CERTA-2000-AVI-041

Vulnerability from certfr_avis - Published: - Updated:

None

Description

Le ver Apology remplace le fichier wsock32.dll par une version modifiée dans le but de surveiller le trafic réseau. Lorsque l'utilisateur d'une machine infecté expédie un mèl, un second est automatiquement transmis au même destinataire.

Ce second message ne contient ni sujet, ni corps mais un fichier exécutable en pièce jointe qui, une fois exécuté, installe le ver sur la machine du destinataire. Ce fichier joint est susceptible de porter l'un des noms suivants :

  • README.TXT.pif
  • I_wanna_see_YOU.TXT.pif
  • MATRiX_Screen_Saver.SCR
  • LOVE_LETTER_FOR_YOU.TXT.pif
  • NEW_playboy_Screen_saver.SCR
  • BILL_GATES_PIECE.JPG.pif
  • TIAZINHA.JPG.pif
  • FEITICEIRA_NUA.JPG.pif
  • Geocities_Free_sites.TXT.pif
  • NEW_NAPSTER_site.TXT.pif
  • METALLICA_SONG.MP3.pif
  • ANTI_CIH.EXE
  • INTERNET_SECURITY_FORUM.DOC.pif
  • ALANIS_Screen_Saver.SCR
  • READER_DIGEST_LETTER.TXT.pif
  • WIN_\$100_NOW.DOC.pif
  • IS_LINUX_GOOD_ENOUGH!.TXT.pif
  • QI_TEST.EXE
  • AVP_Updates.EXE
  • SEICHO-NO-IE.EXE
  • YOU_are_FAT!.TXT.pif
  • FREE_xxx_sites.TXT.pif
  • I_am_sorry.DOC.pif
  • Me_nude.AVI.pif
  • Sorry_a bout_yesterday.DOC.pif
  • Protect_your_credit.HTML.pif
  • JIMI_HMNDRIX.MP3.pif
  • HANSON.SCR
  • F******_WITH_DOGS.SCR
  • MATRiX_2_is_OUT.SCR
  • zipped_files.EXE
  • BLINK_182.MP3.pif

Apology bloque l'accès aux sites internet de différents éditeurs d'anti-virus et empêche d'envoyer des mèls à ces éditeurs. Il tente également de se connecter sur un site dans le but de récupérer des composants à exécuter sur la machine infectée.

Apology crée les fichiers suivants dans le répertoire d'installation de Windows :

  • IE_PACK.EXE
  • MTX_.EXE
  • WIN32.DLL
  • WSOCK32.MTX

Le fichier WININIT.INI est modifié afin de lancer WSOCK32.MTX à la place de WSOCK32.DLL lors du redémarrage de la machine.

Deux entrées sont également ajoutées à la base de registre :

  • HKLM\Software\[MATRix]

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    SystemBackup = "C:\WINDOWS\MTX_.EXE"

Le fichier MTX_.EXE tente toute les deux minutes d'établir une connexion TCP sur le port 1137.

Solution

  • Bloquer le port 1137 afin de stopper la connexion TCP ;
  • Mettre à jour votre anti-virus.
None
Impacted products
Vendor Product Description
Microsoft Windows Microsoft Windows NT.
Microsoft Windows Microsoft Windows 2000 ;
Microsoft Windows Microsoft Windows 9x ;
References
Sophos None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Windows NT.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows 2000 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows 9x ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nLe ver Apology remplace le fichier wsock32.dll par une version modifi\u00e9e\ndans le but de surveiller le trafic r\u00e9seau. Lorsque l\u0027utilisateur d\u0027une\nmachine infect\u00e9 exp\u00e9die un m\u00e8l, un second est automatiquement transmis\nau m\u00eame destinataire.\n\nCe second message ne contient ni sujet, ni corps mais un fichier\nex\u00e9cutable en pi\u00e8ce jointe qui, une fois ex\u00e9cut\u00e9, installe le ver sur la\nmachine du destinataire. Ce fichier joint est susceptible de porter l\u0027un\ndes noms suivants :\n\n-   README.TXT.pif\n-   I_wanna_see_YOU.TXT.pif\n-   MATRiX_Screen_Saver.SCR\n-   LOVE_LETTER_FOR_YOU.TXT.pif\n-   NEW_playboy_Screen_saver.SCR\n-   BILL_GATES_PIECE.JPG.pif\n-   TIAZINHA.JPG.pif\n-   FEITICEIRA_NUA.JPG.pif\n-   Geocities_Free_sites.TXT.pif\n-   NEW_NAPSTER_site.TXT.pif\n-   METALLICA_SONG.MP3.pif\n-   ANTI_CIH.EXE\n-   INTERNET_SECURITY_FORUM.DOC.pif\n-   ALANIS_Screen_Saver.SCR\n-   READER_DIGEST_LETTER.TXT.pif\n-   WIN\\_\\$100_NOW.DOC.pif\n-   IS_LINUX_GOOD_ENOUGH!.TXT.pif\n-   QI_TEST.EXE\n-   AVP_Updates.EXE\n-   SEICHO-NO-IE.EXE\n-   YOU_are_FAT!.TXT.pif\n-   FREE_xxx_sites.TXT.pif\n-   I_am_sorry.DOC.pif\n-   Me_nude.AVI.pif\n-   Sorry_a bout_yesterday.DOC.pif\n-   Protect_your_credit.HTML.pif\n-   JIMI_HMNDRIX.MP3.pif\n-   HANSON.SCR\n-   F\\*\\*\\*\\*\\*\\*\\_WITH_DOGS.SCR\n-   MATRiX_2\\_is_OUT.SCR\n-   zipped_files.EXE\n-   BLINK_182.MP3.pif\n\nApology bloque l\u0027acc\u00e8s aux sites internet de diff\u00e9rents \u00e9diteurs\nd\u0027anti-virus et emp\u00eache d\u0027envoyer des m\u00e8ls \u00e0 ces \u00e9diteurs. Il tente\n\u00e9galement de se connecter sur un site dans le but de r\u00e9cup\u00e9rer des\ncomposants \u00e0 ex\u00e9cuter sur la machine infect\u00e9e.  \n  \n\nApology cr\u00e9e les fichiers suivants dans le r\u00e9pertoire d\u0027installation de\nWindows :\n\n-   IE_PACK.EXE\n-   MTX\\_.EXE\n-   WIN32.DLL\n-   WSOCK32.MTX\n\nLe fichier WININIT.INI est modifi\u00e9 afin de lancer WSOCK32.MTX \u00e0 la place\nde WSOCK32.DLL lors du red\u00e9marrage de la machine.  \n  \n\nDeux entr\u00e9es sont \u00e9galement ajout\u00e9es \u00e0 la base de registre :\n\n-   `HKLM\\Software\\[MATRix]`\n\n-   `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`\n\n    `SystemBackup = \"C:\\WINDOWS\\MTX_.EXE\"`\n\nLe fichier MTX\\_.EXE tente toute les deux minutes d\u0027\u00e9tablir une\nconnexion TCP sur le port 1137.\n\n## Solution\n\n-   Bloquer le port 1137 afin de stopper la connexion TCP ;\n-   Mettre \u00e0 jour votre anti-virus.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-AVI-041",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-08-31T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de commandes"
    },
    {
      "description": "Propagation de virus"
    }
  ],
  "summary": null,
  "title": "Ver sous Windows : W32/Apology",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Sophos",
      "url": "http://www.sophos.com/virusinfo/analyses/w32apology.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.