On Mon, 20 Jul 2015 14:51:10 +0200 Franck Routier franck.routier@axege.com wrote:
| je suis inondé (plusieurs dizaines) depuis quelques jours de spam assez | convaincants (en français, avec logo légitimes, etc...) contenant des | pièces jointes au format Word. | Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne détecte | rien. Sur https://www.metascan-online.com, seuls 4 des 44 anti-virus | détectent un malware :
On a a 2 ou 3 nouvelles versions tous les jours de la semaine (pas le we) depuis la semaine dernière. Les anti-virus ne les détectent pas aussitôt car c'est a chaque fois une nouvelle variante. Pour DrWeb, c'est la souche: W97M.DownLoader.XXX. Ils en sont à la 502eme versions :-(
Par contre, quand on en repère une version, il "suffit" de filtrer sur le Message-ID qui est toujours le même pour chaque salve.
Actuellement on bloque: /^Message-Id: <74f9d9.89taar@APMUZE1RMC11-PROD.zres.ztech>$/ REJECT Virus /^Message-Id: <bad688d1.2Jm.nVZ.2Q.frEZJ8@mailjet.com>$/ REJECT Virus /^Message-ID: <021b01d0bfcf.e59afe60.b0d0fb20.@com>$/ REJECT Virus /^Message-Id: <201507161513.t6GFDWc0020909@mail.cegid.com>$/ REJECT Virus /^Message-ID: <CACtsHw842A0DawxwTEm1uxhL7.ti360yKsDmT5YJ4uHdLE.AQA@mail.gmail.com>$/ REJECT Virus
| Constatez-vous le même type d'activité ? Avez-vous une idée du type de | malware dont il s'agit ? (Office / Windows only ?)
Des détails ici: http://regenerus.com/malware-analysis/w97m-downloader-vba-macro-downloader/ J'avais une url plus complete mais je l'ai égarée :-(
Manuel Guesdon
-- ______________________________________________________________________ Manuel Guesdon - OXYMIUM