[Trojan] Les logiciels ne le degage pas.
blackifr
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Aujourd'hui un gars du bureau m'a dit qu'il recevait des mails de sa propre adresse emails et qu'il s'agissait de spam.
C'est une adresse pro, je lui fait changer le mot de passe en ce moment voir s'il quelqu'un ne l'utiliserai pas (bizarre parce que toute la boite est dans son répertoire mais il y n'y a que lui qui reçoit "ses" propres mails)
Bref du coup mon petit doigt me dis qu'il doit y avoir une ou deux "merde" sur le pc. J'pense à un trojan parce qu'outlook reçoit des mails. Du coup est ce que faire tourner wireshark toute la journée et voir la concordance d'un pop3 avec la date du mail pourrait être utile ? j'peux retrouver l'ip/le fichier qu'utilise le trojan si je trouve les paquets qu'il envoient ?
Si je fait un netstat, il est possible que le trojan ouvre un port et le referme juste apres le mail non ?
Deplus malwarebyte, roguekiller, spywarehunter, spywerblaster, spywareguard etc... ne trouve rien, il va falloir l'enlever a la main. Si ça dit quelque chose a certain je peux mettre le log fait avec hijackthis si ça vous aide.
Le mail de spam est du type :
Phrase d'accroche sexuelle (toujours la même)
mon nom est : [Nom qui change a chaque mail]
Pour voir mes photos, clic sur le lien en dessous
<lien ou il ne faut pas cliquer>
En vous remerciant pour de futurs réponses
Cordialement
Black
Aujourd'hui un gars du bureau m'a dit qu'il recevait des mails de sa propre adresse emails et qu'il s'agissait de spam.
C'est une adresse pro, je lui fait changer le mot de passe en ce moment voir s'il quelqu'un ne l'utiliserai pas (bizarre parce que toute la boite est dans son répertoire mais il y n'y a que lui qui reçoit "ses" propres mails)
Bref du coup mon petit doigt me dis qu'il doit y avoir une ou deux "merde" sur le pc. J'pense à un trojan parce qu'outlook reçoit des mails. Du coup est ce que faire tourner wireshark toute la journée et voir la concordance d'un pop3 avec la date du mail pourrait être utile ? j'peux retrouver l'ip/le fichier qu'utilise le trojan si je trouve les paquets qu'il envoient ?
Si je fait un netstat, il est possible que le trojan ouvre un port et le referme juste apres le mail non ?
Deplus malwarebyte, roguekiller, spywarehunter, spywerblaster, spywareguard etc... ne trouve rien, il va falloir l'enlever a la main. Si ça dit quelque chose a certain je peux mettre le log fait avec hijackthis si ça vous aide.
Le mail de spam est du type :
Phrase d'accroche sexuelle (toujours la même)
mon nom est : [Nom qui change a chaque mail]
Pour voir mes photos, clic sur le lien en dessous
<lien ou il ne faut pas cliquer>
En vous remerciant pour de futurs réponses
Cordialement
Black
A voir également:
- [Trojan] Les logiciels ne le degage pas.
- Logiciels sauvegarde - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Télécharger logiciels gratuits pour pc - Télécharger - Montage photo
- Télécharger logiciels gratuits comment ça marche - Télécharger - Traitement de texte
- Adobe Reader - Télécharger - PDF
1 réponse
Salut,
L'adresse de l'expéditeur ne veut rien dire, voir : https://forum.malekal.com/viewtopic.php?t=13809&start=
spywarehunter, spywerblaster, spywareguard
Ces programmes ne servent à rien.
Veuillez appuyer sur une touche pour continuer la désinfection...
L'adresse de l'expéditeur ne veut rien dire, voir : https://forum.malekal.com/viewtopic.php?t=13809&start=
spywarehunter, spywerblaster, spywareguard
Ces programmes ne servent à rien.
Veuillez appuyer sur une touche pour continuer la désinfection...
Là c'est un ordinateur ou serveur quelque part, qui envoie le mail avec un serveur SMTP, ça regarde le domaine de réception (celui de ton ami)... et se connecte au serveur SMTP qui traite se domaine pour le mettre dans le répertoire qui va bien pour qu'il soit consultable ensuite en POP3 ou IMAP.
L'ordinateur qui envoie le mail au départ, il peut mettre n'importe quoi comme mail d'expédition, comme toi dans la vie tu peux envoyer une lettre en mettant au dos ce que tu veux comme adresse... Laposte n'a aucun moyen de vérifier..
Toutefois, après il existe quelques méthodes pour limiter ce type d'envoi, comme SPF, DKIM etc
=> https://www.malekal.com/postfix-spf-dkim/
Bref, ce n'est pas parce que ce mail est lu sur cet ordinateur, que tous les mails de cette adresse sont forcément envoyé de cet ordinateur.
Jvais faire tourner wireshark et regarder les paquets qui circule que on recevra un nouveau mail
Sinon je coupe la connection et je regarde s'il en reçoit un.
Je précise que les heures de réception sont plus ou moins aléatoires.
Si le virus A une base de mail pre-enregistrer, quel moyen jai de le répérer ?
Cordialement
Black
Après j'ai pas compris ton histoire de local etc.
Pour voir les connexions smtp, ce sont les ports 25, 465, 587
tu as regardé l'en-tête des mails ? tu peux avoir l'IP émettrice.