[Trojan] Les logiciels ne le degage pas.

Fermé

blackifr - 9 août 2017 à 10:11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 9 août 2017 à 14:00

Bonjour,

Aujourd'hui un gars du bureau m'a dit qu'il recevait des mails de sa propre adresse emails et qu'il s'agissait de spam.
C'est une adresse pro, je lui fait changer le mot de passe en ce moment voir s'il quelqu'un ne l'utiliserai pas (bizarre parce que toute la boite est dans son répertoire mais il y n'y a que lui qui reçoit "ses" propres mails)

Bref du coup mon petit doigt me dis qu'il doit y avoir une ou deux "merde" sur le pc. J'pense à un trojan parce qu'outlook reçoit des mails. Du coup est ce que faire tourner wireshark toute la journée et voir la concordance d'un pop3 avec la date du mail pourrait être utile ? j'peux retrouver l'ip/le fichier qu'utilise le trojan si je trouve les paquets qu'il envoient ?

Si je fait un netstat, il est possible que le trojan ouvre un port et le referme juste apres le mail non ?

Deplus malwarebyte, roguekiller, spywarehunter, spywerblaster, spywareguard etc... ne trouve rien, il va falloir l'enlever a la main. Si ça dit quelque chose a certain je peux mettre le log fait avec hijackthis si ça vous aide.

Le mail de spam est du type :

Phrase d'accroche sexuelle (toujours la même)
mon nom est : [Nom qui change a chaque mail]

Pour voir mes photos, clic sur le lien en dessous
<lien ou il ne faut pas cliquer>

En vous remerciant pour de futurs réponses
Cordialement
Black

A voir également:

[Trojan] Les logiciels ne le degage pas.
Trojan remover - Télécharger - Antivirus & Antimalwares
Trojan spyware ✓ - Forum Virus
Visualisez cette image avec un logiciel d'édition d'images. combien y a-t-il de pixels noirs sur le camion ? ✓ - Forum Python
Trojan wacatac ✓ - Forum Virus
Trojan agent ✓ - Forum Virus

1 réponse

Réponse 1 / 1

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié le 9 août 2017 à 10:12

Salut,

L'adresse de l'expéditeur ne veut rien dire, voir : https://forum.malekal.com/viewtopic.php?t=13809&start=

spywarehunter, spywerblaster, spywareguard

Ces programmes ne servent à rien.

Veuillez appuyer sur une touche pour continuer la désinfection...

blackifr
9 août 2017 à 10:17

Oui je suis d'accord. Mais en attendant s'il recoit un mail, il y'a bien un pop3 qui part du pc et un smtp en reception. moi j'veux savoir si je peux les recuperer avec un wireshark ou tcpview etc... si c'est utile aussi, si je peux retrouver l'emplacement du virus ^^

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > blackifr
Modifié le 9 août 2017 à 10:23

heu non, pop3 c'est un protocole pour consulter ses mails, tu te connectes avec une authentification et ça lit un dossier avec les mails, et ça te dit s'il y en a et supprime ou pas le mail une fois lu.

Là c'est un ordinateur ou serveur quelque part, qui envoie le mail avec un serveur SMTP, ça regarde le domaine de réception (celui de ton ami)... et se connecte au serveur SMTP qui traite se domaine pour le mettre dans le répertoire qui va bien pour qu'il soit consultable ensuite en POP3 ou IMAP.

L'ordinateur qui envoie le mail au départ, il peut mettre n'importe quoi comme mail d'expédition, comme toi dans la vie tu peux envoyer une lettre en mettant au dos ce que tu veux comme adresse... Laposte n'a aucun moyen de vérifier..

Toutefois, après il existe quelques méthodes pour limiter ce type d'envoi, comme SPF, DKIM etc
=> https://www.malekal.com/postfix-spf-dkim/

Bref, ce n'est pas parce que ce mail est lu sur cet ordinateur, que tous les mails de cette adresse sont forcément envoyé de cet ordinateur.

Blackifr
9 août 2017 à 13:56

Le mail passe donc qu'en local, néanmoins les mails sont différents à chaque fois. Soit il a une dose de mails pré-enregistrer et il incrément à chaque "envoi" soit il se connecte via un protocole random (ya qu'un port ouvert) dans ce cas un analyseur de réseau le verrai.
Jvais faire tourner wireshark et regarder les paquets qui circule que on recevra un nouveau mail
Sinon je coupe la connection et je regarde s'il en reçoit un.
Je précise que les heures de réception sont plus ou moins aléatoires.
Si le virus A une base de mail pre-enregistrer, quel moyen jai de le répérer ?

Cordialement
Black

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > Blackifr
9 août 2017 à 14:00

Les spambot ont pas de mail pré-enregistre, il se connecte à un serveur pour télécharger des templates.
Après j'ai pas compris ton histoire de local etc.
Pour voir les connexions smtp, ce sont les ports 25, 465, 587

tu as regardé l'en-tête des mails ? tu peux avoir l'IP émettrice.

Discussions similaires

Virus : trojan:win32/wacatac.h!ml

alternative à winzip ?

Comment supprimer le virus Trojan

C'est quoi "Win32:Trojan-gen {Other}"

code couleur associé a une image

Discussions similaires

Newsletters