Tous les syst\u00e8mes Windows (NT, 2000 et 9x) sont concern\u00e9s.
","closed_at":"2000-07-05","content":"## Origine\n\n- Source du ver donn\u00e9e par un de nos partenaire.\n- groupe de news fr.comp.securite.\n- Avis du CERT IST.\n- Avis SYMANTEC\n http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html.\n\n## Symptomes\n\n## 5.1 E-mail\n\nArriv\u00e9e d'un e-mail aux caract\u00e9ristiques suivantes :\n\n**Objet :**\n: ILOVEYOU\n\n**Corps du message**\n: kindly check the attached LOVELETTER coming from me.\n\n**Fichier attach\u00e9**\n: LOVE-LETTER-FOR-YOU.TXT.vbs.\n\n## 5.2 IRC\n\nR\u00e9ception d'une page HTML LOVE-LETTER-FOR-YOU.HTM ayant pour titre \u00ab\nLOVELETTER - HTML\u00bb d\u00e8s que l'on se connecte \u00e0 un canal IRC sur lequel\nune personne infect\u00e9e est pr\u00e9sente.\n\n## 5.3 Fichiers infect\u00e9s\n\n### 5.3.1 Faux fichiers syst\u00e8mes\n\nLes fichiers suivants sont cr\u00e9\u00e9s\n\n- Dans le r\u00e9pertoire de windows (WINDOW ou WINNT): Win32DLL.vbs\n- Dans le r\u00e9pertoire syst\u00e8me de Windows : MSKernel32.vbs et\n LOVE-LETTER-FOR-YOU.TXT.vbs (c'est ce dernier qui sert d'attachement\n aux e-mail), LOVE-LETTER-FOR-YOU.HTM (servant pour l'infection sur\n IRC) et WinFAT32.exe.\n\n### 5.3.2 Configuration\n\n#### 5.3.2.1 Internet Explorer\n\nModification de la page de d\u00e9marrage d'Internet Explorer de mani\u00e8re \u00e0\nt\u00e9l\u00e9charger un ex\u00e9cutable WIN-BUGSFIX.exe au prochain lancement du\nnavigateur. L'ex\u00e9cutable est rang\u00e9 dans le r\u00e9pertoire de t\u00e9l\u00e9chargement\nd'Internet Explorer.\n\n#### 5.3.2.2 mIRC\n\n\u00c9crasement du fichier de configuration script.ini qui s'ex\u00e9cute \u00e0 chaque\nfois qu'un interlocuteur entre sur le canal IRC o\u00f9 vous \u00eates connect\u00e9s.\n\n### 5.3.3 La base de registre\n\nElle est modifi\u00e9e pour relancer le ver (et WIN-BUGSFIX.exe) \u00e0 chaque\nd\u00e9marrage :\n\n- dans le chemin `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`\n cr\u00e9ation des clefs MSKernel32 et WIN-BUGSFIX ;\n- dans le chemin\n `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices`\n cr\u00e9ation d'une clef Win32DLL.\n\n### 5.3.4 Fichiers \u00e9cras\u00e9s\n\nTous les fichiers aux extensions suivantes situ\u00e9s sur des disques fixes\nlocaux ou sur des disques r\u00e9seaux sont potentiellement infect\u00e9s :\n\n- \\*.vbs, \\*.vbe : contenu \u00e9cras\u00e9 par le code du ver ;\n- \\*.js, \\*.jse, \\*.css, \\*.wsh, \\*.sct, \\*.hta : le contenu est\n \u00e9cras\u00e9 par le code du ver et l'extension est remplac\u00e9e par .vbs. Par\n exemple toto.css devient toto.vbs.\n- \\*.jpg, \\*.jpeg : le contenu est \u00e9cras\u00e9 par le code du ver et\n l'extension .vbs est ajout\u00e9e \u00e0 la fin.\n- \\*.mp2, \\*.mp3 : sont cach\u00e9s (attribut cach\u00e9) et des fichiers\n \\*.mp2.vbs ou \\*.mp3.vbs sont cr\u00e9\u00e9s avec le contenu du ver. Par\n exemple : toto.mp3 devient cach\u00e9 et un fichier visible toto.mp3.vbs\n est cr\u00e9\u00e9.\n\n## Solution\n\n## 6.1 Antivirus\n\nMettre \u00e0 jour l'antivirus.\n\n## 6.2 Firewall\n\nLe temps de l'alerte bloquer les chargements http depuis le site\n`www.skyinet.net/~young1s/` ou `~angelcat/` ou `~chu/` ou `~koichi/`.\n\n## 6.3 Configuration d'Internet Explorer\n\nDans les param\u00e8tres de s\u00e9curit\u00e9, il faut demander au moins l'avis de\nl'utilisateur avant d'ex\u00e9cuter du code dans une page HTML.\n\n## 6.4 Configuration de mIRC\n\nD\u00e9cocher \u00ab Autoaccept DCC send request \u00bb dans les param\u00e8tres de votre\nconnexion/profil, afin de ne plus accepter automatiquement les fichiers\nenvoy\u00e9s par dcc send.\n\nNe JAMAIS accepter les fichiers que l'on\nvous envoie.\n\n## 6.5 E-mail\n\nNe JAMAIS ex\u00e9cuter une pi\u00e8ce jointe.\n\n## 6.6 Option de l'explorateur de Windows\n\nD\u00e9sactiver le lien entre les fichiers \\*.vbs et l'interpr\u00e9teur WSH\n(wscript.exe).\n\n## 6.7 Faire le m\u00e9nage\n\n### 6.7.1 Nettoyer la base de registre\n\nSupprimer les Entr\u00e9e cit\u00e9es pr\u00e9c\u00e9demment au paragraphe\u00a0[5.3.3](#bdr).\n\n## 6.8 mIRC\n\nD\u00e9truire le fichier script.ini s'il contient la cha\u00eene\nLOVE-LETTER-FOR-YOU.HTM.\n\n## 6.9 Internet Explorer\n\nV\u00e9rifier dans le panneau de configuration que la page de garde ne pointe\npas sur l'un des sites www.skyinet.net.\n\n## 6.10 Nettoyer les fichiers syst\u00e8mes\n\nSupprimer les fichiers .vbs et .htm cit\u00e9s pr\u00e9c\u00e9demment au\nparagraphe\u00a0[5.3.1](#ffs). V\u00e9rifier l'origine du fichier WinFAT32.exe.\n\n## 6.11 Nettoyer le r\u00e9pertoire de t\u00e9l\u00e9chargement d'internet explorer\n\nSupprimer le fichier WIN-BUGSFIX.exe.\n\n## 6.12 Analyser tous les fichiers .vbs et .vbe\n\nD\u00e9truire tous les fichiers \u00e0 l'extension \\*.vbs et \\*.vbe contenant le\nver. Par exemple, tous les fichiers .vbs ou .vbe contenant la cha\u00eene\nispyder@mail.com.\n","cves":[],"links":[],"reference":"CERTA-2000-ALE-001","revisions":[{"description":"version initiale.","revision_date":"2000-05-05T00:00:00.000000"},{"description":"modifications de mise en page.","revision_date":"2000-07-05T00:00:00.000000"}],"risks":[{"description":"Risque \u00e9lev\u00e9"},{"description":"\u00c9crasement de fichiers"},{"description":"Le mode de propagation peut entra\u00eener une grande surchage des r\u00e9seaux"},{"description":"Faille officielle"},{"description":"Probablement un cheval de troie (reste \u00e0 confirmer)"}],"summary":"Un ver se r\u00e9pend actuellement tr\u00e8s vite sur le r\u00e9seau internet par le\nbiais de la messagerie et de l'IRC. Il infecte de nombreux fichiers\nqu'il d\u00e9truit.\n\nCe ver \u00e9crit en VISUAL BASIC est d\u00e9j\u00e0 recens\u00e9 chez des partenaires du\nCERTA.\n","title":"Alerte de virus LOVE-LETTER-FOR-YOU","vendor_advisories":[{"published_at":null,"title":"code source du virus","url":null}]}