CERTA-2000-AVI-019

Vulnerability from certfr_avis - Published: - Updated:

Un virus d'une nouvelle génération a été détecté. Il doit son originalité à son environnement de développement : Autocad 2000.

Description

Ce virus nommé AC97M/Star est aussi connu sous le nom de ACAD/Star, ACAD.Star, Autocad2k/Star, ou encore AC2KM/Star, il peut être classé dans la catégorie des virus de macro.

Il se loge dans les dessins Autocad (Autocad Drawings), et se base sur la technique de W97M/Marker pour déceler s'il est déja présent dans un document ou non. C'est à dire qu'il recherche une chaîne de caractères types dans les fichiers qu'il peut infecter.

Il contient aussi une part de code provenant de V5M/Radiant.

Détection

Il ne se manifeste pas par une action, mais est repérable par le fait qu'un dessin non modifié vous proposera quand même d'enregistrer les changements à sa fermeture. La procédure de fermeture peut aussi durer un peu plus longtemps que normalement à cause de l'exécution du code du virus.

Ce virus possède une signature typique, il contient les chaînes de caractères suivantes :

'[Autocad2k\Star]
'[A.s.T]
'Big Greetz to some0ne really special
'"You'll always be a star in my sky"

Solution

Utiliser un antivirus à jour. Actuellement, seul Viruscan de McAfee semble détecter ce virus.

Logiciel Autocad 2000. Autocad LT n'est pas atteint car il ne supporte pas le VBA.

Impacted products
Vendor Product Description
References
Réseau de Confiance None vendor-advisory
Infomations Virus de McAfee None vendor-advisory
Site McAfee : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLogiciel Autocad 2000. Autocad LT n\u0027est pas atteint car il ne  supporte pas le VBA.\u003c/P\u003e",
  "content": "## Description\n\nCe virus nomm\u00e9 AC97M/Star est aussi connu sous le nom de ACAD/Star,\nACAD.Star, Autocad2k/Star, ou encore AC2KM/Star, il peut \u00eatre class\u00e9\ndans la cat\u00e9gorie des virus de macro.\n\nIl se loge dans les dessins Autocad (Autocad Drawings), et se base sur\nla technique de W97M/Marker pour d\u00e9celer s\u0027il est d\u00e9ja pr\u00e9sent dans un\ndocument ou non. C\u0027est \u00e0 dire qu\u0027il recherche une cha\u00eene de caract\u00e8res\ntypes dans les fichiers qu\u0027il peut infecter.\n\nIl contient aussi une part de code provenant de V5M/Radiant.\n\n## D\u00e9tection\n\nIl ne se manifeste pas par une action, mais est rep\u00e9rable par le fait\nqu\u0027un dessin non modifi\u00e9 vous proposera quand m\u00eame d\u0027enregistrer les\nchangements \u00e0 sa fermeture. La proc\u00e9dure de fermeture peut aussi durer\nun peu plus longtemps que normalement \u00e0 cause de l\u0027ex\u00e9cution du code du\nvirus.\n\nCe virus poss\u00e8de une signature typique, il contient les cha\u00eenes de\ncaract\u00e8res suivantes :\n\n    \u0027[Autocad2k\\Star]\n    \u0027[A.s.T]\n    \u0027Big Greetz to some0ne really special\n    \u0027\"You\u0027ll always be a star in my sky\"\n\n## Solution\n\nUtiliser un antivirus \u00e0 jour. Actuellement, seul Viruscan de McAfee\nsemble d\u00e9tecter ce virus.\n",
  "cves": [],
  "links": [
    {
      "title": "Site McAfee :",
      "url": "http://vil.nai.com/villib/dispVirus.asp?virus_k=98745"
    }
  ],
  "reference": "CERTA-2000-AVI-019",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-07-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Selon mcafee, pour le moment aucun car cette version ne contient pas de code malfaisant... ce virus se contente uniquement de se propager"
    }
  ],
  "summary": "Un virus d\u0027une nouvelle g\u00e9n\u00e9ration a \u00e9t\u00e9 d\u00e9tect\u00e9. Il doit son\noriginalit\u00e9 \u00e0 son environnement de d\u00e9veloppement : Autocad 2000.\n",
  "title": "Virus sous Autocad2000",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "R\u00e9seau de Confiance",
      "url": null
    },
    {
      "published_at": null,
      "title": "Infomations Virus de McAfee",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.