CERTA-2000-AVI-049

Vulnerability from certfr_avis - Published: - Updated:

Le Virus FunnyStory, est un script en VBS, qui se propage, comme beaucoup d'autres (par exemple Melissa et ILoveYou), via le carnet d'adresse du logiciel Outlook. Mais il a la particularité d'installer un cheval de Troie qui envoye à une adresse programmée des données sensibles lues sur le système.

Description

Comme ses prédécesseurs, ce virus se recopie dans un répertoire système, et se propage par mél à destination de tous les contacts présents dans le carnet d'adresse d'Outlook.

Il y a plusieurs versions de ce ver, connues sous les noms de VBS/Funny-A, Funny-B, FunnyStory, et il pourrait y en avoir d'autres. Sophos Antivirus et Panda software décrivent une version légèrement différente, mais la base reste approximativement la même.

L'action principale de ce virus est d'installer un cheval de Troie (connu sous le nom de Troj/Hooker-E). Ce dernier, lorsqu'il est exécuté, récupère des données présentes sur le disque dur telles que les noms et mots de passes des utilisateurs du système, et d'autres informations de configuration comme l'adresse IP de la machine, et les envoye à une adresse programmée.

Contournement provisoire

Le virus FunnyStory se présente sous la forme d'un courrier électronique intitulé Funny Story.

La partie active du virus est dans l'attachement qui est, selon les versions, un fichier nommé Funny_Story.htm.vbs, ou LIFE_ASSURANCE.HTM.vbs. Notons que selon la configuration, on peut voir l'attachement sous la forme htm, qui laisse penser que l'attachement est anodin.

Enfin, si le cheval de Troie Troj/Hooker-E est installé, il faut le supprimer en détruisant le fichier nommé mstk32.exe présent dans le répertoire système de Windows, et supprimer la clé nommée mstk32 qui se trouve dans la branche HKLM/Software/Microsoft/Windows/Current/Version/RunOnce de la base des registres. Cette clé sert à Troj/Hooker-E à s'exécuter à chaque démarrage de la machine.

Solution

Mettre à jour votre anti-virus.

Il faut se méfier des pièces jointes, ne pas les ouvrir, et en avoir désactivé l'ouverture automatique. De plus, votre lecteur de courrier, doit lire les pages web comme du texte uniquement et ne doit pas exécuter les contrôles Active X, de même votre navigateur internet, comme indiqué dans les avis notes et alertes : CERTA-2000-AVI-002, CERTA-2000-ALE-001 et CERTA-2000-ALE-002, CERTA-2000-INF-002.

Tous systèmes Microsoft Windows.

Impacted products
Vendor Product Description
References
Sophos Antivirus et Panda Software None vendor-advisory
Réseau de confiance None vendor-advisory
Avis du CERTA : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTous syst\u00e8mes Microsoft Windows.\u003c/P\u003e",
  "content": "## Description\n\nComme ses pr\u00e9d\u00e9cesseurs, ce virus se recopie dans un r\u00e9pertoire syst\u00e8me,\net se propage par m\u00e9l \u00e0 destination de tous les contacts pr\u00e9sents dans\nle carnet d\u0027adresse d\u0027Outlook.\n\nIl y a plusieurs versions de ce ver, connues sous les noms de\nVBS/Funny-A, Funny-B, FunnyStory, et il pourrait y en avoir d\u0027autres.\nSophos Antivirus et Panda software d\u00e9crivent une version l\u00e9g\u00e8rement\ndiff\u00e9rente, mais la base reste approximativement la m\u00eame.\n\nL\u0027action principale de ce virus est d\u0027installer un cheval de Troie\n(connu sous le nom de Troj/Hooker-E). Ce dernier, lorsqu\u0027il est ex\u00e9cut\u00e9,\nr\u00e9cup\u00e8re des donn\u00e9es pr\u00e9sentes sur le disque dur telles que les noms et\nmots de passes des utilisateurs du syst\u00e8me, et d\u0027autres informations de\nconfiguration comme l\u0027adresse IP de la machine, et les envoye \u00e0 une\nadresse programm\u00e9e.\n\n## Contournement provisoire\n\nLe virus FunnyStory se pr\u00e9sente sous la forme d\u0027un courrier \u00e9lectronique\nintitul\u00e9 Funny Story.\n\nLa partie active du virus est dans l\u0027attachement qui est, selon les\nversions, un fichier nomm\u00e9 Funny_Story.htm.vbs, ou\nLIFE_ASSURANCE.HTM.vbs. Notons que selon la configuration, on peut voir\nl\u0027attachement sous la forme htm, qui laisse penser que l\u0027attachement est\nanodin.\n\nEnfin, si le cheval de Troie Troj/Hooker-E est install\u00e9, il faut le\nsupprimer en d\u00e9truisant le fichier nomm\u00e9 mstk32.exe pr\u00e9sent dans le\nr\u00e9pertoire syst\u00e8me de Windows, et supprimer la cl\u00e9 nomm\u00e9e mstk32 qui se\ntrouve dans la branche\nHKLM/Software/Microsoft/Windows/Current/Version/RunOnce de la base des\nregistres. Cette cl\u00e9 sert \u00e0 Troj/Hooker-E \u00e0 s\u0027ex\u00e9cuter \u00e0 chaque\nd\u00e9marrage de la machine.\n\n## Solution\n\nMettre \u00e0 jour votre anti-virus.\n\nIl faut se m\u00e9fier des pi\u00e8ces jointes, ne pas les ouvrir, et en avoir\nd\u00e9sactiv\u00e9 l\u0027ouverture automatique. De plus, votre lecteur de courrier,\ndoit lire les pages web comme du texte uniquement et ne doit pas\nex\u00e9cuter les contr\u00f4les Active X, de m\u00eame votre navigateur internet,\ncomme indiqu\u00e9 dans les avis notes et alertes : CERTA-2000-AVI-002,\nCERTA-2000-ALE-001 et CERTA-2000-ALE-002, CERTA-2000-INF-002.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis du CERTA :",
      "url": "http://www.sophos.com/virusinfo/analyses/vbsfunnya.html"
    }
  ],
  "reference": "CERTA-2000-AVI-049",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-09-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Propagation d\u0027un ver de messagerie (saturation du serveur de messagerie). diffusion d\u0027informations confidentielles et de mots de passes"
    }
  ],
  "summary": "Le Virus FunnyStory, est un script en VBS, qui se propage, comme\nbeaucoup d\u0027autres (par exemple Melissa et ILoveYou), via le carnet\nd\u0027adresse du logiciel Outlook. Mais il a la particularit\u00e9 d\u0027installer un\ncheval de Troie qui envoye \u00e0 une adresse programm\u00e9e des donn\u00e9es\nsensibles lues sur le syst\u00e8me.\n",
  "title": "Virus FunnyStory",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Sophos Antivirus et Panda Software",
      "url": null
    },
    {
      "published_at": null,
      "title": "R\u00e9seau de confiance",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.