{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Windows 2000 ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows XP.","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2004-03-19","content":"## Description\n\nUn ver nomm\u00e9 Phatbot semble se propager de plusieurs fa\u00e7ons diff\u00e9rentes.\nIl semble exploiter de nombreuses vuln\u00e9rabilit\u00e9s affectant Microsoft\nWindows, telles que RPC DCOM (CERTA-2003-AVI-111 et\nCERTA-2003-AVI-149-001), Dameware Miniremote (CERTA-2003-AVI-214),\nMicrosoft Locator Service (CERTA-2003-AVI-009), WebDAV\n(CERTA-2003-AVI-050), Windows Workstation Services (CERTA-2003-AVI-185).\nLe ver semble aussi se propager via les partages r\u00e9seau prot\u00e9g\u00e9s par un\nmot de passe faible, ainsi que par la porte d\u00e9rob\u00e9e laiss\u00e9e par le ver\nMyDoom (normalement filtr\u00e9e par le pare-feu).\n\nIl aurait des fonctionnalit\u00e9s d'\u00e9coute de trafic r\u00e9seau, dans le but de\nvoler des noms d'utilisateur et des mots de passe ftp et irc, ainsi que\ndes cookies http. Il aurait \u00e9galement des fonctionnalit\u00e9s de spam, et\npourrait voler les cl\u00e9s CD de produits Microsoft ou de jeux. Il pourrait\nlancer un proxy HTTP.\n\nIl serait capable d'\u00e9liminer certains virus, tels que Sobig, Welchia ou\nBlaster. Il serait surtout capable de terminer des processus li\u00e9s \u00e0 des\nproduits de s\u00e9curit\u00e9 tels que des antivirus et des pare-feux personnels.\n\nPhatbot aurait la possibilit\u00e9 de lancer des d\u00e9nis de service. Les\ncommandes seraient adress\u00e9es aux machines infect\u00e9es par Phatbot par\nl'interm\u00e9diaire d'une version modifi\u00e9e du protocole WASTE (protocole\nP2P). Il utiliserait le port 4387/tcp.\n\nIl ajouterait les cl\u00e9s de registre suivantes :\n\n`HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Generic  Service Process`\n\n`HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\Generic  Service Process`\n\nD'autres cl\u00e9s de registre pourraient \u00eatre ajout\u00e9es.\n\nCe ver serait polymorphique, ce qui compliquerait sa d\u00e9tection par les\nantivirus.\n\n## Solution\n\n-   Appliquer tous les correctifs de Microsoft ;\n-   utiliser des r\u00e8gles de filtrage appropri\u00e9es et des mots de passe\n    forts pour le partage r\u00e9seau ;\n-   se r\u00e9f\u00e9rer \u00e0 l'avis CERTA-2003-AVI-084.\n","cves":[],"links":[{"title":"Analyse du ver Phatbot par Lurhq :","url":"http://www.lurhq.com/phatbot.html"}],"reference":"CERTA-2004-ALE-003","revisions":[{"description":"version initiale.","revision_date":"2004-03-19T00:00:00.000000"}],"risks":[{"description":"Compromission du syst\u00e8me"},{"description":"D\u00e9ni de service"}],"summary":"Un ver nomm\u00e9 Phatbot (ou Gaobot ou Agobot ou encore Polybot selon les\n\u00e9diteurs d'antivirus) semble se propager actuellement.\n","title":"Propagation du ver Phatbot","vendor_advisories":[]}