{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"

Plates-formes Microsoft Windows, sauf Windows 3.x.

","closed_at":"2004-02-26","content":"## Description\n\nLe virus Bizex, qui semble se propager actuellement, utilise les\nmessageries instantan\u00e9es. Il invite le destinataire d'un message ICQ \u00e0\ncliquer sur un lien HTML. En exploitant plusieurs vuln\u00e9rabilit\u00e9s de\nWindows et d'Internet Explorer, il s'installe sur le syst\u00e8me de la\nvictime.\n\nIl capture ensuite les informations des fen\u00eatres actives dont le nom\nappartient \u00e0 la liste ci-dessous, stocke ces informations dans divers\nfichiers .log sur le syst\u00e8me, et les transf\u00e8re sur un serveur FTP.\n\nLe virus se propage alors \u00e0 tous les correspondants de la liste de\ncontacts ICQ. \n\nConcernant la vuln\u00e9rabilit\u00e9 d'Internet Explorer :\n\n- pour Symantec, il s'agit de la vuln\u00e9rabilit\u00e9 showhelp() Cette\n vuln\u00e9rabilit\u00e9 est d\u00e9crite dans l'avis CERTA-2003-AVI-019 du 06\n f\u00e9vrier 2003 (avis de s\u00e9curit\u00e9 Microsoft MS-03-004) ;\n- pour McAfee, il s'agit d'une vuln\u00e9rabilit\u00e9 corrig\u00e9 par le patch\n ms03-040 (patch cumulatif). Ce patch a fait l'object de l'alerte\n CERTA-2003-ALE-004 du 06 octobre 2003. \n\nLe CERTA ne dispose pas encore de ce virus et ne peut pas valider ces\ninformations. \n\nListe des fen\u00eatres pour lesquelles le virus capture des informations :\n\n- Acceso a Banca por Internet\n- Accueil Bred.fr \\> Espace Bred.fr\n- American Express UK - Personal Finance\n- Banamex.com\n- baNK\n- Banque\n- Banque en ligne\n- Barclaycard Merchant Services\n- Collegamento a Scrigno\n- Commercial Electronic Office Sign On\n- Credit Lyonnais interacti\n- CyberMUT\n- e-gold Account Access\n- E\\*TRADE Log On\n- Home Page Banca Intesa\n- LloydsTSB online - Welcome\n- Merchant Administration\n- Page d'accueil\n- Secure User Area\n- SUNCORP METWAY\n- Tous les produits et services\n- VeriSign Partner Manager\n- VeriSign Personal Trust Service\n- Wells Fargo - Small Business Home Page\n\n## Contournement provisoire\n\nPour limiter la fuite d'informations, filtrer le protocole FTP en\nsortie.\n\n## Solution\n\n- Appliquer tous les correctifs sur les syt\u00e8mes ;\n- mettre \u00e0 jour le syst\u00e8me antivirus.\n","cves":[],"links":[{"title":"Avis de s\u00e9curit\u00e9 de Microsoft MS03-004 :","url":"http://www.microsoft.com/technet/security/bulletin/ms03-004.asp"},{"title":"Alerte de s\u00e9curit\u00e9 CERTA-2003-ALE-004 du 06 octobre 2003 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-004/index.html"},{"title":"Recommandation du CERTA sur l'usage de la messagerie instantan\u00e9e ou de l'IRC :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-001/index.html"},{"title":"Bulletin de s\u00e9curit\u00e9 de Symantec :","url":"http://securityresponse.symantec.com/avcenter/venc/data/w32.bizex.worm.html"},{"title":"Avis de s\u00e9curit\u00e9 de Microsoft MS03-040 :","url":"http://www.microsoft.com/technet/security/bulletin/ms03-040.asp"},{"title":"Bulletin de s\u00e9curir\u00e9 de McAfee :","url":"http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101044"},{"title":"Bulletin de s\u00e9curit\u00e9 de Kaspersky :","url":"http://www.kaspersky.com/news.html?id=4277566"},{"title":"Analyse du virus :","url":"http://www.viruslist.com/eng/viruslist.html?id=1029528"},{"title":"Avis de s\u00e9curit\u00e9 CERTA-2003-AVI-019 du 06 f\u00e9vrier 2003 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-019/index.html"}],"reference":"CERTA-2004-ALE-002","revisions":[{"description":"version initiale.","revision_date":"2004-02-26T00:00:00.000000"}],"risks":[{"description":"Compromission du syst\u00e8me"},{"description":"Vol d'informations confidentielles"}],"summary":"Le virus Bizex semble se propager actuellement, via les messageries\ninstantan\u00e9es ICQ.\n","title":"Propagation du virux Bizex","vendor_advisories":[]}