Accueil | Actualité | Documentation | Outils gratuits | Services gratuits | Téléchargement | Alertes | Hoax | Recherche | Contact
 

Logo Secuser.com

GENERAL
  Actualité du jour
  Lettres d'information
  Guides gratuits
  Livres
  Glossaire
VIRUS

  Alertes virus
  Dossiers virus
  Alertes par email
  Antivirus gratuits
  Antivirus en ligne
  Désinfection
  FAQ virus
PROTECTION
  Alertes sécurité
  Dossier firewall
  Alertes par email
  Firewalls gratuits
  Scanner de ports
  Antirootkits gratuits
  Traceur IP/domaine
  WindowsUpdate
  FAQ sécurité
PHISHING
  Alertes phishing
  Logiciels anti-phishing
  FAQ phishing
SPAM
  Dossier spamming
  Logiciels anti-spam
  FAQ spam
VIE PRIVEE
  Paiements en ligne
  Dossier spywares
  Antispywares gratuits
  Vos traces sur le Net
  FAQ vie privée
HOAX
  Alertes hoax
  Dossier hoax
  Dossier viroax
  Antihoax en ligne
  FAQ hoax
SECUSER
  Recommander ce site
  Fils d'information
  Bannières et boutons
  Etat des services
  Charte vie privée
  Nous écrire
 
RECHERCHE
Recherchez un mot-clé dans Secuser.com

NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com

IDDN certification
 
ALERTE CONTAMINATION

Dernières alertes virus | Page précédente

Virus
Gibe

Gibe est un virus de mail écrit en Visual Basic qui se présente sous la forme d'un message intitulé "Internet Security Update" accompagné d'un fichier joint nommé Q216309.EXE (123 Ko). L'expéditeur est faussement "Microsoft Corporation Security Center [rdquest12@microsoft.com]", et le destinataire "Microsoft Customer" [customer@yourdomain.com] afin de laisser croire à une alerte accompagnée d'un correctif. Le corps du message est en anglais :

"Microsoft Customer,

this is the latest version of security update, the "6 Mar 2002 Cumulative Patch" update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.

Description of several well-know vulnerabilities:

- "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" vulnerability. If a malicious user sends an affected HTML e-mail or hosts an affected e-mail on a Web site, and a user opens the e-mail or visits the Web site, Internet Explorer automatically runs the executable on the user's computer.

- A vulnerability that could allow an unauthorized user to learn the location of cached content on your computer. This could enable the unauthorized user to launch compiled HTML Help (.chm) files that contain shortcuts to executables, thereby enabling the unauthorized user to run the executables on your computer.

- A new variant of the "Frame Domain Verification" vulnerability could enable a malicious Web site operator to open two browser windows, one in the Web site's domain and the other on your local file system, and to pass information from your computer to the Web site.

- CLSID extension vulnerability. Attachments which end with a CLSID file extension do not show the actual full extension of the file when saved and viewed with Windows Explorer. This allows dangerous file types to look as though they are simple, harmless files - such as JPG or WAV files - that do not need to be blocked.

System requirements:
Versions of Windows no earlier than Windows 95.

This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01

How to install
Run attached file q216309.exe

How to use
You don't need to do anything after installing this item.

For more information about these issues, read Microsoft Security Bulletin MS02-005, or visit link below. http://www.microsoft.com/windows/ie/downloads/critical/default.asp
If you have some questions about this article contact us at rdquest12@microsoft.com

Thank you for using Microsoft products.

With friendly greetings,
MS Internet Security Center.
----------------------------------------
----------------------------------------
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation."

Si le fichier attaché est exécuté, le virus vérifie s'il n'est pas déjà présent sur l'ordinateur (HKEY_LOCAL_MACHINE\Software\AVTech\ Settings "Installed") et dans ce cas affiche le message "Microsoft Internet Tools Update This update does not need to be installed on this system". Dans le cas contraire, il créé les entrées ci-dessous dans la base de registres puis affiche le message "This will install Security Update. Do you wish to continue ? [yes] [no]" :
HKEY_LOCAL_MACHINE\Software\AVTech HKEY_LOCAL_MACHINE\Software\AVTech\Settings “Default Server” HKEY_LOCAL_MACHINE\Software\AVTech\Settings “Installed”

Quelle que soit la réponse, le virus s'installe en copiant dans le répertoire Windows les fichiers Q216309.EXE, VTNMSCCD.DLL (identique à Q216309.EXE), BCTOOL.EXE, WINNETW.EXE, GFXACC.EXE et 02_N803.DAT. WINNETW.EXE permet au virus de récupèrer les adresses emails présentes le cas échéant dans le carnet d'adresses Outlook ainsi que dans les fichiers .HTM, .HTML, .ASP, .PHP du disque et les stocke dans le fichier 02_N803.DAT, puis BCTOOL.EXE se charge d'y envoyer le virus grâce à son propre serveur SMTP. Le cheval de Troie GFXACC.EXE ouvre enfin le port 12378 et peut permettre à une personne malveillante de prendre à distance le contrôle de l'ordinateur.

Ce virus est l'occasion de rappeler qu'aucun éditeur ni site de sécurité informatique sérieux n'envoie spontanément de telles alertes accompagnées de correctifs, donc tout message de ce type doit être considéré comme suspect et détruit.

Antivirus en ligne gratuit pour éliminer le virus en cas d'infection

Dossier Secuser.com sur les virus

Dossier Secuser.com sur les chevaux de Troie

Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus

 

Gibe : le virus-ver railleur
07/03 - VNUNet (lire l'article) des nouveaux hoax et virus
 
PUBLICITE
PUBLICITE

Copyright © 1998-2008 Emmanuel JUD | Secuser est une marque déposée | Hébergement par Model-FX