CERTA-2000-ALE-008

Vulnerability from certfr_alerte - Published: - Updated:

Serbian.trojan (également nommé Troj/Downloader ou W95/Loader Trojan) est un cheval de Troie qui s'est propagé par l'intermédiaire d'un fichier téléchargé depuis certains forums.

Description

Ce cheval de Troie a été proposé sur des forums pour adultes sous la forme d'un fichier Quickflick.mpg.exe ou Mysissy.mpg.exe se faisant ainsi passer pour un fichier vidéo (.mpg).

Une fois ce fichier exécuté sur la machine, il installe discrétement un cheval de Troie téléchargé depuis un autre site (dont l'adresse semble actuellement inaccesible), qui permet à un utilisateur distant de prendre le contrôle de la machine et de l'impliquer dans un éventuel Déni de Service par Outils Répartis. Il utilise également des ports de communications dont certains correspondent à ceux utilisés lors de connexions IRC.

Solution

  • Détection :

    Lister les ports ouverts via la commande netstat -a et s'assurer que les ports 2221, 2222, 6669 et 7000 ne sont pas utilisés.

    Le cheval de troie ajoute les lignes de commandes suivantes :

    • system.ini : shell=Explorer «trojan.exe»
    • win.ini : run=«trojan.exe»

    Il ajoute également une entrée dans la base de registre à l'emplacement :

    HKEY_USERS\Microsoft\Windows\CurrentVersion\Explorer

  • Solution :

    • Filtrer les ports 2221, 2222, 6669 et 7000 sur le firewall;
    • Mettre à jour votre anti-virus;
    • Suivre les recommandations de la note d'information CERTA-2000-INF-002 concernant les pièces jointes.
None
Impacted products
Vendor Product Description
Microsoft Windows Windows 98
Microsoft Windows Windows 95
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows 98",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 95",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2000-06-13",
  "content": "## Description\n\nCe cheval de Troie a \u00e9t\u00e9 propos\u00e9 sur des forums pour adultes sous la\nforme d\u0027un fichier Quickflick.mpg.exe ou Mysissy.mpg.exe se faisant\nainsi passer pour un fichier vid\u00e9o (.mpg).\n\nUne fois ce fichier ex\u00e9cut\u00e9 sur la machine, il installe discr\u00e9tement un\ncheval de Troie t\u00e9l\u00e9charg\u00e9 depuis un autre site (dont l\u0027adresse semble\nactuellement inaccesible), qui permet \u00e0 un utilisateur distant de\nprendre le contr\u00f4le de la machine et de l\u0027impliquer dans un \u00e9ventuel\nD\u00e9ni de Service par Outils R\u00e9partis. Il utilise \u00e9galement des ports de\ncommunications dont certains correspondent \u00e0 ceux utilis\u00e9s lors de\nconnexions IRC.\n\n## Solution\n\n-   D\u00e9tection :\n\n    Lister les ports ouverts via la commande netstat -a et s\u0027assurer que\n    les ports 2221, 2222, 6669 et 7000 ne sont pas utilis\u00e9s.  \n      \n\n    Le cheval de troie ajoute les lignes de commandes suivantes :\n\n    -   system.ini : shell=Explorer \u00abtrojan.exe\u00bb\n    -   win.ini : run=\u00abtrojan.exe\u00bb\n\n    Il ajoute \u00e9galement une entr\u00e9e dans la base de registre \u00e0\n    l\u0027emplacement :\n\n    `HKEY_USERS\\Microsoft\\Windows\\CurrentVersion\\Explorer`  \n      \n\n-   Solution :\n    -   Filtrer les ports 2221, 2222, 6669 et 7000 sur le firewall;\n    -   Mettre \u00e0 jour votre anti-virus;\n    -   Suivre les recommandations de la note d\u0027information\n        CERTA-2000-INF-002 concernant les pi\u00e8ces jointes.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-ALE-008",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-06-13T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Cheval de troie"
    }
  ],
  "summary": "Serbian.trojan (\u00e9galement nomm\u00e9 Troj/Downloader ou W95/Loader Trojan)\nest un cheval de Troie qui s\u0027est propag\u00e9 par l\u0027interm\u00e9diaire d\u0027un\nfichier t\u00e9l\u00e9charg\u00e9 depuis certains forums.\n",
  "title": "The Serbian Badman Trojan (TSB)",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.