CERTA-2001-ALE-012

Vulnerability from certfr_alerte - Published: - Updated:

Rappel de quelques mesures d'hygiène lié à la recrudescence de vers tels que Magistr.b et autres virus en tout genre.

Description

Au vu de l'augmentation du nombre de contaminations par les vers Sircam et Magistr, il apparaît nécessaire d'affermir et de revoir les mesures de protection contre la propagation des virus.

Méfiez-vous des pièces jointes ! Même si le message provient d'une personne que vous connaissez. Les virus se propagent souvent en s'envoyant aux adresses de messagerie se trouvant dans le carnet d'adresses.

N'ouvrez pas une pièce jointe dont vous n'attendiez pas la réception.

Analysez tous les fichiers reçus en pièce jointe, par disquette, par CD-ROM ou par tout autre moyen, avant leur ouverture. Soyez encore plus méfiant en ce qui concerne les fichiers qui permettent l'exécution de code (Tous ceux qui ont une extension en : .exe, .com, .bat, .cmd, .pif, .htm, .html, .hta, .reg, .lnk, .vbs, .js, .shs, .shb, par exemple). Soyez d'autant plus vigilant s'il y a une double extension telle que .doc.pif, .txt.vbs, ou .htm.shs, ce n'est pas normal.

N'oubliez pas que même des documents (WORD ou EXCEL par exemple) peuvent permettre l'exécution de code par l'exécution des macros. Désactivez l'exécution des macros au démarrage de ces logiciels.

N'affichez pas les messages au format HTML, forcez votre logiciel de messagerie à les convertir en texte simple.

De même, forcez-le à n'envoyer que des messages en texte seul, ce qui permet à vos correspondants de ne pas abaisser leur niveau de sécurité pour les lire.

Désactivez l'exécution du Java, des Javascript et surtout des contrôles ActiveX de vos logiciels de messagerie et de vos navigateurs.

Relisez les recommandations que nous avons faites dans nos notes d'information, avis et alertes précédents : CERTA-2000-INF-002, CERTA-2000-ALE-001, CERTA-2000-ALE-002, CERTA-2000-REC-002, CERTA-2000-REC-003 de 2000, ainsi que les alertes récentes de l'année 2001 : CERTA-2001-ALE-006, CERTA-2001-ALE-009 et ses mises à jour.

Mettez immédiatement et quotidiennement à jour votre antivirus.

Nota : l'antivirus MacAfee pourrait ne pas détecter le virus Magitr.b si la mise à jour a été effectuée de façon automatisée. Pour pouvoir détecter la présence du virus W32/MAgistr.b@MM, suivez la procédure décrite dans le paragraphe Cas particulier de la mise à jour manuelle de VirusScan.

Cas particulier de la mise à jour manuelle de VirusScan

Téléchargez manuellement le fichier DAILYDAT.ZIP situé dans dans le tableau nommé VirusScan Version 4.x Daily Updates sur le site de MacAfee :

http://www.mcafeeb2b.com/naicommon/avert/avert-research-center/virus-4d.asp

Puis arrêtez Vshield (ceci peut être fait à l'aide de la console VirusScan) le temps de remplacer les fichiers de configuration Clean.dat, Names.dat et Scan.dat situés dans le répertoire suivant :

C:\Program Files\Fichiers communs\Network Associates\VirusScan Engine\4.0.xx

(si l'antivirus se trouve dans C:\Program Files\) par ceux qui sont compressés dans le fichier téléchargé.

Solution

Mettre à jour fréquemment et régulièrement les bases de signatures des logiciels anti-virus.

Indépendant de la plate-forme.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eInd\u00e9pendant de la plate-forme.\u003c/P\u003e",
  "closed_at": "2002-01-09",
  "content": "## Description\n\nAu vu de l\u0027augmentation du nombre de contaminations par les vers Sircam\net Magistr, il appara\u00eet n\u00e9cessaire d\u0027affermir et de revoir les mesures\nde protection contre la propagation des virus.\n\nM\u00e9fiez-vous des pi\u00e8ces jointes ! M\u00eame si le message provient d\u0027une\npersonne que vous connaissez. Les virus se propagent souvent en\ns\u0027envoyant aux adresses de messagerie se trouvant dans le carnet\nd\u0027adresses.\n\nN\u0027ouvrez pas une pi\u00e8ce jointe dont vous n\u0027attendiez pas la r\u00e9ception.\n\nAnalysez tous les fichiers re\u00e7us en pi\u00e8ce jointe, par disquette, par\nCD-ROM ou par tout autre moyen, avant leur ouverture. Soyez encore plus\nm\u00e9fiant en ce qui concerne les fichiers qui permettent l\u0027ex\u00e9cution de\ncode (Tous ceux qui ont une extension en : .exe, .com, .bat, .cmd, .pif,\n.htm, .html, .hta, .reg, .lnk, .vbs, .js, .shs, .shb, par exemple).\nSoyez d\u0027autant plus vigilant s\u0027il y a une double extension telle que\n.doc.pif, .txt.vbs, ou .htm.shs, ce n\u0027est pas normal.\n\nN\u0027oubliez pas que m\u00eame des documents (WORD ou EXCEL par exemple) peuvent\npermettre l\u0027ex\u00e9cution de code par l\u0027ex\u00e9cution des macros. D\u00e9sactivez\nl\u0027ex\u00e9cution des macros au d\u00e9marrage de ces logiciels.\n\nN\u0027affichez pas les messages au format HTML, forcez votre logiciel de\nmessagerie \u00e0 les convertir en texte simple.\n\nDe m\u00eame, forcez-le \u00e0 n\u0027envoyer que des messages en texte seul, ce qui\npermet \u00e0 vos correspondants de ne pas abaisser leur niveau de s\u00e9curit\u00e9\npour les lire.\n\nD\u00e9sactivez l\u0027ex\u00e9cution du Java, des Javascript et surtout des contr\u00f4les\nActiveX de vos logiciels de messagerie et de vos navigateurs.\n\nRelisez les recommandations que nous avons faites dans nos notes\nd\u0027information, avis et alertes pr\u00e9c\u00e9dents : CERTA-2000-INF-002,\nCERTA-2000-ALE-001, CERTA-2000-ALE-002, CERTA-2000-REC-002,\nCERTA-2000-REC-003 de 2000, ainsi que les alertes r\u00e9centes de l\u0027ann\u00e9e\n2001 : CERTA-2001-ALE-006, CERTA-2001-ALE-009 et ses mises \u00e0 jour.\n\nMettez imm\u00e9diatement et quotidiennement \u00e0 jour votre antivirus.\n\nNota : l\u0027antivirus MacAfee pourrait ne pas d\u00e9tecter le virus Magitr.b si\nla mise \u00e0 jour a \u00e9t\u00e9 effectu\u00e9e de fa\u00e7on automatis\u00e9e. Pour pouvoir\nd\u00e9tecter la pr\u00e9sence du virus W32/MAgistr.b@MM, suivez la proc\u00e9dure\nd\u00e9crite dans le paragraphe Cas particulier de la mise \u00e0 jour manuelle de\nVirusScan.\n\n## Cas particulier de la mise \u00e0 jour manuelle de VirusScan\n\nT\u00e9l\u00e9chargez manuellement le fichier DAILYDAT.ZIP situ\u00e9 dans dans le\ntableau nomm\u00e9 VirusScan Version 4.x Daily Updates sur le site de MacAfee\n:\n\n    http://www.mcafeeb2b.com/naicommon/avert/avert-research-center/virus-4d.asp\n\nPuis arr\u00eatez Vshield (ceci peut \u00eatre fait \u00e0 l\u0027aide de la console\nVirusScan) le temps de remplacer les fichiers de configuration\nClean.dat, Names.dat et Scan.dat situ\u00e9s dans le r\u00e9pertoire suivant :\n\n`C:\\Program Files\\Fichiers communs\\Network  Associates\\VirusScan Engine\\4.0.xx`\n\n(si l\u0027antivirus se trouve dans `C:\\Program Files\\`) par ceux qui sont\ncompress\u00e9s dans le fichier t\u00e9l\u00e9charg\u00e9.\n\n## Solution\n\nMettre \u00e0 jour fr\u00e9quemment et r\u00e9guli\u00e8rement les bases de signatures des\nlogiciels anti-virus.\n",
  "cves": [],
  "links": [
    {
      "title": "le site web de MacAfee :",
      "url": "http://www.mcafeeb2b.com/avert/virus-alerts/defaults"
    },
    {
      "title": "Le site web de Symantec (Norton Antivirus) :",
      "url": "http://www.symantec.com"
    },
    {
      "title": "Le site web de Sophos :",
      "url": "http://www.sophos.com"
    },
    {
      "title": "Le site web de Symantec (Norton Antivirus) :",
      "url": "http://ww.sarc.com"
    }
  ],
  "reference": "CERTA-2001-ALE-012",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-09-13T00:00:00.000000"
    },
    {
      "description": "seconde version : correction des erreurs typographiques.",
      "revision_date": "2002-01-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Destruction de donn\u00e9es"
    },
    {
      "description": "Augmentation du trafic sur le r\u00e9seau"
    },
    {
      "description": "Perte de contr\u00f4le et endommagement des syst\u00e8mes"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Rappel de quelques mesures d\u0027hygi\u00e8ne li\u00e9 \u00e0 la recrudescence de vers tels\nque Magistr.b et autres virus en tout genre.\n",
  "title": "Rappels concernant les virus",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "R\u00e9seau de confiance",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.