’emeteur (qu’ils existent ou pas) recoivent une alerte du type “Vous avez envoyé un virus” ou “Telle personne vous a envoyé un virus”… J’ai du désactiver certaines alertes et jouer avec les regles des messages d’alerte pour différencier les “vrais” interceptions de virus des interceptions de message d’alerte…

Génial…[/quote]Ouai il serait temps que tous les admins desactivent ces notification d’envoi de virus ! c’est lourd.

Et ça fait peur à tata ginette les messages de ce genre.