Salut tout le monde,
Je reçoit énormément de mails de fausses factures avec un fichier joint en .doc qu’il ne faut surtout pas ouvrir…
Mon serveur fait déjà une vérification sur clamav ainsi que CBL / Spamhaus / Barracuda mais il y en a toujours 20-30 par jour qui passent.
Existe-t-il une méthode miracle pour s’en débarasser ? Le blocage complet des pièces jointes en .doc ?
Je suis admin du serveur donc j’ai moyen d’agir sur Postfix directement.
Depuis un mois c’est pareil chez nous, les filtres anti-virus font bien leur boulot mais les anti-spam ne les écartent pas toujours.
Idem : sur 50 bloqués on en a une dizaine qui passent.
C’est bien tourné et la syntaxe s’améliore de jour en jour…
Heureusement qu’à la première vague de cryptos on a eu la bonne idée de faire de la pédagogie orientée utilisateurs.
Ils nous appellent dès qu’un truc leur semble douteux.
Il y en quand même deux sur 500 qui ont quand même ouvert la PJ bloquée par l’antivirus. 
Je l’ai regardé la pièce jointe, ce sont des macros. Je ne connais pas bien donc n’est pas trop vu ce que ça faisait en détail. J’ai juste noté dans le code un fonction permettant d’effacer des fonctions, donc le document une fois ouvert avec les macros exécutées et réenregistré doit être clean. Mais je pensais que les macros Word étaient désormais assez solides, on dirait que je me suis trompé. Quelqu’un sait ce que fait ce virus?
Selon les versions il opère entre deux et quatre phases.
La macro est un downloader du malware.
Ensuite installation et optimisation du poste pour la dernière étape.
Enfin le beau crypto sur le disque.
Encore une bonne raison d’être sous debian 