{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":null,"closed_at":"2000-05-19","content":"## Origine\n\n-   Nous ne disposons pas encore des sources du ver.\n-   Informations obtenues sur les groupes de news.\n-   Informations donn\ufffdes par un de nos partenaire.\n-   Lu sur les sites de NAI (Macfee) et Symantec (Norton).\n\n## Principe\n\n## 4.1 Propagation\n\nQuand le ver est lanc\ufffd, il se <span class=\"textbf\">recopie dans le\ndossier Windows</span> en prenant un nom de l'un des documents r\ufffdcemment\nouvert, avec une extension prise alatoirement dans la liste : Doc, Xls,\nMdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt et en y ajoutant\nl'extension .vbs.\n\nIl s'auto-modifie en ajoutant des commentaires alatoires \ufffd son code\napr\ufffds chaque infection afin de troubler sa d\ufffdtection.\n\nEnsuite, le programme cherche \ufffd se propager en exploitant le carnet\nd'adresses d'Outlook de la victime (de la m\ufffdme fa\ufffdon qu'ILOVEYOU).\n\n## 4.2 Syst\ufffdmes impact\ufffds\n\nComme pour ILOVEYOU tous les syst\ufffdmes Windows sont concern\ufffds.\n\n## Fichiers infect\ufffds\n\n1.  Il modifie les entr\ufffdes suivantes dans la base de registres:\n    -   HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\\n    -   HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices\\\\\n2.  NEWLOVE s'attaque \ufffd <span class=\"textbf\">tous les fichiers</span>\n    qui ne sont pas en cours d'utilisation, en les rempla\ufffdant par lui\n    m\ufffdme.\n","cves":[],"links":[],"reference":"CERTA-2000-ALE-002","revisions":[{"description":"version initiale.","revision_date":"2000-05-19T00:00:00.000000"}],"risks":[{"description":"Ecrasement des fichiers non utilis\ufffds"},{"description":"Le risque est \ufffdlev\ufffd si les utisateurs ne sont pas sensibilis\ufffds"},{"description":"Le virus n\ufffdcessite une m\ufffdmoire importante ce qui ralentie sa propagation"},{"description":"Mode de propagation par messagerie"}],"summary":"Un nouveau virus appell\ufffd \\`\\`NewLove'' mutant de \\`\\`ILOVEYO'' est en\ntrain de se propager sur le r\ufffdseau. Comme ce dernier il est \ufffdcrit en\nVBScript et se propage par e-mail, dont l'objet commence par \\`\\`FW'' et\ncomportant une pi\ufffdce jointe portant l'extension .vbs. Cette pi\ufffdce jointe\nporte un nom al\ufffdatoire \ufffd chaque envoi.\n\nSi l'utilisateur double-clique sur la pi\ufffdce-jointe, le ver va s'excuter\n\ufffd l'aide de WSH.\n","title":"Alerte de virus NEWLOVE","vendor_advisories":[]}