On 21/07/2015 15:42, Guillaume Hilt wrote:
> Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc)
> qui était dans un de ces mails (après le doc et le docm, ils changent)
> au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?).
> MSE n'a pas râlé mais je me demande si il n
Bon, ça s'ouvre en texte, donc RAS et on a pas la suite office de toute
façon.
C'est un trojan downloader.
Guillaume Hilt
Le 21/07/2015 15:42, Guillaume Hilt a écrit :
Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc)
qui était dans un de ces mails (après le doc et le doc
Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc)
qui était dans un de ces mails (après le doc et le docm, ils changent)
au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?).
MSE n'a pas râlé mais je me demande si il n'y a pas eu d'impact.
Quelqu'un sait ce que font
Bonjour,
On 20/07/2015 14:51, Franck Routier wrote:
> Bonjour,
>
> je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez
> convaincants (en français, avec logo légitimes, etc...) contenant des
> pièces jointes au format Word.
> Mon antivirus (clamav avec signatures securiteinfo.
> Il suffisait d'en parler ... Et depuis ce matin, la saloperie est revenue
> avec des PJ en .docm !
Je ne sais pas si c'est le cas chez vous aussi mais j'ai pas mal de payload qui
sont hébergés sur des sites en français.
Denis
___
Liste de diffusion d
Le 21 juillet 2015 08:07, Guillaume Hilt a écrit
:
> C'est ce que j'ai fait, j'ai bloqué les PJ en .doc, et on en a plus aucun.
>
Il suffisait d'en parler ... Et depuis ce matin, la saloperie est revenue
avec des PJ en .docm !
___
Liste de diffusion d
C'est ce que j'ai fait, j'ai bloqué les PJ en .doc, et on en a plus aucun.
De toute façon on utilise OpenOffice donc on est pas concerné.
Et pour les mails externes, c'est très rare qu'on doive en recevoir,
c'est généralement du PDF et l'erreur qu'ils reçoivent, le cas échéant,
est assez explic
Le lundi 20 juillet 2015 à 15:45 +0200, Alarig Le Lay a écrit :
> On Mon Jul 20 15:39:24 2015, Olivier Bonvalet wrote:
> > Ça résume parfaitement. Pour ma part j'utilise les greylist, mais
> > uniquement si le serveur en face n'a pas l'air d'être un MX.
> >
> > Genre s'il y a la moindre déclaratio
Bonjour,
Ci joint notre plugin Spamassassin :
- il scanne les archives en pièce jointe (.zip, .rar) et capte celles qui
contiennent un fichier louche
- il scanne les .doc pour détecter les macros et déterminer si c'est louche
ou pas
loadplugin Mail::SpamAssassin::Plugin::ArchiveScan
/etc
Hello,
Non testée, mais est-ce que bannir uniquement les .doc/xls/whatever envoyé
en application/octet-stream ne serais pas une bonne idée ?
En principe c'est plutôt ca le mime type pour un docx :
application/vnd.openxmlformats-officedocument.wordprocessingml.document
@+
Nathan
_
Le 20/07/2015 14:51, Franck Routier a écrit :
> Bonjour,
>
> je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez
> convaincants (en français, avec logo légitimes, etc...) contenant des
> pièces jointes au format Word.
> Mon antivirus (clamav avec signatures securiteinfo.com 0 d
> Benjamin Sonntag a sorti une empreinte pour clamav qui marche pour une
> partie des saloperies qui circulent en ce moment :
>
> https://benjamin.sonntag.fr/Signature-antivirus-Clamav
>
De mon côté, j'essaie d'intégrer le script olevba.py à Amavis. Si le résultat
n'est pas "No VBA macros found.
EGROPONTES
- Mail original -
De: "Manuel Guesdon"
À: "Pierre DOLIDON"
Cc: frsag@frsag.org
Envoyé: Lundi 20 Juillet 2015 15:48:40
Objet: Re: [FRsAG] Spam + virus
Par ailleurs, une immense proportion de ces virus sont émis par des serveurs
qui n'ont pas de reverse DNS
Le Mon, Jul 20, 2015 at 02:51:10PM +0200, Franck Routier
[franck.rout...@axege.com] a écrit:
> Bonjour,
>
> je suis inondé (plusieurs dizaines) depuis quelques jours de spam
> assez convaincants (en français, avec logo légitimes, etc...)
> contenant des pièces jointes au format Word.
> Mon antivi
rebonjour,
Le 20 juillet 2015 15:16, Xavier Beaudouin a écrit :
> >> A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx...
>
> > Malheureusement impossible en milieu pro, les clients s'échangent ce
> genre de
> > documents chaque jour.
>
> Après de l’éducation des "milieu pro" peut-être une b
On Mon, 20 Jul 2015 15:31:25 +0200
Pierre DOLIDON wrote:
>| Le 20/07/2015 15:25, Alarig Le Lay a écrit :
>| > On Mon Jul 20 15:12:36 2015, Pierre DOLIDON wrote:
>| >> Salut
>| >>
>| >> j'ai BL les IP qui m'envoyaient leurs saloperies
>| >>
>| >> -A INPUT -s 50.250.38.225/32 -j DROP
>| >> -A INPUT
On Mon Jul 20 15:39:24 2015, Olivier Bonvalet wrote:
> Ça résume parfaitement. Pour ma part j'utilise les greylist, mais
> uniquement si le serveur en face n'a pas l'air d'être un MX.
>
> Genre s'il y a la moindre déclaration DKIM valide, ou SPF qui match
> (même en best-guess), voir IP présente d
> Le greylist est efficace. voir même trop.
> Avec Gmail, tes mails peuvent être délayés de plusieurs heures, (pour
> pas dire un ou 2 jours !)
Ça résume parfaitement. Pour ma part j'utilise les greylist, mais
uniquement si le serveur en face n'a pas l'air d'être un MX.
Genre s'il y a la moind
Le 20/07/2015 15:25, Alarig Le Lay a écrit :
On Mon Jul 20 15:12:36 2015, Pierre DOLIDON wrote:
Salut
j'ai BL les IP qui m'envoyaient leurs saloperies
-A INPUT -s 50.250.38.225/32 -j DROP
-A INPUT -s 202.85.38.184/32 -j DROP
-A INPUT -s 119.77.209.173/32 -j DROP
-A INPUT -s 60.251.133.50/32 -j
On Mon Jul 20 15:12:36 2015, Pierre DOLIDON wrote:
> Salut
>
> j'ai BL les IP qui m'envoyaient leurs saloperies
>
> -A INPUT -s 50.250.38.225/32 -j DROP
> -A INPUT -s 202.85.38.184/32 -j DROP
> -A INPUT -s 119.77.209.173/32 -j DROP
> -A INPUT -s 60.251.133.50/32 -j DROP
> -A INPUT -s 178.23.209.9
Le lundi 20 juillet 2015 à 15:02 +0200, Xavier Beaudouin a écrit :
> Hello,
>
> A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx...
>
> Voila... voila... ou les mettre en quarantaine par défaut.
>
> Xavier
>
Pas idiot ça. Sans aller jusqu'à les bloquer, je vais déjà augmenter le
facteur
Hello,
>> Hello,
>> A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx...
> Malheureusement impossible en milieu pro, les clients s'échangent ce genre de
> documents chaque jour.
> Cette attaque est compliqué car effectivement, le trojan intégré est mutant et
> change chaque jour, donc les si
ui
> aide un peu.
>
>
>
> JP
>
> --
>
> Jean-Philippe GUIOT
>
> Skype :jp.guiot- Twitter :jpguiot <https://twitter.com/jpguiot>
>
>
>
> *De :*FRsAG [mailto:frsag-boun...@frsag.org] *De la part de* MOBILIA Anael
> *Envoyé :* lundi 20
4:59
*À :* frsag@frsag.org
*Objet :* Re: [FRsAG] Spam + virus
Salut Franck,
C’est un problème relativement global dixit les ml OVH.
Cette attaque dure depuis plusieurs jours (certains parlent de
semaine), avec des spams très très bien fait et dont les
pièces-jointes sont systématiquement des fi
Bonjour,
on en reçois aussi beaucoup chez nous. Clamav laisse tout passer aussi.
Comme à chaque vague de spams les fichiers ont un nom et une structure
différente, on bloque les .doc (mais uniquement les .doc, on a rien repéré
dans des docx) dans postfix momentanément le temps que ça se calme et
Le 20 juillet 2015 15:02, Xavier Beaudouin a écrit :
> Hello,
> A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx...
>
Malheureusement impossible en milieu pro, les clients s'échangent ce genre
de documents chaque jour.
Cette attaque est compliqué car effectivement, le trojan intégré est m
tps://twitter.com/jpguiot> jpguiot
De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de MOBILIA Anael
Envoyé : lundi 20 juillet 2015 14:59
À : frsag@frsag.org
Objet : Re: [FRsAG] Spam + virus
Salut Franck,
C’est un problème relativement global dixit les ml OVH.
Cette attaque dure
Idem.
Jérôme
De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de MOBILIA Anael
Envoyé : lundi 20 juillet 2015 14:59
À : frsag@frsag.org
Objet : Re: [FRsAG] Spam + virus
Salut Franck,
C’est un problème relativement global dixit les ml OVH.
Cette attaque dure depuis plusieurs jours
Hello,
A mon humble avis : deny *.doc, *.docx, *.xls, *.xlsx...
Voila... voila... ou les mettre en quarantaine par défaut.
Xavier
> De: "MOBILIA Anael"
> À: frsag@frsag.org
> Envoyé: Lundi 20 Juillet 2015 14:59:21
> Objet: Re: [FRsAG] Spam + virus
> Salut Fra
Hello,
J'en reçois aussi beaucoup, aucun en Inbox, tous en SPAM. (c'est google qui
se charge de tout)
Samuel
Le 20 juillet 2015 14:51, Franck Routier a écrit
:
> Bonjour,
>
> je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez
> convaincants (en français, avec logo légit
À : frsag@frsag.org
Objet : [FRsAG] Spam + virus
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez
convaincants (en français, avec logo légitimes, etc...) contenant des pièces
jointes au format Word.
Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez
convaincants (en français, avec logo légitimes, etc...) contenant des
pièces jointes au format Word.
Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte
rien. Sur https://www.metascan-online.c
32 matches
Mail list logo
