Bonjour !
 
quelqu'un aurait-il réussi à mettre en place un filtre efficace pour les mails envoyés par Swen ?
J'en reçois beaucoup en ce moment, et comme l'antivirus serveur n'est pas à jour, rien n'est bloqué.
En plus, les headers changent constamment, impossible de filtrer pour moi. Néanmoins, si kk1 a une solution pour filtrer je suis preneur !
 
Pour ceux qui n'ont pas encore entendu parler de swen :  
http://www.avp.ch/avpve/worms/email/swen.stm
 
Mettez vite à jour vos antivirus en tout cas !
--  
lomba

+1  

 
bonjour  
 
comment ca ce fait que je recois ce message
 
 
I'm sorry the message returned below could not be delivered to the following addresses:
 
 
Undeliverable to fmriuemn@yahoo.com  
 
avec comme piece jointe en txt
 
-------------------------------VIRUS ALERT ------------------------------------
 
aauuazf.exe is removed from here because it contains a virus.
Found virus WORM_SWEN.A in file aauuazf.exe
The file aauuazf.exe is moved to /global/sunone/5/messaging/msg-mail/log/virus/178338415.tar.
 
For any questions, contact CIE (+352 49925 680)
 
---------------------------------------------- CIE ANTIVIRUS CONTROL ----------
 
 
alors que mon antivirus n'a rien intercepté ?
 
merci

C'est les passerelles de filtrage des autres sociétés. Celles-ci constatent via ton adresse émail (usurpation) que tu essayes d'envoyer un virus. Il te retourne un message comme quoi le message a été désinfecté ou placé en quarantaine!
 
PS : Il faut mettre à jour ton antivirus sinon tu fais face à des problèmes...
 
Information :W32/Gibe-F est un ver qui se propage en s'envoyant par e-mail via son propre moteur SMTP, en se copiant dans le dossier partagé du logiciel peer-to-peer KaZaA et via les canaux IRC.  
 
Si le ver est exécuté avec un nom de fichier commençant par un P, Q, U ou I (majuscule ou minuscule), W32/Gibe-F affiche le message suivant :  
 
"Microsoft Internet Update Pack
This update does not need to be installed on this system."  
 
Le ver se copie ensuite dans le dossier Windows sous la forme d'un fichier exécutable au nom aléatoire en minuscules (par exemple, jlfsm.exe) et ajoute une entrée dans le registre dans  
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run pour s'exécuter au redémarrage du système.  
 
Le ver change par ailleurs les entrées du registre dans :  
 
HKCR\exefile\shell\open\command
HKCR\regfile\shell\open\command
HKCR\comfile\shell\open\command
HKCR\batfile\shell\open\command
HKCR\pifile\shell\open\command
HKCR\scrfile\shell\open\command
HKCR\scrfile\shell\config\command  
 
de manière à ce qu'il soit exécuté avant tout fichier EXE, COM, PIF, BAT, SCR et affiche un faux message d'erreur lors de la lecture des fichiers REG.  
 
W32/Gibe-F se copie dans le dossier partagé KaZaA en prenant plusieurs noms de fichiers (par exemple, "WINZIP UPLOAD.EXE" ).  
 
W32/Gibe-F tente de terminer les processus associés aux logiciels antivirus ou de sécurité.

depuis que j'ai mis norton à jour voici le nom qu'il donne.
 
Worm.Automat.AHB est-ce le meme que WORM_SWEN.A ou est-ce un autre virus ?
 
merci

 
Filtres bayesiens p0w4hhhhhhh

Moi, je suis bombardé de virus depuis deux jours. Ma messagerie commence à saturer avec ces conneries.
Comment je peux faire pour ne plus être bombardé ? Couper le fil de téléphone connexion internet, c'est pas cool.

 
W32/Gibe-F Aliases W32/Swen.A@mm, I-Worm.Swen, Worm.Automat.AHB (cf. http://www.sophos.com/virusinfo/an [...] bef.html).
 
La réponse est oui !

 
et tu fais ca comment ?

tous ceux qui se font infectés dit moi que vous avez toutes les mise a jour MS      
 
 
http://actualite.free.fr/actu.pl?d [...] 030919.XML
 
 
 
Le ver utilise une faille de sécurité du navigateur de Microsoft, découverte il y a deux ans, et ne touche donc que les internautes qui n'ont pas effectué la mise à jour de sécurité, précise cependant l'éditeur de logiciels antivirus.
 

et il est où ce patch sorti par krosoft il y a deux ans?
 
j'ai fait toutes les maj sécurité et je suis touché par swen  

 
tu est exposer mais pas contaminé.
 
en clair c'est comme si la tuberculose contamine 1 personne qui a son vaccin à jour et une autre qui n'a jamais fait de vaccin.

 
ca empeche pas les mails d'arriver  

 
mais ca evite l'infection et la propagation de la maladie sur ton pc vue qu'il est vacciné.

Mais comment arrêter ce flot de mail avec les virus ?

Ben faut faire une désinfection de ta machine et tenir ton antivirus a jour .
 
Edit  : j utilise Trend et NAV  remarque : NAV bcp plus réactifs que Trend

 
Absolument pas, la faille dont tu parles est des moyens utilisés par le ver pour se propager, mais ca n'est pas le seul : il se sert de cette faille, mais aussi du mail, de kazaa, de l'IRC... Si tu executes la piece jointe du mail envoyé par un PC infecté, patché ou pas patché tu te feras veroller.

 
Si le virus fait autant de dégats avec le patch ou sans le patch MS dans ce cas le patch ne sert à rien.
 
car le but de ce patch est justement de combler la faille en question

 
le sujet du topic n'est pas de se protéger, mais de filtrer les mails qu'il génère...
 
Pour le vacciner un peu de bon sens suffit, vu qu'il est caché dans les pièces jointes

 
Et surtout sans antivirus sur le serveur, sinon tout est plus facile
A priori, les messages ont le champ subject en majuscule (SUBJECT et d'après certaines connaissances, le from et le to (pas chez moi). Y'a peut être moyen de filtrer là dessus, mais faut avoir une grande liberté dans les filtres, c'est pas gagné chez tous les ISP...
 
--  
lomba

 
T'as toujours pas compris, le fait d'etre patché ne protegera que contre l'infection par d/l et exucution automatique d'une page web, les autres moyens d'infections (email, kazaa et autre) ne se serve pas du tout de cette faille pour infecter le PC.

 
pour IRC je veux bien mais pour KAZAA ceux qui se font contaminer par KAZAA je dis qu'ils ont bien cherché car quand tu sais à quelle utilisation est destinée KAZAA.

 
http://www.microsoft.com/france/se [...] _virus.asp    

putain vous faites chier avec votre windows de merde ! toutes mes boites sont remplies de cette saloperie !  

...
non non rien  
 

 
bah si t'as rien à dire faut pas te sentir obliger de poster  

avec 4 gros mots en une phrase c'est vrai que ton intervention était super instructive.
de toutes façon associées à ton pseudo les réponses sont rarement différentes...

créer une règle pour refuser les mails avec pièce jointe

c'était pas là pour être instructif
si tu sais pas faire la dif entre une info et un coup de gueule, je peux vraiment rien faire pour toi
 

tu m'as cassé là  

je n'ait pas reçu cet email. Est-ce normal?

 
le bute d'une boite email c'est que windows la remplie et que toi tu la vide sinon je vois pas l'interet d'une boite email si c'est pour quelle reste vide.

F18, je crois que t'as pas suivi...

 
j'ai pas besoin de windows pour me la remplir  

"et ne touche donc que les internautes qui n'ont pas effectué la mise à jour de sécurité" Ah oui ?? Ben moi je les ai faites... et je suis bombardé ! On se croirait à Hanoï sous les B-52    
 
Le fichier popupsp.ini du répertoire d'instal d'MIRC a été touché. Seul Trend Micro en ligne me l'a détecté, sans pouvoir le réparer. Même Panda en ligne ne l'a pas vu.  
 
Ca commence à gonfler

"Si tu executes la piece jointe du mail envoyé " : moi, pas exécuté (bien sûr ) -> infecté qd-même !

Eh ! Tovaritch (camarade, en Russe) : c'est pas NOTRE Windows  
Et de tte façon tt le monde sait bien que la plupar des virus sont fabriqués... par les éditeurs d'AV  

Une petite URL en passant, ou comment virer cette daube de swen.
 
W32.Swen.A@mm Removal Tool

ah bon?

 
Non, pas besoin de l'exécuter si ton système n'est pas à jour et que tu autorises encore les mails en HTML. Le virus utilise une faille dans les iframes et t'infecte dans ce cas. Donc tu débranches ton PC du net, tu nettoies et tu patches
 
--  
lomba