certfr_alerte - certa-2000-ale-001

CERTA-2000-ALE-001

Vulnerability from certfr_alerte - Published: - Updated:

Un ver se répend actuellement très vite sur le réseau internet par le biais de la messagerie et de l'IRC. Il infecte de nombreux fichiers qu'il détruit.

Ce ver écrit en VISUAL BASIC est déjà recensé chez des partenaires du CERTA.

Origine

Source du ver donnée par un de nos partenaire.
groupe de news fr.comp.securite.
Avis du CERT IST.
Avis SYMANTEC http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html.

Symptomes

5.1 E-mail

Arrivée d'un e-mail aux caractéristiques suivantes :

Objet : : ILOVEYOU

Corps du message : kindly check the attached LOVELETTER coming from me.

Fichier attaché : LOVE-LETTER-FOR-YOU.TXT.vbs.

5.2 IRC

Réception d'une page HTML LOVE-LETTER-FOR-YOU.HTM ayant pour titre « LOVELETTER - HTML» dès que l'on se connecte à un canal IRC sur lequel une personne infectée est présente.

5.3 Fichiers infectés

5.3.1 Faux fichiers systèmes

Les fichiers suivants sont créés

Dans le répertoire de windows (WINDOW ou WINNT): Win32DLL.vbs
Dans le répertoire système de Windows : MSKernel32.vbs et LOVE-LETTER-FOR-YOU.TXT.vbs (c'est ce dernier qui sert d'attachement aux e-mail), LOVE-LETTER-FOR-YOU.HTM (servant pour l'infection sur IRC) et WinFAT32.exe.

5.3.2 Configuration

5.3.2.1 Internet Explorer

Modification de la page de démarrage d'Internet Explorer de manière à télécharger un exécutable WIN-BUGSFIX.exe au prochain lancement du navigateur. L'exécutable est rangé dans le répertoire de téléchargement d'Internet Explorer.

5.3.2.2 mIRC

Écrasement du fichier de configuration script.ini qui s'exécute à chaque fois qu'un interlocuteur entre sur le canal IRC où vous êtes connectés.

5.3.3 La base de registre

Elle est modifiée pour relancer le ver (et WIN-BUGSFIX.exe) à chaque démarrage :

dans le chemin HKLM\Software\Microsoft\Windows\CurrentVersion\Run création des clefs MSKernel32 et WIN-BUGSFIX ;
dans le chemin HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices création d'une clef Win32DLL.

5.3.4 Fichiers écrasés

Tous les fichiers aux extensions suivantes situés sur des disques fixes locaux ou sur des disques réseaux sont potentiellement infectés :

*.vbs, *.vbe : contenu écrasé par le code du ver ;
*.js, *.jse, *.css, *.wsh, *.sct, *.hta : le contenu est écrasé par le code du ver et l'extension est remplacée par .vbs. Par exemple toto.css devient toto.vbs.
*.jpg, *.jpeg : le contenu est écrasé par le code du ver et l'extension .vbs est ajoutée à la fin.
*.mp2, *.mp3 : sont cachés (attribut caché) et des fichiers *.mp2.vbs ou *.mp3.vbs sont créés avec le contenu du ver. Par exemple : toto.mp3 devient caché et un fichier visible toto.mp3.vbs est créé.

Solution

6.1 Antivirus

Mettre à jour l'antivirus.

6.2 Firewall

Le temps de l'alerte bloquer les chargements http depuis le site www.skyinet.net/~young1s/ ou ~angelcat/ ou ~chu/ ou ~koichi/.

6.3 Configuration d'Internet Explorer

Dans les paramètres de sécurité, il faut demander au moins l'avis de l'utilisateur avant d'exécuter du code dans une page HTML.

6.4 Configuration de mIRC

Décocher « Autoaccept DCC send request » dans les paramètres de votre connexion/profil, afin de ne plus accepter automatiquement les fichiers envoyés par dcc send.

Ne JAMAIS accepter les fichiers que l'on vous envoie.

6.5 E-mail

Ne JAMAIS exécuter une pièce jointe.

6.6 Option de l'explorateur de Windows

Désactiver le lien entre les fichiers *.vbs et l'interpréteur WSH (wscript.exe).

6.7 Faire le ménage

6.7.1 Nettoyer la base de registre

Supprimer les Entrée citées précédemment au paragraphe 5.3.3.

6.8 mIRC

Détruire le fichier script.ini s'il contient la chaîne LOVE-LETTER-FOR-YOU.HTM.

6.9 Internet Explorer

Vérifier dans le panneau de configuration que la page de garde ne pointe pas sur l'un des sites www.skyinet.net.

6.10 Nettoyer les fichiers systèmes

Supprimer les fichiers .vbs et .htm cités précédemment au paragraphe 5.3.1. Vérifier l'origine du fichier WinFAT32.exe.

6.11 Nettoyer le répertoire de téléchargement d'internet explorer

Supprimer le fichier WIN-BUGSFIX.exe.

6.12 Analyser tous les fichiers .vbs et .vbe

Détruire tous les fichiers à l'extension *.vbs et *.vbe contenant le ver. Par exemple, tous les fichiers .vbs ou .vbe contenant la chaîne ispyder@mail.com.

Tous les systèmes Windows (NT, 2000 et 9x) sont concernés.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

code source du virus

None

vendor-advisory

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTous les syst\u00e8mes Windows (NT, 2000 et 9x) sont concern\u00e9s.\u003c/P\u003e",
  "closed_at": "2000-07-05",
  "content": "## Origine\n\n-   Source du ver donn\u00e9e par un de nos partenaire.\n-   groupe de news fr.comp.securite.\n-   Avis du CERT IST.\n-   Avis SYMANTEC\n    http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html.\n\n## Symptomes\n\n## 5.1 E-mail\n\nArriv\u00e9e d\u0027un e-mail aux caract\u00e9ristiques suivantes :\n\n**Objet :**\n:   ILOVEYOU\n\n**Corps du message**\n:   kindly check the attached LOVELETTER coming from me.\n\n**Fichier attach\u00e9**\n:   LOVE-LETTER-FOR-YOU.TXT.vbs.\n\n## 5.2 IRC\n\nR\u00e9ception d\u0027une page HTML LOVE-LETTER-FOR-YOU.HTM ayant pour titre \u00ab\nLOVELETTER - HTML\u00bb d\u00e8s que l\u0027on se connecte \u00e0 un canal IRC sur lequel\nune personne infect\u00e9e est pr\u00e9sente.\n\n## 5.3 Fichiers infect\u00e9s\n\n###  5.3.1 Faux fichiers syst\u00e8mes\n\nLes fichiers suivants sont cr\u00e9\u00e9s\n\n-   Dans le r\u00e9pertoire de windows (WINDOW ou WINNT): Win32DLL.vbs\n-   Dans le r\u00e9pertoire syst\u00e8me de Windows : MSKernel32.vbs et\n    LOVE-LETTER-FOR-YOU.TXT.vbs (c\u0027est ce dernier qui sert d\u0027attachement\n    aux e-mail), LOVE-LETTER-FOR-YOU.HTM (servant pour l\u0027infection sur\n    IRC) et WinFAT32.exe.\n\n### 5.3.2 Configuration\n\n#### 5.3.2.1 Internet Explorer\n\nModification de la page de d\u00e9marrage d\u0027Internet Explorer de mani\u00e8re \u00e0\nt\u00e9l\u00e9charger un ex\u00e9cutable WIN-BUGSFIX.exe au prochain lancement du\nnavigateur. L\u0027ex\u00e9cutable est rang\u00e9 dans le r\u00e9pertoire de t\u00e9l\u00e9chargement\nd\u0027Internet Explorer.\n\n#### 5.3.2.2 mIRC\n\n\u00c9crasement du fichier de configuration script.ini qui s\u0027ex\u00e9cute \u00e0 chaque\nfois qu\u0027un interlocuteur entre sur le canal IRC o\u00f9 vous \u00eates connect\u00e9s.\n\n###  5.3.3 La base de registre\n\nElle est modifi\u00e9e pour relancer le ver (et WIN-BUGSFIX.exe) \u00e0 chaque\nd\u00e9marrage :\n\n-   dans le chemin `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`\n    cr\u00e9ation des clefs MSKernel32 et WIN-BUGSFIX ;\n-   dans le chemin\n    `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices`\n    cr\u00e9ation d\u0027une clef Win32DLL.\n\n### 5.3.4 Fichiers \u00e9cras\u00e9s\n\nTous les fichiers aux extensions suivantes situ\u00e9s sur des disques fixes\nlocaux ou sur des disques r\u00e9seaux sont potentiellement infect\u00e9s :\n\n-   \\*.vbs, \\*.vbe : contenu \u00e9cras\u00e9 par le code du ver ;\n-   \\*.js, \\*.jse, \\*.css, \\*.wsh, \\*.sct, \\*.hta : le contenu est\n    \u00e9cras\u00e9 par le code du ver et l\u0027extension est remplac\u00e9e par .vbs. Par\n    exemple toto.css devient toto.vbs.\n-   \\*.jpg, \\*.jpeg : le contenu est \u00e9cras\u00e9 par le code du ver et\n    l\u0027extension .vbs est ajout\u00e9e \u00e0 la fin.\n-   \\*.mp2, \\*.mp3 : sont cach\u00e9s (attribut cach\u00e9) et des fichiers\n    \\*.mp2.vbs ou \\*.mp3.vbs sont cr\u00e9\u00e9s avec le contenu du ver. Par\n    exemple : toto.mp3 devient cach\u00e9 et un fichier visible toto.mp3.vbs\n    est cr\u00e9\u00e9.\n\n## Solution\n\n## 6.1 Antivirus\n\nMettre \u00e0 jour l\u0027antivirus.\n\n## 6.2 Firewall\n\nLe temps de l\u0027alerte bloquer les chargements http depuis le site\n`www.skyinet.net/~young1s/` ou `~angelcat/` ou `~chu/` ou `~koichi/`.\n\n## 6.3 Configuration d\u0027Internet Explorer\n\nDans les param\u00e8tres de s\u00e9curit\u00e9, il faut demander au moins l\u0027avis de\nl\u0027utilisateur avant d\u0027ex\u00e9cuter du code dans une page HTML.\n\n## 6.4 Configuration de mIRC\n\nD\u00e9cocher \u00ab Autoaccept DCC send request \u00bb dans les param\u00e8tres de votre\nconnexion/profil, afin de ne plus accepter automatiquement les fichiers\nenvoy\u00e9s par dcc send.\n\nNe \u003cspan class=\"textbf\"\u003eJAMAIS\u003c/span\u003e accepter les fichiers que l\u0027on\nvous envoie.\n\n## 6.5 E-mail\n\nNe \u003cspan class=\"textbf\"\u003eJAMAIS\u003c/span\u003e ex\u00e9cuter une pi\u00e8ce jointe.\n\n## 6.6 Option de l\u0027explorateur de Windows\n\nD\u00e9sactiver le lien entre les fichiers \\*.vbs et l\u0027interpr\u00e9teur WSH\n(wscript.exe).\n\n## 6.7 Faire le m\u00e9nage\n\n### 6.7.1 Nettoyer la base de registre\n\nSupprimer les Entr\u00e9e cit\u00e9es pr\u00e9c\u00e9demment au paragraphe\u00a0[5.3.3](#bdr).\n\n## 6.8 mIRC\n\nD\u00e9truire le fichier script.ini s\u0027il contient la cha\u00eene\nLOVE-LETTER-FOR-YOU.HTM.\n\n## 6.9 Internet Explorer\n\nV\u00e9rifier dans le panneau de configuration que la page de garde ne pointe\npas sur l\u0027un des sites www.skyinet.net.\n\n## 6.10 Nettoyer les fichiers syst\u00e8mes\n\nSupprimer les fichiers .vbs et .htm cit\u00e9s pr\u00e9c\u00e9demment au\nparagraphe\u00a0[5.3.1](#ffs). V\u00e9rifier l\u0027origine du fichier WinFAT32.exe.\n\n## 6.11 Nettoyer le r\u00e9pertoire de t\u00e9l\u00e9chargement d\u0027internet explorer\n\nSupprimer le fichier WIN-BUGSFIX.exe.\n\n## 6.12 Analyser tous les fichiers .vbs et .vbe\n\nD\u00e9truire tous les fichiers \u00e0 l\u0027extension \\*.vbs et \\*.vbe contenant le\nver. Par exemple, tous les fichiers .vbs ou .vbe contenant la cha\u00eene\nispyder@mail.com.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-ALE-001",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-05-05T00:00:00.000000"
    },
    {
      "description": "modifications de mise en page.",
      "revision_date": "2000-07-05T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Risque \u00e9lev\u00e9"
    },
    {
      "description": "\u00c9crasement de fichiers"
    },
    {
      "description": "Le mode de propagation peut entra\u00eener une grande surchage des r\u00e9seaux"
    },
    {
      "description": "Faille officielle"
    },
    {
      "description": "Probablement un cheval de troie (reste \u00e0 confirmer)"
    }
  ],
  "summary": "Un ver se r\u00e9pend actuellement tr\u00e8s vite sur le r\u00e9seau internet par le\nbiais de la messagerie et de l\u0027IRC. Il infecte de nombreux fichiers\nqu\u0027il d\u00e9truit.\n\nCe ver \u00e9crit en VISUAL BASIC est d\u00e9j\u00e0 recens\u00e9 chez des partenaires du\nCERTA.\n",
  "title": "Alerte de virus LOVE-LETTER-FOR-YOU",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "code source du virus",
      "url": null
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted