{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Windows 98","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 95","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2000-06-13","content":"## Description\n\nCe cheval de Troie a \u00e9t\u00e9 propos\u00e9 sur des forums pour adultes sous la\nforme d'un fichier Quickflick.mpg.exe ou Mysissy.mpg.exe se faisant\nainsi passer pour un fichier vid\u00e9o (.mpg).\n\nUne fois ce fichier ex\u00e9cut\u00e9 sur la machine, il installe discr\u00e9tement un\ncheval de Troie t\u00e9l\u00e9charg\u00e9 depuis un autre site (dont l'adresse semble\nactuellement inaccesible), qui permet \u00e0 un utilisateur distant de\nprendre le contr\u00f4le de la machine et de l'impliquer dans un \u00e9ventuel\nD\u00e9ni de Service par Outils R\u00e9partis. Il utilise \u00e9galement des ports de\ncommunications dont certains correspondent \u00e0 ceux utilis\u00e9s lors de\nconnexions IRC.\n\n## Solution\n\n-   D\u00e9tection :\n\n    Lister les ports ouverts via la commande netstat -a et s'assurer que\n    les ports 2221, 2222, 6669 et 7000 ne sont pas utilis\u00e9s.  \n      \n\n    Le cheval de troie ajoute les lignes de commandes suivantes :\n\n    -   system.ini : shell=Explorer \u00abtrojan.exe\u00bb\n    -   win.ini : run=\u00abtrojan.exe\u00bb\n\n    Il ajoute \u00e9galement une entr\u00e9e dans la base de registre \u00e0\n    l'emplacement :\n\n    `HKEY_USERS\\Microsoft\\Windows\\CurrentVersion\\Explorer`  \n      \n\n-   Solution :\n    -   Filtrer les ports 2221, 2222, 6669 et 7000 sur le firewall;\n    -   Mettre \u00e0 jour votre anti-virus;\n    -   Suivre les recommandations de la note d'information\n        CERTA-2000-INF-002 concernant les pi\u00e8ces jointes.\n","cves":[],"links":[],"reference":"CERTA-2000-ALE-008","revisions":[{"description":"version initiale.","revision_date":"2000-06-13T00:00:00.000000"}],"risks":[{"description":"Cheval de troie"}],"summary":"Serbian.trojan (\u00e9galement nomm\u00e9 Troj/Downloader ou W95/Loader Trojan)\nest un cheval de Troie qui s'est propag\u00e9 par l'interm\u00e9diaire d'un\nfichier t\u00e9l\u00e9charg\u00e9 depuis certains forums.\n","title":"The Serbian Badman Trojan (TSB)","vendor_advisories":[]}