Windows 98, 2000 et NT.
","closed_at":"2001-09-13","content":"## Description\n\n http://www.virus-research.org\n\na mis \u00e0 disposition un outil appel\u00e9 antivirus2001cens\u00e9 \u00eatre capable de\nd\u00e9tecter et nettoyer CodeRed,msnVirus (virus non r\u00e9f\u00e9renc\u00e9 par les\n\u00e9diteursd'antivirus) et SubSeven. Ce faux antivirus estt\u00e9l\u00e9chargeable\nsous le nom du fichier ex\u00e9cutable`vscan2001.exe`. \u00a0\n\nLorsque l'on lance cet outil pour la premi\u00e8re fois sur une machine\nWindows NT ou 2000, il pr\u00e9tend syst\u00e9matiquement avoir d\u00e9tect\u00e9 CodeRed et\nmsnVirus, m\u00eame si ceux-ci ne sont pas pr\u00e9sents sur la machine, puis\npr\u00e9tend les nettoyer. Aucune utilisation ult\u00e9rieure de ce produit ne\nd\u00e9tectera la pr\u00e9sence de virus. Sur une machine Windows 98, il pr\u00e9tend\nsyst\u00e9matiquement ne rien d\u00e9tecter. \n\u00a0\n\nCet outil est en fait un cheval de Troie qui contient un robot irc\n(programme assurant la gestion des canaux irc) et une porte d\u00e9rob\u00e9e. \n\u00a0\n\nLe programme vscan2001.exe cr\u00e9e, lors de son ex\u00e9cution, le r\u00e9pertoire\n`C:\\Program Files\\Accessories\\BACKUP\\SYSTEM\\Critical`. Dans ce\nr\u00e9pertoire sont cr\u00e9\u00e9s les fichiers expl32.exe (un bot irc utilis\u00e9 pour\nlancer des d\u00e9nis de service) et explorer2.exe (un programme servant \u00e0\ncacher des fen\u00eatres), ainsi que des fichiers avec extension .dll\n(fichiers de configuration du robot). Le fichier\n`C:\\WINNT\\DskLoader.exe` (`C:\\windows\\DskLoader.exe` pour Windows 98)\nest \u00e9galement cr\u00e9\u00e9 et appel\u00e9 \u00e0 chaque d\u00e9marrage, mais celui-ci ne\nfonctionne que sous Windows 98. Enfin, le fichier `C:\\WINNT\\prun.exe`\n(`C:\\windows\\prun.exe` pour Windows 98) appara\u00eet et est un outil de d\u00e9ni\nde service. La porte d\u00e9rob\u00e9e est le cheval de Troie SubSeven. Elle est\ncach\u00e9e dans le fichier suivant `C:\\WINNT\\sys.exe`\n(`C:\\windows\\sys.exe`). L'ex\u00e9cution de ce fichier provoque l'ouverture\ndu port 20823/tcp ainsi que la cr\u00e9ation du fichier `syskeys.exe` dans le\nr\u00e9pertoire de Windows, et un fichier ex\u00e9cutable dont le nom est\nal\u00e9atoire dans le sous-r\u00e9pertoire `system` de Windows. De plus, sont\ncr\u00e9\u00e9s dans le sous-r\u00e9pertoire `system` de Windows les fichiers suivants\n:\n\n- c60htwht.dll\n- c60rlwot.dll\n- clauth1.dll\n- clauth2.dll\n- lsprst7.dll\n- ssprs.dll\n- sysprs7.dll\n- winos.dll\n\n\u00a0\n\nDes cl\u00e9s sont ajout\u00e9es dans la base de registre sous :\n\n- `HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer`\n- `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer`\n- `HKLM\\Software\\Microsoft\\Active Setup\\Installed Components\\KeyName`\n- `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`\n- `HKLR\\ChatFile\\DefaultIcon`\n- `HKLR\\ChatFile\\Shell\\open\\command`\n- `HCR\\irc\\DefaultIcon`\n- `HCR\\irc\\Shell\\open\\command`\n- `HKLM\\Software\\CLASSES\\ChatFile\\DefaultIcon`\n- `HKLM\\Software\\CLASSES\\ChatFile\\Shell\\open\\command`\n- `HKLM\\Software\\CLASSES\\irc\\DefaultIcon`\n- `HKLM\\Software\\CLASSES\\irc\\Shell\\open\\command`\n- `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\mIRC`\n- `HKCU\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows`\n\n\u00a0\n\nSi le fichier `sys.exe` a \u00e9t\u00e9 ex\u00e9cut\u00e9, alors une cl\u00e9 suppl\u00e9mentaire est\najout\u00e9e \u00e0 la base de registre sous :\n\n- `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices`\n- `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`\n\nCelles-ci font appel au fichier ex\u00e9cutable cr\u00e9\u00e9 dans le sous-r\u00e9pertoire\n`system` \u00e0 chaque red\u00e9marrage de Windows.\n\n\u00a0\n\nLe lancement du programme expl32.exe provoque l'ouverture en \u00e9coute du\nport 113/tcp, puis une tentative de connexion \u00e0 un serveur irc. Le robot\npeut ensuite \u00eatre utilis\u00e9 pour lancer des attaques en d\u00e9ni de service.\n\n## Solution\n\nNe pas t\u00e9l\u00e9charger ce produit. S'il a \u00e9t\u00e9 install\u00e9, r\u00e9installer la\nmachine. Si la r\u00e9installation n'est pas possible, d\u00e9truire tous les\nfichiers ainsi que les cl\u00e9s de la base de registres cr\u00e9\u00e9s par ce\nproduit. Ne pas r\u00e9installer la machine peut n\u00e9anmoins \u00eatre dangereux car\nd'autres fichiers peuvent avoir \u00e9t\u00e9 install\u00e9s. Sous Windows 98, vous\npouvez restaurer la base de registre depuis une sauvegarde ant\u00e9rieure\ngr\u00e2ce \u00e0 la commande scanreg /restore.\n","cves":[],"links":[],"reference":"CERTA-2001-ALE-011","revisions":[{"description":"version initiale.","revision_date":"2001-09-10T00:00:00.000000"},{"description":"seconde version : ajout d'informations compl\u00e9mentaires.","revision_date":"2001-09-13T00:00:00.000000"}],"risks":[{"description":"Compromission du syst\u00e8me sur lequel est install\u00e9 le faux antivirus et d\u00e9ni de service"}],"summary":"Un faux antivirus a \u00e9t\u00e9 mis \u00e0 disposition sur une page web. Cet outil\nn'est pas un antivirus, mais son installation entra\u00eene une compromission\ndu syst\u00e8me.\n","title":"antivirus2001 est un cheval de Troie","vendor_advisories":[]}