Un collègue a ouvert une pièce jointe en xml (ouverture avec IE donc) qui était dans un de ces mails (après le doc et le docm, ils changent) au sujet d'un fax qu'on aurait reçu (logique n'est ce pas ?). MSE n'a pas râlé mais je me demande si il n'y a pas eu d'impact.
Quelqu'un sait ce que font ces pièces jointes en xml ?
Guillaume Hilt
Le 21/07/2015 12:14, Aymeric a écrit :
Bonjour,
On 20/07/2015 14:51, Franck Routier wrote:
Bonjour,
je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez convaincants (en français, avec logo légitimes, etc...) contenant des pièces jointes au format Word. Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus détectent un malware :
En ce qui me concerne j'en reçois depuis plus d'un mois de manière régulière, par vague. SpamAssassin me les envoient dnas le dossier spam sans la moindre question. A chaque fois les fichiers sur VirusTotal ne sont pas ou peu détecté le jour même et j'en ai déjà transféré une bonne partie à ClamAV (mais je n'ai pas de retour).
Constatez-vous le même type d'activité ? Avez-vous une idée du type de malware dont il s'agit ? (Office / Windows only ?)
De ce que je reçois, les .doc sont en fait des fichiers très proche du format EML qui contiennent une PJ nommée editdata.mso qui est la partie détecté par quelques Antivirus en tant que W97M.
J'ai repris un .doc reçu le 01/07 : Le 01/07/2015 sur virustotal il était détecté par 2 sur 55 des antivirus. Aujourd'hui 24 sur 55.
Avec LibreOffice le .doc est traité comme .txt, n'ayant pas de Windows je n'ai aucune idée de ce que ça fait avec Word…
Aymeric.
NB :
L'analyse du ".doc" reçu le 01/07 : https://www.virustotal.com/en/file/d429f0fb215e0069bc3cabf9d60b98048037da65f...
L'analyse du .mso contenu dans le ".doc" : https://www.virustotal.com/en/file/6bf6815b6dacb2eae6a44b36b40030e9f4f6a601f... _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/