Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2000-ALE-002

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 19 mai 2000
No CERTA-2000-ALE-002

Affaire suivie par :

CERTA

BULLETIN D'ALERTE DU CERTA

Objet : Alerte de virus NEWLOVE


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2000-ALE-002

1 R�sum�

Un nouveau virus appell� ``NewLove'' mutant de ``ILOVEYO'' est en train de se propager sur le r�seau. Comme ce dernier il est �crit en VBScript et se propage par e-mail, dont l'objet commence par ``FW'' et comportant une pi�ce jointe portant l'extension .vbs. Cette pi�ce jointe porte un nom al�atoire � chaque envoi.

Si l'utilisateur double-clique sur la pi�ce-jointe, le ver va s'excuter � l'aide de WSH.

2 Origine

  • Nous ne disposons pas encore des sources du ver.
  • Informations obtenues sur les groupes de news.
  • Informations donn�es par un de nos partenaire.
  • Lu sur les sites de NAI (Macfee) et Symantec (Norton).

3 Risque

  • Le risque est �lev� si les utisateurs ne sont pas sensibilis�s.
  • Ecrasement des fichiers non utilis�s.
  • Mode de propagation par messagerie.
  • Le virus n�cessite une m�moire importante ce qui ralentie sa propagation.

4 Principe

4.1 Propagation

Quand le ver est lanc�, il se recopie dans le dossier Windows en prenant un nom de l'un des documents r�cemment ouvert, avec une extension prise alatoirement dans la liste : Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt et en y ajoutant l'extension .vbs.

Il s'auto-modifie en ajoutant des commentaires alatoires � son code apr�s chaque infection afin de troubler sa d�tection.

Ensuite, le programme cherche � se propager en exploitant le carnet d'adresses d'Outlook de la victime (de la m�me fa�on qu'ILOVEYOU).

4.2 Syst�mes impact�s

Comme pour ILOVEYOU tous les syst�mes Windows sont concern�s.

5 Fichiers infect�s

  1. Il modifie les entr�es suivantes dans la base de registres:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
  2. NEWLOVE s'attaque � tous les fichiers qui ne sont pas en cours d'utilisation, en les rempla�ant par lui m�me.

6 Solution

  1. Mise en oeuvre des recommandations (CERTA-2000-REC-001 du 15 mai 2000), faites � la suite de ILVEYOU et en particulier d'interdire l'�x�cution des scripts .vbs.
  2. Mis � jour des anti virus.
  3. Application des r�gles �l�mentaires de pr�caution :
    1. NE JAMAIS CLIQUER IMMEDIATEMENT sur une pi�ce-jointe.
    2. NE JAMAIS MASQUER LES EXTENSIONS dans l'explorateur de Windows.

CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-09-19