|
Gibe est
un virus de mail écrit en Visual Basic qui
se présente sous la forme d'un message intitulé "Internet
Security Update" accompagné d'un fichier joint nommé
Q216309.EXE (123 Ko). L'expéditeur est faussement "Microsoft
Corporation Security Center [rdquest12@microsoft.com]",
et le destinataire "Microsoft Customer" [customer@yourdomain.com]
afin de laisser croire à une alerte accompagnée
d'un correctif. Le
corps du message est en anglais :
"Microsoft
Customer,
this
is the latest version of security update, the "6 Mar 2002
Cumulative Patch" update which eliminates all known security
vulnerabilities affecting Internet Explorer and MS Outlook/Express
as well as six new vulnerabilities, and is discussed in Microsoft
Security Bulletin MS02-005. Install now to protect your computer
from these vulnerabilities, the most serious of which could
allow an attacker to run code on your computer.
Description
of several well-know vulnerabilities:
- "Incorrect
MIME Header Can Cause IE to Execute E-mail Attachment" vulnerability.
If a malicious user sends an affected HTML e-mail or hosts
an affected e-mail on a Web site, and a user opens the e-mail
or visits the Web site, Internet Explorer automatically runs
the executable on the user's computer.
- A vulnerability
that could allow an unauthorized user to learn the location
of cached content on your computer. This could enable the
unauthorized user to launch compiled HTML Help (.chm) files
that contain shortcuts to executables, thereby enabling the
unauthorized user to run the executables on your computer.
- A new
variant of the "Frame Domain Verification" vulnerability could
enable a malicious Web site operator to open two browser windows,
one in the Web site's domain and the other on your local file
system, and to pass information from your computer to the
Web site.
- CLSID
extension vulnerability. Attachments which end with a CLSID
file extension do not show the actual full extension of the
file when saved and viewed with Windows Explorer. This allows
dangerous file types to look as though they are simple, harmless
files - such as JPG or WAV files - that do not need to be
blocked.
System
requirements:
Versions of Windows no earlier than Windows 95.
This
update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01
How to
install
Run attached file q216309.exe
How to
use
You don't need to do anything after installing this item.
For more
information about these issues, read Microsoft Security Bulletin
MS02-005, or visit link below. http://www.microsoft.com/windows/ie/downloads/critical/default.asp
If you have some questions about this article contact us at
rdquest12@microsoft.com
Thank
you for using Microsoft products.
With friendly
greetings,
MS Internet Security Center.
----------------------------------------
----------------------------------------
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation."
Si
le fichier attaché est exécuté, le
virus vérifie s'il n'est pas déjà présent
sur l'ordinateur (HKEY_LOCAL_MACHINE\Software\AVTech\ Settings
"Installed") et dans ce cas affiche le message "Microsoft
Internet Tools Update This update does not need to be installed
on this system". Dans le cas contraire, il créé
les entrées ci-dessous dans la base de registres puis
affiche le message "This will install Security Update.
Do you wish to continue ? [yes] [no]" :
HKEY_LOCAL_MACHINE\Software\AVTech HKEY_LOCAL_MACHINE\Software\AVTech\Settings
“Default Server” HKEY_LOCAL_MACHINE\Software\AVTech\Settings
“Installed”
Quelle
que soit la réponse, le virus s'installe en copiant
dans le répertoire Windows les fichiers Q216309.EXE,
VTNMSCCD.DLL (identique à Q216309.EXE), BCTOOL.EXE,
WINNETW.EXE, GFXACC.EXE et 02_N803.DAT.
WINNETW.EXE permet au virus de récupèrer les
adresses emails présentes le cas échéant
dans le carnet d'adresses Outlook ainsi que dans les fichiers
.HTM, .HTML, .ASP, .PHP du disque et les stocke dans le fichier
02_N803.DAT, puis BCTOOL.EXE se charge d'y envoyer le virus
grâce à son propre serveur SMTP. Le cheval de
Troie GFXACC.EXE ouvre enfin le port 12378 et peut permettre
à une personne malveillante de prendre à distance
le contrôle de l'ordinateur.
Ce virus
est l'occasion de rappeler qu'aucun éditeur ni site de sécurité
informatique sérieux n'envoie spontanément de telles alertes
accompagnées de correctifs, donc tout message de ce type doit
être considéré comme suspect et détruit.
Antivirus
en ligne gratuit pour éliminer le virus en cas
d'infection
Dossier
Secuser.com sur les virus
Dossier
Secuser.com sur les chevaux de Troie
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
Gibe
: le virus-ver railleur
07/03 - VNUNet (lire
l'article)
des nouveaux hoax et virus
|
