CERTA-2005-ALE-004

Vulnerability from certfr_alerte - Published: - Updated:

De nombreuses versions du virus MYTOB ont infecté un certain nombre de machines auprès d'abonnés du CERTA.

Description

MYTOB est un ver qui se propage par la messagerie (via une pièce jointe) ou par l'exploitation d'une vulnérabilité de LSASS (voir ci-dessous la référence). Les machines infectées se reconnaissent grâce à leurs tentatives de connexion sur la machine irc.blackcarder.net (port 7000/TCP). Une fois connectée au serveur d'irc.blackarder.net, la machine infectée peut recevoir l'instruction de télécharger puis d'exécuter des fichiers arbitraires.

Par ailleurs, les machines infectées rencontrent de nombreux dysfonctionnements tels que l'arrêt, dès leur lancement, de certains processus (par exemple le gestionnaire des tâches, l'invite de commande MS-DOS, ...).

Solution

Aspects organisationnels : . Cette infection rappelle à nouveau l'impérieuse nécessité des mises à jour et d'autre part la nécessaire sensibilisation des utilisateurs sur l'ouverture trop confiante des pièces jointes.

Aspects techniques : . Pour déterminer les machines infectées sur les réseaux, l'analyse des journaux en amont des firewalls doit permettre de détecter les machines cherchant une connexion sur les ports 7000/TCP et 445/TCP. En cas d'infection, contactez le CERTA.

Systèmes Windows.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eSyst\u00e8mes Windows.\u003c/p\u003e",
  "closed_at": "2005-06-03",
  "content": "## Description\n\nMYTOB est un ver qui se propage par la messagerie (via une pi\u00e8ce jointe)\nou par l\u0027exploitation d\u0027une vuln\u00e9rabilit\u00e9 de LSASS (voir ci-dessous la\nr\u00e9f\u00e9rence). Les machines infect\u00e9es se reconnaissent gr\u00e2ce \u00e0 leurs\ntentatives de connexion sur la machine irc.blackcarder.net (port\n7000/TCP). Une fois connect\u00e9e au serveur d\u0027irc.blackarder.net, la\nmachine infect\u00e9e peut recevoir l\u0027instruction de t\u00e9l\u00e9charger puis\nd\u0027ex\u00e9cuter des fichiers arbitraires.\n\nPar ailleurs, les machines infect\u00e9es rencontrent de nombreux\ndysfonctionnements tels que l\u0027arr\u00eat, d\u00e8s leur lancement, de certains\nprocessus (par exemple le gestionnaire des t\u00e2ches, l\u0027invite de commande\nMS-DOS, ...).\n\n## Solution\n\n**Aspects organisationnels**\n:   . Cette infection rappelle \u00e0 nouveau l\u0027imp\u00e9rieuse n\u00e9cessit\u00e9 des\n    mises \u00e0 jour et d\u0027autre part la n\u00e9cessaire sensibilisation des\n    utilisateurs sur l\u0027ouverture trop confiante des pi\u00e8ces jointes.\n\n**Aspects techniques**\n:   . Pour d\u00e9terminer les machines infect\u00e9es sur les r\u00e9seaux, l\u0027analyse\n    des journaux en amont des firewalls doit permettre de d\u00e9tecter les\n    machines cherchant une connexion sur les ports 7000/TCP et 445/TCP.\n    En cas d\u0027infection, contactez le CERTA.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2005-ALE-004",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2005-06-03T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Dysfonctionnements du syst\u00e8me"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "De nombreuses versions du virus MYTOB ont infect\u00e9 un certain nombre de\nmachines aupr\u00e8s d\u0027abonn\u00e9s du CERTA.\n",
  "title": "Propagation du ver MYTOB",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.