CERTA-2000-ALE-002

Vulnerability from certfr_alerte - Published: - Updated:

Un nouveau virus appell� ``NewLove'' mutant de ``ILOVEYO'' est en train de se propager sur le r�seau. Comme ce dernier il est �crit en VBScript et se propage par e-mail, dont l'objet commence par ``FW'' et comportant une pi�ce jointe portant l'extension .vbs. Cette pi�ce jointe porte un nom al�atoire � chaque envoi.

Si l'utilisateur double-clique sur la pi�ce-jointe, le ver va s'excuter � l'aide de WSH.

Origine

  • Nous ne disposons pas encore des sources du ver.
  • Informations obtenues sur les groupes de news.
  • Informations donn�es par un de nos partenaire.
  • Lu sur les sites de NAI (Macfee) et Symantec (Norton).

Principe

4.1 Propagation

Quand le ver est lanc�, il se recopie dans le dossier Windows en prenant un nom de l'un des documents r�cemment ouvert, avec une extension prise alatoirement dans la liste : Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt et en y ajoutant l'extension .vbs.

Il s'auto-modifie en ajoutant des commentaires alatoires � son code apr�s chaque infection afin de troubler sa d�tection.

Ensuite, le programme cherche � se propager en exploitant le carnet d'adresses d'Outlook de la victime (de la m�me fa�on qu'ILOVEYOU).

4.2 Syst�mes impact�s

Comme pour ILOVEYOU tous les syst�mes Windows sont concern�s.

Fichiers infect�s

  1. Il modifie les entr�es suivantes dans la base de registres:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
  2. NEWLOVE s'attaque � tous les fichiers qui ne sont pas en cours d'utilisation, en les rempla�ant par lui m�me.
None
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": null,
  "closed_at": "2000-05-19",
  "content": "## Origine\n\n-   Nous ne disposons pas encore des sources du ver.\n-   Informations obtenues sur les groupes de news.\n-   Informations donn\ufffdes par un de nos partenaire.\n-   Lu sur les sites de NAI (Macfee) et Symantec (Norton).\n\n## Principe\n\n## 4.1 Propagation\n\nQuand le ver est lanc\ufffd, il se \u003cspan class=\"textbf\"\u003erecopie dans le\ndossier Windows\u003c/span\u003e en prenant un nom de l\u0027un des documents r\ufffdcemment\nouvert, avec une extension prise alatoirement dans la liste : Doc, Xls,\nMdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt et en y ajoutant\nl\u0027extension .vbs.\n\nIl s\u0027auto-modifie en ajoutant des commentaires alatoires \ufffd son code\napr\ufffds chaque infection afin de troubler sa d\ufffdtection.\n\nEnsuite, le programme cherche \ufffd se propager en exploitant le carnet\nd\u0027adresses d\u0027Outlook de la victime (de la m\ufffdme fa\ufffdon qu\u0027ILOVEYOU).\n\n## 4.2 Syst\ufffdmes impact\ufffds\n\nComme pour ILOVEYOU tous les syst\ufffdmes Windows sont concern\ufffds.\n\n## Fichiers infect\ufffds\n\n1.  Il modifie les entr\ufffdes suivantes dans la base de registres:\n    -   HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\\n    -   HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices\\\\\n2.  NEWLOVE s\u0027attaque \ufffd \u003cspan class=\"textbf\"\u003etous les fichiers\u003c/span\u003e\n    qui ne sont pas en cours d\u0027utilisation, en les rempla\ufffdant par lui\n    m\ufffdme.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-ALE-002",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-05-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ecrasement des fichiers non utilis\ufffds"
    },
    {
      "description": "Le risque est \ufffdlev\ufffd si les utisateurs ne sont pas sensibilis\ufffds"
    },
    {
      "description": "Le virus n\ufffdcessite une m\ufffdmoire importante ce qui ralentie sa propagation"
    },
    {
      "description": "Mode de propagation par messagerie"
    }
  ],
  "summary": "Un nouveau virus appell\ufffd \\`\\`NewLove\u0027\u0027 mutant de \\`\\`ILOVEYO\u0027\u0027 est en\ntrain de se propager sur le r\ufffdseau. Comme ce dernier il est \ufffdcrit en\nVBScript et se propage par e-mail, dont l\u0027objet commence par \\`\\`FW\u0027\u0027 et\ncomportant une pi\ufffdce jointe portant l\u0027extension .vbs. Cette pi\ufffdce jointe\nporte un nom al\ufffdatoire \ufffd chaque envoi.\n\nSi l\u0027utilisateur double-clique sur la pi\ufffdce-jointe, le ver va s\u0027excuter\n\ufffd l\u0027aide de WSH.\n",
  "title": "Alerte de virus NEWLOVE",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.