Rolark
est le nom donné par certains éditeurs d'antivirus
à un outil permettant d'exploiter la vulnérabilité
WebDAV des serveurs IIS 5.0 sous Windows 2000 et d'en prendre
le contrôle à distance. Rolark.A n'est pas un
virus, donc aucune propagation n'est possible. Créé
par un consultant en sécurité comme
preuve de faisabilité, son code source a été
publié sur Internet.
PREVENTION
:
Les administrateurs de serveur IIS 5.0 sous Windows
2000 n'ayant pas mis
à jour leur version de Windows après
l'alerte du 18 mars 2003, doivent le faire immédiatement.
Cette mise à jour est aussi recommandée
aux utilisateurs de Windows 2000, mais la faille ne
peut pas être exploitée en l'absence du
serveur IIS 5.0.
DESINFECTION
:
Les
internautes curieux ayant téléchargé
l'outil doivent supprimer le fichier manuellement ou
en utilisant l'antivirus
gratuit en ligne. Rolark ne créant pas de
fichier sur le serveur attaqué, une désinfection
est inutile : l'intégrité du serveur doit
pas contre être vérifiée en détail,
après application du correctif
de Microsoft.
|
TYPE
:
Exploit
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS
:
Exploit.WinNT.WebDav (Kaspersky)
Exploit-MS03-007.Crpt (Mc Afee)
Trj/Rolak (Panda Software)
TROJ_ROLARK.A (Trend Micro)
TAILLE
:
40.960 octets
DECOUVERTE
:
24/03/2003
DESCRIPTION
DETAILLEE :
Ce bulletin est publié à titre d'information
à cause de la médiatisation excessive voire
déformée dont fait l'objet cet outil. Révélée
le 18/03/03 par Microsoft, la faille WebDAV peut en effet
être exploitée depuis ce jour sans cet outil
ou avec d'autres outils dont l'existence n'a pas été
médiatisée.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|