{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tous les syst\u00e8mes avec des versions 4.0 et 5.0 de IIS sur  lesquels les correctifs indiqu\u00e9s dans l'avis CERTA-2000-AVI-028  n'ont pas \u00e9t\u00e9 appliqu\u00e9s.</P>","closed_at":"2001-09-07","content":"## Description\n\nLe ver Code Blue s'attaque aux serveurs sous Windows NT et 2000. Il\nutilise plusieurs vuln\u00e9rabilit\u00e9s d'IIS, dont les bugs \u00ab unicode \u00bb.\n\nIl installe un fichier nomm\u00e9 \u00ab SvcHost.EXE \u00bb qui est relanc\u00e9 \u00e0 chaque\nd\u00e9marrage gr\u00e2ce \u00e0 une entr\u00e9e dans la base de registre : \u00ab\n\n     HKLM\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN\n\n\u00bb.\n\nLe ver g\u00e9n\u00e8re de nombreux \u00ab threads \u00bb provoquant ainsi un ralentissement\nde la machine voire un \u00e9puisement des ressources pouvant aller jusqu'au\nblocage.\n\nIl cr\u00e9e un script VBS \u00ab C:.vbs \u00bb qui, une fois lanc\u00e9, stoppe tous les\nservices \u00ab .ida, .idq et .printer \u00bb d'IIS.\n\nIl tente \u00e9galement de recopier ou t\u00e9l\u00e9charger le fichier \u00ab httpext.dll \u00bb\nvers les r\u00e9pertoires : \u00ab c: \u00bb ou \u00ab\n\n     c:\\inetpub\\scripts\\\n\n\u00bb.\n\nIl provoque un d\u00e9ni de service en visitant r\u00e9guli\u00e8rement l'adresse IP \u00ab\n211.99.196.135 \u00bb.\n\n## Contournement provisoire\n\nNettoyer l'entr\u00e9e dans la base de registre.\n\nRechercher la DLL \u00ab httpext.dll \u00bb et la renommer en \u00ab httpext.dll.old \u00bb\npar exemple.\n\nFiltrer en bordure de domaine les connexions vers l'adresse \u00ab\n211.99.196.135 \u00bb.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif concernant votre version d'IIS :\n\n-   IIS version 4.0 :\n\n        http://www.microsoft.com/Downloads/release.asp?ReleaseID=23667\n\n-   IIS version 5.0 :\n\n        http://www.microsoft.com/Downloads/release.asp?ReleaseID=23665\n","cves":[],"links":[{"title":"Avis du CERTA (CERTA-2000-AVI-028 du 16 ao\u00fbt 2000):","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2000-AVI-028/index.html"}],"reference":"CERTA-2001-ALE-010","revisions":[{"description":"version initiale.","revision_date":"2001-09-07T00:00:00.000000"}],"risks":[{"description":"Compromission des serveurs iis et risque de d\u00e9ni de service"}],"summary":"Un nouveau ver se propage en exploitant des vuln\u00e9rabilit\u00e9s connues du\nserveur IIS.\n","title":"Propagation du ver \"Code Blue\"","vendor_advisories":[{"published_at":null,"title":"FIRST","url":null}]}