CERTA-2001-ALE-011

Vulnerability from certfr_alerte - Published: - Updated:

Un faux antivirus a été mis à disposition sur une page web. Cet outil n'est pas un antivirus, mais son installation entraîne une compromission du système.

Description

http://www.virus-research.org

a mis à disposition un outil appelé antivirus2001censé être capable de détecter et nettoyer CodeRed,msnVirus (virus non référencé par les éditeursd'antivirus) et SubSeven. Ce faux antivirus esttéléchargeable sous le nom du fichier exécutablevscan2001.exe.  

Lorsque l'on lance cet outil pour la première fois sur une machine Windows NT ou 2000, il prétend systématiquement avoir détecté CodeRed et msnVirus, même si ceux-ci ne sont pas présents sur la machine, puis prétend les nettoyer. Aucune utilisation ultérieure de ce produit ne détectera la présence de virus. Sur une machine Windows 98, il prétend systématiquement ne rien détecter.

Cet outil est en fait un cheval de Troie qui contient un robot irc (programme assurant la gestion des canaux irc) et une porte dérobée.

Le programme vscan2001.exe crée, lors de son exécution, le répertoire C:\Program Files\Accessories\BACKUP\SYSTEM\Critical. Dans ce répertoire sont créés les fichiers expl32.exe (un bot irc utilisé pour lancer des dénis de service) et explorer2.exe (un programme servant à cacher des fenêtres), ainsi que des fichiers avec extension .dll (fichiers de configuration du robot). Le fichier C:\WINNT\DskLoader.exe (C:\windows\DskLoader.exe pour Windows 98) est également créé et appelé à chaque démarrage, mais celui-ci ne fonctionne que sous Windows 98. Enfin, le fichier C:\WINNT\prun.exe (C:\windows\prun.exe pour Windows 98) apparaît et est un outil de déni de service. La porte dérobée est le cheval de Troie SubSeven. Elle est cachée dans le fichier suivant C:\WINNT\sys.exe (C:\windows\sys.exe). L'exécution de ce fichier provoque l'ouverture du port 20823/tcp ainsi que la création du fichier syskeys.exe dans le répertoire de Windows, et un fichier exécutable dont le nom est aléatoire dans le sous-répertoire system de Windows. De plus, sont créés dans le sous-répertoire system de Windows les fichiers suivants :

  • c60htwht.dll
  • c60rlwot.dll
  • clauth1.dll
  • clauth2.dll
  • lsprst7.dll
  • ssprs.dll
  • sysprs7.dll
  • winos.dll

Des clés sont ajoutées dans la base de registre sous :

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
  • HKLM\Software\Microsoft\Active Setup\Installed Components\KeyName
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKLR\ChatFile\DefaultIcon
  • HKLR\ChatFile\Shell\open\command
  • HCR\irc\DefaultIcon
  • HCR\irc\Shell\open\command
  • HKLM\Software\CLASSES\ChatFile\DefaultIcon
  • HKLM\Software\CLASSES\ChatFile\Shell\open\command
  • HKLM\Software\CLASSES\irc\DefaultIcon
  • HKLM\Software\CLASSES\irc\Shell\open\command
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\mIRC
  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

Si le fichier sys.exe a été exécuté, alors une clé supplémentaire est ajoutée à la base de registre sous :

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Celles-ci font appel au fichier exécutable créé dans le sous-répertoire system à chaque redémarrage de Windows.

Le lancement du programme expl32.exe provoque l'ouverture en écoute du port 113/tcp, puis une tentative de connexion à un serveur irc. Le robot peut ensuite être utilisé pour lancer des attaques en déni de service.

Solution

Ne pas télécharger ce produit. S'il a été installé, réinstaller la machine. Si la réinstallation n'est pas possible, détruire tous les fichiers ainsi que les clés de la base de registres créés par ce produit. Ne pas réinstaller la machine peut néanmoins être dangereux car d'autres fichiers peuvent avoir été installés. Sous Windows 98, vous pouvez restaurer la base de registre depuis une sauvegarde antérieure grâce à la commande scanreg /restore.

Windows 98, 2000 et NT.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eWindows 98, 2000 et NT.\u003c/P\u003e",
  "closed_at": "2001-09-13",
  "content": "## Description\n\n    http://www.virus-research.org\n\na mis \u00e0 disposition un outil appel\u00e9 antivirus2001cens\u00e9 \u00eatre capable de\nd\u00e9tecter et nettoyer CodeRed,msnVirus (virus non r\u00e9f\u00e9renc\u00e9 par les\n\u00e9diteursd\u0027antivirus) et SubSeven. Ce faux antivirus estt\u00e9l\u00e9chargeable\nsous le nom du fichier ex\u00e9cutable`vscan2001.exe`. \u00a0\n\nLorsque l\u0027on lance cet outil pour la premi\u00e8re fois sur une machine\nWindows NT ou 2000, il pr\u00e9tend syst\u00e9matiquement avoir d\u00e9tect\u00e9 CodeRed et\nmsnVirus, m\u00eame si ceux-ci ne sont pas pr\u00e9sents sur la machine, puis\npr\u00e9tend les nettoyer. Aucune utilisation ult\u00e9rieure de ce produit ne\nd\u00e9tectera la pr\u00e9sence de virus. Sur une machine Windows 98, il pr\u00e9tend\nsyst\u00e9matiquement ne rien d\u00e9tecter.  \n\u00a0\n\nCet outil est en fait un cheval de Troie qui contient un robot irc\n(programme assurant la gestion des canaux irc) et une porte d\u00e9rob\u00e9e.  \n\u00a0\n\nLe programme vscan2001.exe cr\u00e9e, lors de son ex\u00e9cution, le r\u00e9pertoire\n`C:\\Program  Files\\Accessories\\BACKUP\\SYSTEM\\Critical`. Dans ce\nr\u00e9pertoire sont cr\u00e9\u00e9s les fichiers expl32.exe (un bot irc utilis\u00e9 pour\nlancer des d\u00e9nis de service) et explorer2.exe (un programme servant \u00e0\ncacher des fen\u00eatres), ainsi que des fichiers avec extension .dll\n(fichiers de configuration du robot). Le fichier\n`C:\\WINNT\\DskLoader.exe` (`C:\\windows\\DskLoader.exe` pour Windows 98)\nest \u00e9galement cr\u00e9\u00e9 et appel\u00e9 \u00e0 chaque d\u00e9marrage, mais celui-ci ne\nfonctionne que sous Windows 98. Enfin, le fichier `C:\\WINNT\\prun.exe`\n(`C:\\windows\\prun.exe` pour Windows 98) appara\u00eet et est un outil de d\u00e9ni\nde service. La porte d\u00e9rob\u00e9e est le cheval de Troie SubSeven. Elle est\ncach\u00e9e dans le fichier suivant `C:\\WINNT\\sys.exe`\n(`C:\\windows\\sys.exe`). L\u0027ex\u00e9cution de ce fichier provoque l\u0027ouverture\ndu port 20823/tcp ainsi que la cr\u00e9ation du fichier `syskeys.exe` dans le\nr\u00e9pertoire de Windows, et un fichier ex\u00e9cutable dont le nom est\nal\u00e9atoire dans le sous-r\u00e9pertoire `system` de Windows. De plus, sont\ncr\u00e9\u00e9s dans le sous-r\u00e9pertoire `system` de Windows les fichiers suivants\n:\n\n-   c60htwht.dll\n-   c60rlwot.dll\n-   clauth1.dll\n-   clauth2.dll\n-   lsprst7.dll\n-   ssprs.dll\n-   sysprs7.dll\n-   winos.dll\n\n\u00a0\n\nDes cl\u00e9s sont ajout\u00e9es dans la base de registre sous :\n\n-   `HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer`\n-   `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer`\n-   `HKLM\\Software\\Microsoft\\Active Setup\\Installed    Components\\KeyName`\n-   `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`\n-   `HKLR\\ChatFile\\DefaultIcon`\n-   `HKLR\\ChatFile\\Shell\\open\\command`\n-   `HCR\\irc\\DefaultIcon`\n-   `HCR\\irc\\Shell\\open\\command`\n-   `HKLM\\Software\\CLASSES\\ChatFile\\DefaultIcon`\n-   `HKLM\\Software\\CLASSES\\ChatFile\\Shell\\open\\command`\n-   `HKLM\\Software\\CLASSES\\irc\\DefaultIcon`\n-   `HKLM\\Software\\CLASSES\\irc\\Shell\\open\\command`\n-   `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\mIRC`\n-   `HKCU\\Software\\Microsoft\\Windows    NT\\CurrentVersion\\Windows`\n\n\u00a0\n\nSi le fichier `sys.exe` a \u00e9t\u00e9 ex\u00e9cut\u00e9, alors une cl\u00e9 suppl\u00e9mentaire est\najout\u00e9e \u00e0 la base de registre sous :\n\n-   `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices`\n-   `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`\n\nCelles-ci font appel au fichier ex\u00e9cutable cr\u00e9\u00e9 dans le sous-r\u00e9pertoire\n`system` \u00e0 chaque red\u00e9marrage de Windows.\n\n\u00a0\n\nLe lancement du programme expl32.exe provoque l\u0027ouverture en \u00e9coute du\nport 113/tcp, puis une tentative de connexion \u00e0 un serveur irc. Le robot\npeut ensuite \u00eatre utilis\u00e9 pour lancer des attaques en d\u00e9ni de service.\n\n## Solution\n\nNe pas t\u00e9l\u00e9charger ce produit. S\u0027il a \u00e9t\u00e9 install\u00e9, r\u00e9installer la\nmachine. Si la r\u00e9installation n\u0027est pas possible, d\u00e9truire tous les\nfichiers ainsi que les cl\u00e9s de la base de registres cr\u00e9\u00e9s par ce\nproduit. Ne pas r\u00e9installer la machine peut n\u00e9anmoins \u00eatre dangereux car\nd\u0027autres fichiers peuvent avoir \u00e9t\u00e9 install\u00e9s. Sous Windows 98, vous\npouvez restaurer la base de registre depuis une sauvegarde ant\u00e9rieure\ngr\u00e2ce \u00e0 la commande scanreg /restore.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2001-ALE-011",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-09-10T00:00:00.000000"
    },
    {
      "description": "seconde version : ajout d\u0027informations compl\u00e9mentaires.",
      "revision_date": "2001-09-13T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Compromission du syst\u00e8me sur lequel est install\u00e9 le faux antivirus et d\u00e9ni de service"
    }
  ],
  "summary": "Un faux antivirus a \u00e9t\u00e9 mis \u00e0 disposition sur une page web. Cet outil\nn\u0027est pas un antivirus, mais son installation entra\u00eene une compromission\ndu syst\u00e8me.\n",
  "title": "\u003cTT\u003eantivirus2001\u003c/TT\u003e est un cheval de Troie",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.