CERTA-2001-ALE-016
Vulnerability from certfr_alerte - Published: - Updated:
Une variante du ver badtrans, se présentant sous la forme d'un texte écrit au format HTML, se propage actuellement sur Internet. Ce ver utilise une vulnérabilité d'Internet Explorer décrite dans l'avis : CERTA-2001-AVI-041 du 30 mars 2001.
Description
badtrans se présente sous la forme d'une pièce jointe contenant un cheval de Troie. Ce ver est activé si l'utilisateur clique sur la pièce jointe.
Une variante de ce ver, ( badtransB ), qui se propage depuis quelques jours, utilise une vulnérabilité de Outlook lors de la réception de messages au format HTML. L'exécution de la pièce jointe est alors réalisée automatiquement, sans que l'utilisateur ai à ouvrir la pièce jointe.
Une fois activé, badtransB enregistre les frappes de l'utilisateur sur le clavier de la machine infectée.
Il est à noter que cette variante utilise une vulnérabilité signalée depuis plusieurs mois. Il est donc nécessaire, pour se protéger de telles attaques, d'appliquer les correctifs proposés par les éditeurs dès leurs publications.
Ce type de ver ne peut se propager que si l'on autorise l'affichage des messages au format HTML. Nous vous recommandons d'appliquer les conseils concernant le paramètrage de votre messagerie (cf. CERTA-2000-INF-002).
Contournement provisoire
Bloquer le téléchargement automatique de fichiers dans les paramètres d'Internet Explorer (cf. Avis CERTA-2001-AVI-041)
Solution
-
Télécharger le correctif Microsoft :
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp -
Mettre à jour votre logiciel d'anti-virus.
-
Changer par précaution les mots de passe du poste de travail.
Microsoft Internet Explorer, Outlook et Outlook express.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eMicrosoft Internet Explorer, Outlook et Outlook express.\u003c/P\u003e",
"closed_at": "2001-11-27",
"content": "## Description\n\nbadtrans se pr\u00e9sente sous la forme d\u0027une pi\u00e8ce jointe contenant un\ncheval de Troie. Ce ver est activ\u00e9 si l\u0027utilisateur clique sur la pi\u00e8ce\njointe.\n\nUne variante de ce ver, ( badtransB ), qui se propage depuis quelques\njours, utilise une vuln\u00e9rabilit\u00e9 de Outlook lors de la r\u00e9ception de\nmessages au format HTML. L\u0027ex\u00e9cution de la pi\u00e8ce jointe est alors\nr\u00e9alis\u00e9e automatiquement, sans que l\u0027utilisateur ai \u00e0 ouvrir la pi\u00e8ce\njointe.\n\nUne fois activ\u00e9, badtransB enregistre les frappes de l\u0027utilisateur sur\nle clavier de la machine infect\u00e9e. \n \n\nIl est \u00e0 noter que cette variante utilise une vuln\u00e9rabilit\u00e9 signal\u00e9e\ndepuis plusieurs mois. Il est donc n\u00e9cessaire, pour se prot\u00e9ger de\ntelles attaques, d\u0027appliquer les correctifs propos\u00e9s par les \u00e9diteurs\nd\u00e8s leurs publications.\n\nCe type de ver ne peut se propager que si l\u0027on autorise l\u0027affichage des\nmessages au format HTML. Nous vous recommandons d\u0027appliquer les conseils\nconcernant le param\u00e8trage de votre messagerie (cf. CERTA-2000-INF-002).\n\n## Contournement provisoire\n\nBloquer le t\u00e9l\u00e9chargement automatique de fichiers dans les param\u00e8tres\nd\u0027Internet Explorer (cf. Avis CERTA-2001-AVI-041)\n\n## Solution\n\n- T\u00e9l\u00e9charger le correctif Microsoft :\n\n http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp\n\n- Mettre \u00e0 jour votre logiciel d\u0027anti-virus.\n\n- Changer par pr\u00e9caution les mots de passe du poste de travail.\n",
"cves": [],
"links": [
{
"title": "Site Symantec :",
"url": "http://www.symantec.com/avcenter/venc/data/w32.badtrans.b@mm.html"
},
{
"title": "Site Sophos :",
"url": "http://www.sophos.com/virusinfo/analyses/w32badtransb.html"
},
{
"title": "Site du CERTA :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2001-AVI-041/index.html"
},
{
"title": "Site F-Secure :",
"url": "http://www.europe.f-secure.com/v-descs/badtrs_b.shtml"
},
{
"title": "Site du CERTA :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-002/index.html"
},
{
"title": "Site NAI :",
"url": "http://vil.nai.com/vil/virusSummary.asp?virus_k=99069"
},
{
"title": "Bulletin Microsoft MS01-020 :",
"url": "http://www.microsoft.com/technet/security/bulletin/MS01-020.asp"
}
],
"reference": "CERTA-2001-ALE-016",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-11-27T00:00:00.000000"
}
],
"risks": [
{
"description": "Virus"
},
{
"description": "Compromission des donn\u00e9es introduites au clavier"
},
{
"description": "Ex\u00e9cution de code arbitraire"
}
],
"summary": "Une variante du ver badtrans, se pr\u00e9sentant sous la forme d\u0027un texte\n\u00e9crit au format HTML, se propage actuellement sur Internet. Ce ver\nutilise une vuln\u00e9rabilit\u00e9 d\u0027Internet Explorer d\u00e9crite dans l\u0027avis :\nCERTA-2001-AVI-041 du 30 mars 2001.\n",
"title": "Propagation du ver badtrans - variante B",
"vendor_advisories": []
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.