CERTA-2000-ALE-007

Vulnerability from certfr_alerte - Published: - Updated:

VBS/LoveLet-AS est un virus VBS de type Loveletter situé dans un pièce jointe et se propageant par le carnet d'adresses d'Outlook.

Description

Message type de présentation du virus

Sujet : « US PRESIDENT AND FBI SECRETS =PLEASE VISIT=> (http://WWW.2600.COM)\<= »

Texte : « VERY JOKE..! SEE PRESIDENT AND FBY TOP SECRET PICTURE.. » ou une chaîne aléatoire de 10 caractères.

Ce virus affiche, le 17 septembre, un message d'avertissement :

« Dedicated to my best brother =>Christiam Julian(C.J.G.S) Att », suivi de 5 lettres aléatoires et de « (M.H.M. Team ».

Il essaie de démonter les lecteur Z: à E:

Il essaie de télécharger les fichiers MACROMEDIA32.ZIP, LINUX321.ZIP et LINUX322.ZIP via Internet Explorer.

Ces fichiers ne sont pas des fichers compressés mais un fichier texte et deux fichiers d'images.

MACROMEDIA32.ZIP est copié dans le répertoire Windows, sous le nom important_note.txt et le met en mode RUN dans la base de registre.

Les deux autres fichiers sont également copiés dans le répertoire Windows sous les noms respectifs de logos.sys et logw.sys.

Le virus se duplique sous deux noms différents : LINUX32.VBS et reload.vbs et les rends exécutables au démarrage.

Il se duplique également dans le répertoire system avec un nom commençant par 5 à 8 caractère choisi au hazard suivi des extensions .GIF.VBS ou .JPG.VBS.

C'est ce fichier qui est envoyé à toutes les adresses du carnet d'adresses d'outlook.

Solution

  • Mettre à jour votre antivirus
  • Suivre les conseils de la notre d'information CERTA-2000-INF-002
None
Impacted products
Vendor Product Description
Microsoft Windows Windows nt
Microsoft Windows Windows 9x
References
Sophos None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows nt",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 9x",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2000-06-09",
  "content": "## Description\n\nMessage type de pr\u00e9sentation du virus\n\n**Sujet**\n:   \u00ab US PRESIDENT AND FBI SECRETS =PLEASE VISIT=\\\u003e\n    (http://WWW.2600.COM)\\\u003c= \u00bb\n\n**Texte**\n:   \u00ab VERY JOKE..! SEE PRESIDENT AND FBY TOP SECRET PICTURE.. \u00bb ou une\n    cha\u00eene al\u00e9atoire de 10 caract\u00e8res.\n\nCe virus affiche, le 17 septembre, un message d\u0027avertissement :\n\n\u00ab Dedicated to my best brother =\\\u003eChristiam Julian(C.J.G.S) Att \u00bb, suivi\nde 5 lettres al\u00e9atoires et de \u00ab (M.H.M. Team \u00bb.\n\nIl essaie de d\u00e9monter les lecteur Z: \u00e0 E:\n\nIl essaie de t\u00e9l\u00e9charger les fichiers MACROMEDIA32.ZIP, LINUX321.ZIP et\nLINUX322.ZIP via Internet Explorer.\n\nCes fichiers ne sont pas des fichers compress\u00e9s mais un fichier texte et\ndeux fichiers d\u0027images.\n\nMACROMEDIA32.ZIP est copi\u00e9 dans le r\u00e9pertoire Windows, sous le nom\nimportant_note.txt et le met en mode RUN dans la base de registre.\n\nLes deux autres fichiers sont \u00e9galement copi\u00e9s dans le r\u00e9pertoire\nWindows sous les noms respectifs de logos.sys et logw.sys.\n\nLe virus se duplique sous deux noms diff\u00e9rents : LINUX32.VBS et\nreload.vbs et les rends ex\u00e9cutables au d\u00e9marrage.\n\nIl se duplique \u00e9galement dans le r\u00e9pertoire system avec un nom\ncommen\u00e7ant par 5 \u00e0 8 caract\u00e8re choisi au hazard suivi des extensions\n.GIF.VBS ou .JPG.VBS.\n\nC\u0027est ce fichier qui est envoy\u00e9 \u00e0 toutes les adresses du carnet\nd\u0027adresses d\u0027outlook.\n\n## Solution\n\n-   Mettre \u00e0 jour votre antivirus\n-   Suivre les conseils de la notre d\u0027information CERTA-2000-INF-002\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-ALE-007",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-06-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Virus"
    }
  ],
  "summary": "VBS/LoveLet-AS est un virus VBS de type Loveletter situ\u00e9 dans un pi\u00e8ce\njointe et se propageant par le carnet d\u0027adresses d\u0027Outlook.\n",
  "title": "Virus VBS/LoveLet-AS",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Sophos",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.