CERTA-2000-AVI-036
Vulnerability from certfr_avis - Published: - Updated:None
Description
Troj/Qaz est un cheval de Troie permettant à un utilisateur mal intentionné de pouvoir avoir accès, à distance, à une machine infectée.
Lors de son exécution ce cheval de Troie recherche le fichier « notepad.exe » et le renomme en « note.exe ». Il duplique son propre code dans un nouveau fichier nommé « notepad.exe ».
Lorsque l'utilisateur exécute « notepad.exe », le cheval de Troie s'exécute et lance également l'application « bloc note ». Il modifie également la base de registre afin de se charger au démarrage de la machine.
Détection et solution provisoire
Rechercher sur le disque la présence des fichiers suivants :
W32.HLLW.Qaz.A ou Qaz.Trojan
Rechercher la présence de « note.exe » et le renommer en « notepad.exe »
Supprimer dans la base de registre à l'emplacement
HKEY_LOCAL_MACHINE\Software\Microsoft\``Current\Version\Run la clé :
StartIE=notepad.exe
Solution
Mettre à jour votre anti-virus
None{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Windows NT.",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows 2000 ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows 9x ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nTroj/Qaz est un cheval de Troie permettant \u00e0 un utilisateur mal\nintentionn\u00e9 de pouvoir avoir acc\u00e8s, \u00e0 distance, \u00e0 une machine infect\u00e9e.\n\nLors de son ex\u00e9cution ce cheval de Troie recherche le fichier \u00ab\nnotepad.exe \u00bb et le renomme en \u00ab note.exe \u00bb. Il duplique son propre code\ndans un nouveau fichier nomm\u00e9 \u00ab notepad.exe \u00bb.\n\nLorsque l\u0027utilisateur ex\u00e9cute \u00ab notepad.exe \u00bb, le cheval de Troie\ns\u0027ex\u00e9cute et lance \u00e9galement l\u0027application \u00ab bloc note \u00bb. Il modifie\n\u00e9galement la base de registre afin de se charger au d\u00e9marrage de la\nmachine.\n\n## D\u00e9tection et solution provisoire\n\nRechercher sur le disque la pr\u00e9sence des fichiers suivants :\n\nW32.HLLW.Qaz.A ou Qaz.Trojan \n \n\nRechercher la pr\u00e9sence de \u00ab note.exe \u00bb et le renommer en \u00ab notepad.exe\n\u00bb \n \n\nSupprimer dans la base de registre \u00e0 l\u0027emplacement\n`HKEY_LOCAL_MACHINE\\Software\\Microsoft\\``Current\\Version\\Run` la cl\u00e9 :\nStartIE=notepad.exe\n\n## Solution\n\nMettre \u00e0 jour votre anti-virus\n",
"cves": [],
"links": [],
"reference": "CERTA-2000-AVI-036",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2000-08-29T00:00:00.000000"
}
],
"risks": [
{
"description": "Acc\u00e8s aux donn\u00e9es"
},
{
"description": "Propagation de virus"
},
{
"description": "Cheval de troie"
}
],
"summary": null,
"title": "Cheval de Troie : Troj/qaz",
"vendor_advisories": [
{
"published_at": null,
"title": "Sophos",
"url": "http://www.sophos.com/virusinfo/analyses/trojqaz.html"
},
{
"published_at": null,
"title": "Symantec",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.