[Linux-bruxelles] Brave Clamav..

Fredux fredux at radiocampus.be
Lun 8 Aou 17:17:40 CEST 2016 

Bonjour Philippe,

désolé pour mon retour tardif sur votre aide précieuse, mais la prépa 
des 3 jours libristes au Village des Possible d'Esperanzah m'a bouffé 
pas mal de ressource.. système




Le 2016-07-29 01:15, PM a écrit :
> Bonjour Fredux,
> 
>    1.  Quel est le format du fichier / des fichiers dans le zip , (txt, 
> doc, odt, docx, autre ?)

un bête .doc dans un bête .zip

> 
>     2. Pourquoi utiliser Libreoffice et pas un éditeur genre notepad, 
> (qui n'executera pas de macro)

justement, exécuter les macros allait certainement donner une 
'signature'. Et de fait..(cfr plus bas)


> 
>     3. Document est vide de caractères (vide de caractères visibles) :  
> Créer avec Libreoffice un document vide et le sauver pour voir son 
> occupation,

je veux bien créer un .odt vide pour voir combien ça pèse. Mais je n'ai 
rien sous la main pour créer un .doc vide et comparer (".... Je ne suis 
pas fou...!"



> 
>     4. Si c'est dangereux pour Windows, ça peut être dangereux pour 
> Linux

certes, j'ai longuement hésité..





>  Je sais , tout ceci n'est pas la solution mais uniquement des 
> réflexions
> 
> Autre angle: demander une version de la facture dans un autre format 
> (jpg, png, txt , pdf)

nope, c'est une société de recouvrement de créance complètement bidon 
qui truande les gens trop naïfs. Et par mail pour continuer..


> Bonne soirée
> PIERRE


un tout grand merci donc pour ce super tuyau : hybrid-analysis.com !!!! 
J'en recommande vivement l'utilisation..
Maintenant le dossier est parti au CCU..


Congratulations! Your analysis is done and available at: 
https://www.hybrid-analysis.com/sample/95a950031221d3a66efb3dcfb367015921900347fa55ee82d4f461a6f83e063b?environmentId=100

--- VxStream Sandbox Analysis Summary ---

File Name: zhn64.zip
Analysis State: SUCCESS
Threat Verdict: malicious
Threat Score: 92/100
AV Detection Ratio: 53%
AV Family Name: W97M.Downloader
Time of analysis: 2016-07-29 16:24:05
File Size (bytes): 36352
File Type: Composite Document File V2 Document, Little Endian, Os: 
Windows, Version 6.1, Code page: 1251, Template: Normal.dot, Revision 
Number: 21, Name of Creating Application: Microsoft Office Word, Total 
Editing Time: 01:42:00, Create Time/Date: Sun May 29 17:58:00 2016, Last 
Saved Time/Date: Mon May 30 11:56:00 2016, Number of Pages: 1, Number of 
Words: 8, Number of Characters: 51, Security: 0
Contacted Domains: none
Contacted Hosts: none
Environment: Windows 7 32 bit (ID: 100)


Bonne semaine,
Fred








> 
> On 29-07-2016 00:34, Fredux wrote:
> 
>> Hello la liste,
>> 
>> une connaissance, après une arnaque à la carte de crédit en
>> vacances, se voit maintenant réclamer 900€ par une société de
>> recouvrement bidon. Le détail de la 'facture' par mail dans un
>> .zip.
>> Avast sonne l'alerte ! Trojan..
>> Je récupère la pièce jointe pour investiguer deep down sur un de
>> mon Handylinux, où je crains moins les dégâts que sur son win7.
>> J'installe et mets à jour Clamav. Je dézipe. Bingo :
>> Doc.Dropper.Agent-1430951..
>> 
>> Je tente farouchement d'ouvrir ces 34,8 ko dans LibreOffice, mais il
>> n’activera pas les macros pour des raisons de sécurité. Et le
>> document est vide de caractères... L'arnaque continue pour de bon.
>> 
>> voilà pour le contexte.
>> 
>> Voici pour ma demande :
>> Je n'y connais rien³ aux macros. Y aurai-t-il un risque quand bien
>> même c'est sur un OS gnu-linux, alors que ça a été conçu à 98%
>> pour du win$ ?
>> Quelle précaution prendre pour activer ces macros "sans risque" et
>> essayer de remonter aux sources de ce trojan, découvrir un nom, une
>> IP ? Ptêt via live-cd sur un ordi non connecté ? Qemu ?
>> 
>> Le but serait d'arriver à (dé)montrer à visa qu'il s'agit bien
>> d'une grosse arnaque, d'un abus de faiblesse (vente sous
>> contrainte), ensuite d'une tentative d"extorsion de fond et
>> d'infection volontaire d'ordi, à des fins qu'il faut encore
>> découvrir selon le champs d'action de ces macros.. Jusqu'à
>> présent, visa se dédouane et se retranche derrière le fait que la
>> première transaction a été est faite avec """"consentement""""
>> (Je vous passe les détails.. )
>> 
>> Merci d'avance, chers mercenaires, toutes suggestions bienvenues..
>> 
>> Fred
>> 
>> _______________________________________________
>> Linux-bruxelles mailing list
>> Linux-bruxelles at lists.bxlug.be
>> https://listes.domainepublic.net/listinfo/linux-bruxelles [1]
> 
> 
> 
> Links:
> ------
> [1] https://listes.domainepublic.net/listinfo/linux-bruxelles
> 
> _______________________________________________
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> https://listes.domainepublic.net/listinfo/linux-bruxelles

Plus d'informations sur la liste de diffusion Linux-bruxelles