certfr_alerte - CERTA-2004-ALE-002

CERTA-2004-ALE-002

Vulnerability from certfr_alerte - Published: - Updated:

Le virus Bizex semble se propager actuellement, via les messageries instantanées ICQ.

Description

Le virus Bizex, qui semble se propager actuellement, utilise les messageries instantanées. Il invite le destinataire d'un message ICQ à cliquer sur un lien HTML. En exploitant plusieurs vulnérabilités de Windows et d'Internet Explorer, il s'installe sur le système de la victime.

Il capture ensuite les informations des fenêtres actives dont le nom appartient à la liste ci-dessous, stocke ces informations dans divers fichiers .log sur le système, et les transfère sur un serveur FTP.

Le virus se propage alors à tous les correspondants de la liste de contacts ICQ.

Concernant la vulnérabilité d'Internet Explorer :

pour Symantec, il s'agit de la vulnérabilité showhelp() Cette vulnérabilité est décrite dans l'avis CERTA-2003-AVI-019 du 06 février 2003 (avis de sécurité Microsoft MS-03-004) ;
pour McAfee, il s'agit d'une vulnérabilité corrigé par le patch ms03-040 (patch cumulatif). Ce patch a fait l'object de l'alerte CERTA-2003-ALE-004 du 06 octobre 2003.

Le CERTA ne dispose pas encore de ce virus et ne peut pas valider ces informations.

Liste des fenêtres pour lesquelles le virus capture des informations :

Acceso a Banca por Internet
Accueil Bred.fr > Espace Bred.fr
American Express UK - Personal Finance
Banamex.com
baNK
Banque
Banque en ligne
Barclaycard Merchant Services
Collegamento a Scrigno
Commercial Electronic Office Sign On
Credit Lyonnais interacti
CyberMUT
e-gold Account Access
E*TRADE Log On
Home Page Banca Intesa
LloydsTSB online - Welcome
Merchant Administration
Page d'accueil
Secure User Area
SUNCORP METWAY
Tous les produits et services
VeriSign Partner Manager
VeriSign Personal Trust Service
Wells Fargo - Small Business Home Page

Contournement provisoire

Pour limiter la fuite d'informations, filtrer le protocole FTP en sortie.

Solution

Appliquer tous les correctifs sur les sytèmes ;
mettre à jour le système antivirus.

Plates-formes Microsoft Windows, sauf Windows 3.x.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Avis de sécurité de Microsoft MS03-004 :	-	other
Alerte de sécurité CERTA-2003-ALE-004 du 06 octobre 2003 :	-	other
Recommandation du CERTA sur l'usage de la messagerie instantanée ou de l'IRC :	-	other
Bulletin de sécurité de Symantec :	-	other
Avis de sécurité de Microsoft MS03-040 :	-	other
Bulletin de sécuriré de McAfee :	-	other
Bulletin de sécurité de Kaspersky :	-	other
Analyse du virus :	-	other
Avis de sécurité CERTA-2003-AVI-019 du 06 février 2003 :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003ePlates-formes Microsoft Windows, sauf Windows 3.x.\u003c/P\u003e",
  "closed_at": "2004-02-26",
  "content": "## Description\n\nLe virus Bizex, qui semble se propager actuellement, utilise les\nmessageries instantan\u00e9es. Il invite le destinataire d\u0027un message ICQ \u00e0\ncliquer sur un lien HTML. En exploitant plusieurs vuln\u00e9rabilit\u00e9s de\nWindows et d\u0027Internet Explorer, il s\u0027installe sur le syst\u00e8me de la\nvictime.\n\nIl capture ensuite les informations des fen\u00eatres actives dont le nom\nappartient \u00e0 la liste ci-dessous, stocke ces informations dans divers\nfichiers .log sur le syst\u00e8me, et les transf\u00e8re sur un serveur FTP.\n\nLe virus se propage alors \u00e0 tous les correspondants de la liste de\ncontacts ICQ.  \n\nConcernant la vuln\u00e9rabilit\u00e9 d\u0027Internet Explorer :\n\n-   pour Symantec, il s\u0027agit de la vuln\u00e9rabilit\u00e9 showhelp() Cette\n    vuln\u00e9rabilit\u00e9 est d\u00e9crite dans l\u0027avis CERTA-2003-AVI-019 du 06\n    f\u00e9vrier 2003 (avis de s\u00e9curit\u00e9 Microsoft MS-03-004) ;\n-   pour McAfee, il s\u0027agit d\u0027une vuln\u00e9rabilit\u00e9 corrig\u00e9 par le patch\n    ms03-040 (patch cumulatif). Ce patch a fait l\u0027object de l\u0027alerte\n    CERTA-2003-ALE-004 du 06 octobre 2003.  \n\nLe CERTA ne dispose pas encore de ce virus et ne peut pas valider ces\ninformations.  \n\nListe des fen\u00eatres pour lesquelles le virus capture des informations :\n\n-   Acceso a Banca por Internet\n-   Accueil Bred.fr \\\u003e Espace Bred.fr\n-   American Express UK - Personal Finance\n-   Banamex.com\n-   baNK\n-   Banque\n-   Banque en ligne\n-   Barclaycard Merchant Services\n-   Collegamento a Scrigno\n-   Commercial Electronic Office Sign On\n-   Credit Lyonnais interacti\n-   CyberMUT\n-   e-gold Account Access\n-   E\\*TRADE Log On\n-   Home Page Banca Intesa\n-   LloydsTSB online - Welcome\n-   Merchant Administration\n-   Page d\u0027accueil\n-   Secure User Area\n-   SUNCORP METWAY\n-   Tous les produits et services\n-   VeriSign Partner Manager\n-   VeriSign Personal Trust Service\n-   Wells Fargo - Small Business Home Page\n\n## Contournement provisoire\n\nPour limiter la fuite d\u0027informations, filtrer le protocole FTP en\nsortie.\n\n## Solution\n\n-   Appliquer tous les correctifs sur les syt\u00e8mes ;\n-   mettre \u00e0 jour le syst\u00e8me antivirus.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 de Microsoft MS03-004 :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms03-004.asp"
    },
    {
      "title": "Alerte de s\u00e9curit\u00e9 CERTA-2003-ALE-004 du 06 octobre 2003 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-004/index.html"
    },
    {
      "title": "Recommandation du CERTA sur l\u0027usage de la messagerie    instantan\u00e9e ou de l\u0027IRC :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-001/index.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de Symantec :",
      "url": "http://securityresponse.symantec.com/avcenter/venc/data/w32.bizex.worm.html"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 de Microsoft MS03-040 :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms03-040.asp"
    },
    {
      "title": "Bulletin de s\u00e9curir\u00e9 de McAfee :",
      "url": "http://us.mcafee.com/virusInfo/default.asp?id=description\u0026virus_k=101044"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de Kaspersky :",
      "url": "http://www.kaspersky.com/news.html?id=4277566"
    },
    {
      "title": "Analyse du virus :",
      "url": "http://www.viruslist.com/eng/viruslist.html?id=1029528"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 CERTA-2003-AVI-019 du 06 f\u00e9vrier 2003 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-019/index.html"
    }
  ],
  "reference": "CERTA-2004-ALE-002",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-02-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Compromission du syst\u00e8me"
    },
    {
      "description": "Vol d\u0027informations confidentielles"
    }
  ],
  "summary": "Le virus Bizex semble se propager actuellement, via les messageries\ninstantan\u00e9es ICQ.\n",
  "title": "Propagation du virux Bizex",
  "vendor_advisories": []
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted