CERTA-2002-ALE-003

Vulnerability from certfr_alerte - Published: - Updated:

Le ver Win32 ayant pour nom « W32.Myparty@mm » ou encore « W32/Myparty@mm » se propage actuellement à grande vitesse par un mél dont sujet est « new photo from my party! ».

Description

Le mél envoyé a comme pièce jointe l'un des deux fichiers suivants :

  • www.myparty.yahoo.com ;
  • www.photos.yahoo.com.

Certaines personnes ont été trompées en pensant que la pièce jointe était un lien vers un site web.

Quand la pièce jointe est exécutée, le ver envoie une copie de lui-même à toutes les entrées du carnet d'adresses de Windows en utilisant un moteur SMTP intégré et place une copie du fichier dans c: sur windows NT/2K, XP, ou sur le répertoire Recycled sur windows 9x/ ME, dans un fichier ayant pour nom regctrl.exe.

Pour les versions US le ver place également une copie du cheval de troie Troj/Msstake-A dans le répertoire de démarrage de l'utilisateur. Le cheval de troie est présent dans un fichier nommé msstask.exe qui permet l'ouverture d'une porte dérobée sur la machine compromise.

De plus, le ver envoie un mél à l'adresse napster@gala.net et lance le navigateur sur le site WEB suivant : http://www.disney.com.

Solution de prévention

Suivre les recommandations de la note CERTA-2000-INF-002 concernant les pièces jointes :

  • mettre à jour son antivirus ;
  • ne pas exécuter les pièces jointes sans vérification de leur bien-fondé. En particulier le fait de recevoir une pièce jointe d'une personne connue n'est pas une garantie de l'inocuité de l'attachement.

Solution

Après avoir déconnecté la machine infectée du réseau, mettez à jour votre antivirus et vérifiez votre système,

vous pouvez également vérifier qu'il n'existe pas de processus msstask.exe dans la barre des tâches, dans le cas contraire il est nécessaire d'arrêter ce processus et d'enlever le fichier msstask.exe qui se trouve dans votre répertoire de démarrage (il est nécessaire de redémarrer la machine en mode DOS pour supprimer ce fichier).

Toutes les plateformes Windows 9x et plateformes Windows 32 bits.

Impacted products
Vendor Product Description
References
Sophos None vendor-advisory
Encyclopédie des virus de Symantec : - other
Avis de Fsecure : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eToutes les plateformes Windows 9x et  plateformes Windows 32 bits.\u003c/p\u003e",
  "closed_at": "2002-01-29",
  "content": "## Description\n\nLe m\u00e9l envoy\u00e9 a comme pi\u00e8ce jointe l\u0027un des deux fichiers suivants :\n\n-   www.myparty.yahoo.com ;\n-   www.photos.yahoo.com.\n\nCertaines personnes ont \u00e9t\u00e9 tromp\u00e9es en pensant que la pi\u00e8ce jointe\n\u00e9tait un lien vers un site web.\n\nQuand la pi\u00e8ce jointe est ex\u00e9cut\u00e9e, le ver envoie une copie de lui-m\u00eame\n\u00e0 toutes les entr\u00e9es du carnet d\u0027adresses de Windows en utilisant un\nmoteur SMTP int\u00e9gr\u00e9 et place une copie du fichier dans c: sur windows\nNT/2K, XP, ou sur le r\u00e9pertoire Recycled sur windows 9x/ ME, dans un\nfichier ayant pour nom regctrl.exe.\n\nPour les versions US le ver place \u00e9galement une copie du cheval de troie\nTroj/Msstake-A dans le r\u00e9pertoire de d\u00e9marrage de l\u0027utilisateur. Le\ncheval de troie est pr\u00e9sent dans un fichier nomm\u00e9 msstask.exe qui permet\nl\u0027ouverture d\u0027une porte d\u00e9rob\u00e9e sur la machine compromise.\n\nDe plus, le ver envoie un m\u00e9l \u00e0 l\u0027adresse napster@gala.net et lance le\nnavigateur sur le site WEB suivant : http://www.disney.com.\n\n## Solution de pr\u00e9vention\n\nSuivre les recommandations de la note CERTA-2000-INF-002 concernant les\npi\u00e8ces jointes :\n\n-   mettre \u00e0 jour son antivirus ;\n-   ne pas ex\u00e9cuter les pi\u00e8ces jointes sans v\u00e9rification de leur\n    bien-fond\u00e9. En particulier le fait de recevoir une pi\u00e8ce jointe\n    d\u0027une personne connue n\u0027est pas une garantie de l\u0027inocuit\u00e9 de\n    l\u0027attachement.\n\n## Solution\n\nApr\u00e8s avoir d\u00e9connect\u00e9 la machine infect\u00e9e du r\u00e9seau, mettez \u00e0 jour\nvotre antivirus et v\u00e9rifiez votre syst\u00e8me,\n\nvous pouvez \u00e9galement v\u00e9rifier qu\u0027il n\u0027existe pas de processus\nmsstask.exe dans la barre des t\u00e2ches, dans le cas contraire il est\nn\u00e9cessaire d\u0027arr\u00eater ce processus et d\u0027enlever le fichier msstask.exe\nqui se trouve dans votre r\u00e9pertoire de d\u00e9marrage (il est n\u00e9cessaire de\nred\u00e9marrer la machine en mode DOS pour supprimer ce fichier).\n",
  "cves": [],
  "links": [
    {
      "title": "Encyclop\u00e9die des virus de Symantec :",
      "url": "http://www.symantec.com/avcenter/venc/data/w32.myparty@mm.html"
    },
    {
      "title": "Avis de Fsecure :",
      "url": "http://www.europe.f-secure.com/v-descs/myparty.shtml"
    }
  ],
  "reference": "CERTA-2002-ALE-003",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-01-29T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Propagation de ver"
    },
    {
      "description": "Compromission du syst\u00e8me"
    }
  ],
  "summary": "Le ver Win32 ayant pour nom \u00ab W32.Myparty@mm \u00bb ou encore \u00ab\nW32/Myparty@mm \u00bb se propage actuellement \u00e0 grande vitesse par un m\u00e9l\ndont sujet est \u00ab new photo from my party! \u00bb.\n",
  "title": "Propagation importante du virus \u00ab W32.Myparty@mm \u00bb",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Sophos",
      "url": "http://www.sophos.com/virusinfo/analyses/w32mypartya.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.