Discussion :

[Elendhil]

Bon c'est complètement hors-sujet avec le forum. Je ne savais pas trop dans quelle section poser ma question.

Voilà une amie reçois depuis sa boite mail des notifications de messages non délivrés provenant du serveur de messagerie de yahoo.
Je précise elle n'a jamais envoyée les mails en question. Ils contiennent un lien vers une page web du genre phishing.

Voici l'En-tête renvoyé par le daemon mailer de yahoo :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
 
Sorry, we were unable to deliver your message to the following address.
 
<remove@ifrance.com>:
No MX or A records for ifrance.com
 
--- Below this line is a copy of the message.
 
Received: from [217.146.183.217] by nm22.bullet.mail.ukl.yahoo.com with NNFMP; 18 Sep 2011 17:27:20 -0000
Received: from [217.146.183.62] by tm10.bullet.mail.ukl.yahoo.com with NNFMP; 18 Sep 2011 17:27:20 -0000
Received: from [127.0.0.1] by omp1031.mail.ukl.yahoo.com with NNFMP; 18 Sep 2011 17:27:20 -0000
X-Yahoo-Newman-Property: ymail-5
X-Yahoo-Newman-Id: <a href="mailto:132524.99748.bm@omp1031.mail.ukl.yahoo.com">132524.99748.bm@omp1031.mail.ukl.yahoo.com</a>
Received: (qmail 23685 invoked by uid 60001); 18 Sep 2011 17:27:20 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.fr; s=s1024; t=1316366839; bh=mZ8Yt2Y/zEglUfkI804QPlXD7AzYAEWlQFCb9zYT1oo=; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:To:MIME-Version:Content-Type; b=kSH6ITr8aw/clgOURGwuNDJTIqOtfLEst4Vxl7WJhW5boV2J1LtYa6tvzAzpLjJw2O75+UpBXOP6irf167qY4VkZyV1vJ+vmGwHlEnazMrh6LAn5TuA6j4vYR4dd6TK6B79/egZ6LE6ksiEVVSBUMIH4TSs3AWZWNe23G88v/Ro=
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
  s=s1024; d=yahoo.fr;
  h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:To:MIME-Version:Content-Type;
  b=Ri7SrtnxarAO6ugH6IG17gRVhdG8fVIimKLXq+AyqlGTaLuCjuhSd+YuzqU8VeNlqY8QaAAygRfSnsDixtLFwwiG+kiCwNbCymetEs/KPVv2CzYsb1D6/CkZvJ8hwJJRzGTuVMGw+9l1xLSdSJpU3sUvCSAgg8XvOiZLGlAj8/M=;
X-YMail-OSG: YK3Qg6wVM1lBqwZojJxoFSdEGk6Bl5cBQPc6C1QVepO11S0
IHt3eIUE4vzIu5DchpoClY1DgxNc3T4SF1ps9FlRZnKY5RYCM1eSBc68wuaM
UZkQoybh.gbNkfm_u7havo9Suf2yfgKb51NizYggF3uYH46UMTFY2GUgYJD8
zicjtvdRDEbpisrmy_ojEdYSqalj6V6XHoT6Q6SRLLQItbQporywHY4Wbgm4
BNcb7g2G1OI2fdWO9YXYwH.RgZTBIZGExZBTUiCnkPW2yCdysBunhNnKQlZS
2l7carMUTZkxP0_ityljxZPa.wq4WRw4cUlcEcY6GHrO8fTN15rEmaGLXUuF
u9tieEEbns_nokb7ozrSmku8FQG9nehsVGw2sAVeYklaITDfjc7xpfFk0zVz
IFjaltdl8wIYdZTxLLtIycHBkxX15aewZ4GI2_rvC51U2cI0fnceurOHqEzj
kklgBjl_kCJSHwxciyiu4IiuvRaNCxTzYl5aQumwtfI.6TFCiP8T0pqU29iM
TgDWJrQ--
Received: from [200.172.13.156] by web28503.mail.ukl.yahoo.com via HTTP; Sun, 18 Sep 2011 18:27:19 BST
X-Mailer: YahooMailWebService/0.8.113.315625
Message-ID: <1316366839.23449.YahooMailMobile@web28503.mail.ukl.yahoo.com>
Date: Sun, 18 Sep 2011 18:27:19 +0100 (BST)
From: prenom nom <XXXXXX@yahoo.fr>
To: <a href="mailto:remove@ifrance.com">remove@ifrance.com</a>, <a href="mailto:remove@infonie.fr">remove@infonie.fr</a>, <a href="mailto:remove@laposte.net">remove@laposte.net</a>,
     <a href="mailto:remove@laposte.net">remove@laposte.net</a>
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="156418579-919253071-1316366839=:23449"
 
--156418579-919253071-1316366839=:23449
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
 
<a tabindex=3D"1" title=3D"" name=3D"tflxojfagc" href=3D"http://dev.giveabe=
er.com/search/cgi-bin/modules/gplfdg.htm"><a href="http://dev.giveabeer.com/search/c=" target="_blank">http://dev.giveabeer.com/search/c=</a>
gi-bin/modules/gplfdg.htm</a>
--156418579-919253071-1316366839=:23449
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printable
 
<table cellspacing=3D"0" cellpadding=3D"0" border=3D"0"><tr><td valign=3D"t=
op" style=3D"font: inherit;"><div><a tabindex=3D"1" title=3D"" name=3D"tflx=
ojfagc" href=3D"http://dev.giveabeer.com/search/cgi-bin/modules/gplfdg.htm"=
>http://dev.giveabeer.com/search/cgi-bin/modules/gplfdg.htm</a></div></td><=
/tr></table>
--156418579-919253071-1316366839=:23449--

Ma question est la suivante, dans l'en-tête quelle est l'adresse IP de l'expéditeur ?

Pour moi je dirais qu'il provient de cette adresse :

Received: from [200.172.13.156]

Une adresse ip localisée au brésil , donc a priori si je ne me trompe pas les messages ne peuvent pas être envoyés depuis son pc vu qu'il se trouve en France.

Est-ce que pour vous il est possible de faire croire au serveur de messagerie que l'email provient de cette adresse sans obtenir son mot de passe ?

prenom nom <XXXXXX@yahoo.fr

Je pense que c'est impossible sinon je suppose que le serveur mail de Yahoo aurait refusé de relayer le message et juste jeté le mail.

Donc j'en conclu que son mot de passe a été volé par un cheval de Troie ou d'une autre façon, et que cela permet à un serveur de spam localisé au brésil d'envoyer des mails en ce faisant passer pour elle.

C'est bien ça ^^ ?

[Elendhil]

Oui c'est bien ça, mot de passe compromis. Les messages sont envoyés depuis un réseau de bot d'appareils mobiles du monde entier grâce à l'application yahoo!mobile.

On arrête pas le progrès

[tchize_]

Possible sans être garantis. Yahoo, hotmail, etc ont de nombreux relais SMTP pour faire face à la charge. Il arrive régulièrement (surtout chez hotmail) que l'un ou l'autre de ces milliers relais aie un problème de configuration faisant qu'il autorise le relais sans authentification.

Maintenant peux probable dans le cas présent, les lites SORBS ne mentionnant pas de problème avec les ips données


conclusion: changer tous les mots de passe, checker la machine à la recherche de botnet ou de chevaux de troie.

[Elendhil]

Merci pour ta réponse Tchize.

C'est une adresse mail yahoo dont elle dispose. Et donc en allant sur son compte j'ai pu vérifier l'historique de connexions aux services yahoo. Et en effet des 10 même surement beaucoup plus (l'historique est limité) de connexions depuis un appareil mobile sont indiquées. Enfin plus exactement c'est indiqué depuis yahoo!mobile

Le hic c'est que les connexions se font depuis des pays très éloignés , genre Brésil puis 2 heures plus tard Allemagne , Pologne, Mexique, Roumanie etc ....

Donc pour moi je vois qu'une seule possibilité (me trompe peut-être), c'est un trojan pour mobile relié surement à des 100 d'autres appareils mobile.

Je suis entrain de vérifier son pc mais je ne trouve strictement rien ! Je pense que ça vient de son téléphone portable, faut que je regarde si elle a un smartphone avec android. Et sinon oui j'ai changé le mot de passe de messagerie pour qu'il arrête de spammer avec ^^ , et désactivé yahoo!mobile.

[tchize_]

non, un spammeur a peu de chance d'utiliser un base de téléphone mobiles comme support. C'est probabement plutot un botnet de pcs qui utilise le protocole Yahoo!Mobile

[Elendhil]

Oui c'est probable ce que tu dis , mais bon je trouve strictement rien sur son pc !
J'ai essayé un antivirus celui de Microsoft, l'outil de Kaspersky pour retirer virus/trojan , passé en mode sans échec pour refaire un test. Et dans le gestionnaire de tâches a priori je vois riens de suspect.

Mais si c'est un réseau de botnet classique, il y a forcement un virus/trojan sur son pc ? Et pourquoi le programme n'envoie pas lui même les mails depuis le pc vérolé plutôt que d'utiliser des pc à l'autre bout du monde ?

Hmm à moins que ce ne soit pas sa machine le problème mais qu'elle se soit connectée depuis une machine infectée...

Sinon comment on fait pour vérifier un smartphone pour voir si il est infecté ? ^^