On Sat, Sep 27, 2003 at 11:37:38PM +0200, Bruno Treguier wrote: > On Sat, Sep 27, 2003 at 04:34:02PM +0200, Gregoire Cachet wrote: > > > > les couriers envoyés ne passent pas forcément par le FAI !! Swen > > n'installerait-il pas un semblant de serveur smtp capable d'envoyer des > > mails sur la machine malade ? C'est ce que j'ai cru comprendre en lisant > > les entetes de mails, certains proviennent de machines banalement > > connectées au net dont les dns appartiennent a des providers (genre > > *abo.wanadoo.fr) > > C'est effectivement ce qu'il fait, comme beaucoup de virus actuellement, > le but étant justement de passer par le moins de relais possible, qui > sont autant d'obstacles à sa propagation...
Oups, je modère ma réponse: après examen de certains e-têtes de Swen reçus ici, il y a effectivement dans certains cas un autre en-tête "Received:"... Le tout est de savoir si cet en-tête n'est pas tout simplement forgé pour faire croire à un passage via un relais... Car curieusement, l'IP citée est effectivement souvent dans le même réseau que celle de l'en-tête "Received" rajoutée par notre relais local, mais cette adresse ne correspond jamais à un MX connu. Ca peut aussi être un MX interne au FAI, bien entendu... Le mystère reste entier. :-) Mais ce n'est pas très logique, pour un virus "évolué", de passer par des relais au risque de se faire stopper par un anti-virus ! Bruno -- -- Service Hydrographique et Oceanographique de la Marine --- EPSHOM/CIS/MIC -- 13, rue du Chatellier --- BP 30316 --- 29603 Brest Cedex, FRANCE -- Phone: +33 2 98 22 17 49 --- Email: [EMAIL PROTECTED]
