CERTA-2000-ALE-009

Vulnerability from certfr_alerte - Published: - Updated:

Stages-A est un ver contenu dans un fichier SHS (Shell Scrap Objet) qui se propage par e-mail (Carnet d'adresses Outlook), par IRC (Logiciels Mirc ou Pirch) et par partage de volume sur le réseau.

Description

Stages-A est transmis par une pièce jointe de type LIFE_STAGES.TXT.SHS. Le ver s'active à l'ouverture de ce fichier et montre un texte contenant des plaisanteries sur les étapes de la vie des hommes et des femmes. Parallèlement le ver s'installe sur la machine puis se propage via le carnet d'adresse d'Outlook et les logiciels Mirc ou Pirch. Enfin il détruit le fichier REGEDIT.EXE en le déplacant vers la poubelle du système.

Le fait d'utiliser l'extension SHS risque de rendre moins méfiant les utilisateurs par rapport à une extension VBS.

Principe d'un fichier SHS : le contenu du presse-papier peut être sauvegarder par « cliquer-déposer » dans un fichier de type SHS (Shell Scrap Objet). Ce fichier peut contenir des données Word, Excel mais également un fichier exécutable. L'exécution du fichier SHS entraîne automatiquement l'ouverture des applications correspondantes (Word, Excel...) ou le lancement du fichier exécutable.

Contournement provisoire

Détection du ver : présentation du message reçu

  • Objet : « Funny » , « Funny » , « Funny test » , « Life stages text »
  • Corps du message : « The male and female stages of life »
  • Pièce jointe : LIFE_STAGES.TXT.SHS

Solution

  • Mettre à jour votre anti-virus;
  • Suivre les recommandantions de la note CERTA-2000-INF-002.
None
Impacted products
Vendor Product Description
Microsoft Windows Windows 95 et 98.
Microsoft Windows Windows 2000;
Microsoft Windows Windows NT;
References
Sophos None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows 95 et 98.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 2000;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows NT;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2000-06-20",
  "content": "## Description\n\nStages-A est transmis par une pi\u00e8ce jointe de type LIFE_STAGES.TXT.SHS.\nLe ver s\u0027active \u00e0 l\u0027ouverture de ce fichier et montre un texte contenant\ndes plaisanteries sur les \u00e9tapes de la vie des hommes et des femmes.\nParall\u00e8lement le ver s\u0027installe sur la machine puis se propage via le\ncarnet d\u0027adresse d\u0027Outlook et les logiciels Mirc ou Pirch. Enfin il\nd\u00e9truit le fichier REGEDIT.EXE en le d\u00e9placant vers la poubelle du\nsyst\u00e8me.  \n  \n\nLe fait d\u0027utiliser l\u0027extension SHS risque de rendre moins m\u00e9fiant les\nutilisateurs par rapport \u00e0 une extension VBS.  \n  \n\nPrincipe d\u0027un fichier SHS : le contenu du presse-papier peut \u00eatre\nsauvegarder par \u00ab cliquer-d\u00e9poser \u00bb dans un fichier de type SHS (Shell\nScrap Objet). Ce fichier peut contenir des donn\u00e9es Word, Excel mais\n\u00e9galement un fichier ex\u00e9cutable. L\u0027ex\u00e9cution du fichier SHS entra\u00eene\nautomatiquement l\u0027ouverture des applications correspondantes (Word,\nExcel...) ou le lancement du fichier ex\u00e9cutable.\n\n## Contournement provisoire\n\nD\u00e9tection du ver : pr\u00e9sentation du message re\u00e7u\n\n-   Objet : \u00ab Funny \u00bb , \u00ab Funny \u00bb , \u00ab Funny test \u00bb , \u00ab Life stages text\n    \u00bb\n-   Corps du message : \u00ab The male and female stages of life \u00bb\n-   Pi\u00e8ce jointe : LIFE_STAGES.TXT.SHS\n\n## Solution\n\n-   Mettre \u00e0 jour votre anti-virus;\n-   Suivre les recommandantions de la note CERTA-2000-INF-002.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-ALE-009",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-06-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Perte de donn\u00e9es"
    },
    {
      "description": "Propagation de virus"
    }
  ],
  "summary": "Stages-A est un ver contenu dans un fichier SHS (Shell Scrap Objet) qui\nse propage par e-mail (Carnet d\u0027adresses Outlook), par IRC (Logiciels\nMirc ou Pirch) et par partage de volume sur le r\u00e9seau.\n",
  "title": "Ver VBS/Stages-A, Mirc/stages-a, pIRC/Stages-A",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Sophos",
      "url": "http://www.sophos.com/virusinfo/analyses/vbsstagesa.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.