CERTA-2004-ALE-003

Vulnerability from certfr_alerte - Published: - Updated:

Un ver nommé Phatbot (ou Gaobot ou Agobot ou encore Polybot selon les éditeurs d'antivirus) semble se propager actuellement.

Description

Un ver nommé Phatbot semble se propager de plusieurs façons différentes. Il semble exploiter de nombreuses vulnérabilités affectant Microsoft Windows, telles que RPC DCOM (CERTA-2003-AVI-111 et CERTA-2003-AVI-149-001), Dameware Miniremote (CERTA-2003-AVI-214), Microsoft Locator Service (CERTA-2003-AVI-009), WebDAV (CERTA-2003-AVI-050), Windows Workstation Services (CERTA-2003-AVI-185). Le ver semble aussi se propager via les partages réseau protégés par un mot de passe faible, ainsi que par la porte dérobée laissée par le ver MyDoom (normalement filtrée par le pare-feu).

Il aurait des fonctionnalités d'écoute de trafic réseau, dans le but de voler des noms d'utilisateur et des mots de passe ftp et irc, ainsi que des cookies http. Il aurait également des fonctionnalités de spam, et pourrait voler les clés CD de produits Microsoft ou de jeux. Il pourrait lancer un proxy HTTP.

Il serait capable d'éliminer certains virus, tels que Sobig, Welchia ou Blaster. Il serait surtout capable de terminer des processus liés à des produits de sécurité tels que des antivirus et des pare-feux personnels.

Phatbot aurait la possibilité de lancer des dénis de service. Les commandes seraient adressées aux machines infectées par Phatbot par l'intermédiaire d'une version modifiée du protocole WASTE (protocole P2P). Il utiliserait le port 4387/tcp.

Il ajouterait les clés de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Generic Service Process

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Generic Service Process

D'autres clés de registre pourraient être ajoutées.

Ce ver serait polymorphique, ce qui compliquerait sa détection par les antivirus.

Solution

  • Appliquer tous les correctifs de Microsoft ;
  • utiliser des règles de filtrage appropriées et des mots de passe forts pour le partage réseau ;
  • se référer à l'avis CERTA-2003-AVI-084.
None
Impacted products
Vendor Product Description
Microsoft Windows Microsoft Windows 2000 ;
Microsoft Windows Microsoft Windows XP.
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Windows 2000 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows XP.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2004-03-19",
  "content": "## Description\n\nUn ver nomm\u00e9 Phatbot semble se propager de plusieurs fa\u00e7ons diff\u00e9rentes.\nIl semble exploiter de nombreuses vuln\u00e9rabilit\u00e9s affectant Microsoft\nWindows, telles que RPC DCOM (CERTA-2003-AVI-111 et\nCERTA-2003-AVI-149-001), Dameware Miniremote (CERTA-2003-AVI-214),\nMicrosoft Locator Service (CERTA-2003-AVI-009), WebDAV\n(CERTA-2003-AVI-050), Windows Workstation Services (CERTA-2003-AVI-185).\nLe ver semble aussi se propager via les partages r\u00e9seau prot\u00e9g\u00e9s par un\nmot de passe faible, ainsi que par la porte d\u00e9rob\u00e9e laiss\u00e9e par le ver\nMyDoom (normalement filtr\u00e9e par le pare-feu).\n\nIl aurait des fonctionnalit\u00e9s d\u0027\u00e9coute de trafic r\u00e9seau, dans le but de\nvoler des noms d\u0027utilisateur et des mots de passe ftp et irc, ainsi que\ndes cookies http. Il aurait \u00e9galement des fonctionnalit\u00e9s de spam, et\npourrait voler les cl\u00e9s CD de produits Microsoft ou de jeux. Il pourrait\nlancer un proxy HTTP.\n\nIl serait capable d\u0027\u00e9liminer certains virus, tels que Sobig, Welchia ou\nBlaster. Il serait surtout capable de terminer des processus li\u00e9s \u00e0 des\nproduits de s\u00e9curit\u00e9 tels que des antivirus et des pare-feux personnels.\n\nPhatbot aurait la possibilit\u00e9 de lancer des d\u00e9nis de service. Les\ncommandes seraient adress\u00e9es aux machines infect\u00e9es par Phatbot par\nl\u0027interm\u00e9diaire d\u0027une version modifi\u00e9e du protocole WASTE (protocole\nP2P). Il utiliserait le port 4387/tcp.\n\nIl ajouterait les cl\u00e9s de registre suivantes :\n\n`HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Generic  Service Process`\n\n`HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\Generic  Service Process`\n\nD\u0027autres cl\u00e9s de registre pourraient \u00eatre ajout\u00e9es.\n\nCe ver serait polymorphique, ce qui compliquerait sa d\u00e9tection par les\nantivirus.\n\n## Solution\n\n-   Appliquer tous les correctifs de Microsoft ;\n-   utiliser des r\u00e8gles de filtrage appropri\u00e9es et des mots de passe\n    forts pour le partage r\u00e9seau ;\n-   se r\u00e9f\u00e9rer \u00e0 l\u0027avis CERTA-2003-AVI-084.\n",
  "cves": [],
  "links": [
    {
      "title": "Analyse du ver Phatbot par Lurhq :",
      "url": "http://www.lurhq.com/phatbot.html"
    }
  ],
  "reference": "CERTA-2004-ALE-003",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-03-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Compromission du syst\u00e8me"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Un ver nomm\u00e9 Phatbot (ou Gaobot ou Agobot ou encore Polybot selon les\n\u00e9diteurs d\u0027antivirus) semble se propager actuellement.\n",
  "title": "Propagation du ver Phatbot",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.