[Linux-bruxelles] Brave Clamav..

PM pierre.mierzwa at telenet.be
Ven 29 Juil 01:15:37 CEST 2016 

Bonjour Fredux,

    1.  Quel est le format du fichier / des fichiers dans le zip , ?    
(txt, doc, odt, docx, autre ?)

     2. Pourquoi utiliser Libreoffice et pas un éditeur genre notepad, 
(qui n'executera pas de macro)

     3. Document est vide de caractères (vide de caractères visibles) :  
Créer avec Libreoffice un document vide et le sauver pour voir son 
occupation,

     4. Si c'est dangereux pour Windows, ça peut être dangereux pour Linux

Je sais , tout ceci n'est pas la solution mais uniquement des réflexions

_Autre angle_: demander une version de la facture dans un autre format  
(jpg, png, txt , pdf)
Bonne soirée
PIERRE





On 29-07-2016 00:34, Fredux wrote:
> Hello la liste,
>
> une connaissance, après une arnaque à la carte de crédit en vacances, 
> se voit maintenant réclamer 900€ par une société de recouvrement 
> bidon. Le détail de la 'facture' par mail dans un .zip.
> Avast sonne l'alerte ! Trojan..
> Je récupère la pièce jointe pour investiguer deep down sur un de mon 
> Handylinux, où je crains moins les dégâts que sur son win7. J'installe 
> et mets à jour Clamav.  Je dézipe. Bingo : Doc.Dropper.Agent-1430951..
>
> Je tente farouchement d'ouvrir ces 34,8 ko dans LibreOffice, mais il 
> n’activera pas les macros pour des raisons de sécurité. Et le document 
> est vide de caractères... L'arnaque continue pour de bon.
>
> voilà pour le contexte.
>
> Voici pour ma demande :
> Je n'y connais rien³ aux macros. Y aurai-t-il un risque quand bien 
> même c'est sur un OS gnu-linux, alors que ça a été conçu à 98% pour du 
> win$ ?
> Quelle précaution prendre pour activer ces macros "sans risque" et 
> essayer de remonter aux sources de ce trojan, découvrir un nom, une IP 
> ? Ptêt via live-cd sur un ordi non connecté ? Qemu ?
>
> Le but serait d'arriver à (dé)montrer à visa qu'il s'agit bien d'une 
> grosse arnaque, d'un abus de faiblesse (vente sous contrainte), 
> ensuite d'une tentative d"extorsion de fond et d'infection volontaire 
> d'ordi, à des fins qu'il faut encore découvrir selon le champs 
> d'action de ces macros.. Jusqu'à présent, visa se dédouane et se 
> retranche derrière le fait que la première transaction a été est faite 
> avec """"consentement"""" (Je vous passe les détails.. )
>
> Merci d'avance, chers mercenaires, toutes suggestions bienvenues..
>
> Fred
>
>
>
>
> _______________________________________________
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> https://listes.domainepublic.net/listinfo/linux-bruxelles

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: </pipermail/linux-bruxelles/attachments/20160729/a0bea3c6/attachment-0003.html>

Plus d'informations sur la liste de diffusion Linux-bruxelles