{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Syst\u00e8mes Windows.</p>","closed_at":"2005-06-03","content":"## Description\n\nMYTOB est un ver qui se propage par la messagerie (via une pi\u00e8ce jointe)\nou par l'exploitation d'une vuln\u00e9rabilit\u00e9 de LSASS (voir ci-dessous la\nr\u00e9f\u00e9rence). Les machines infect\u00e9es se reconnaissent gr\u00e2ce \u00e0 leurs\ntentatives de connexion sur la machine irc.blackcarder.net (port\n7000/TCP). Une fois connect\u00e9e au serveur d'irc.blackarder.net, la\nmachine infect\u00e9e peut recevoir l'instruction de t\u00e9l\u00e9charger puis\nd'ex\u00e9cuter des fichiers arbitraires.\n\nPar ailleurs, les machines infect\u00e9es rencontrent de nombreux\ndysfonctionnements tels que l'arr\u00eat, d\u00e8s leur lancement, de certains\nprocessus (par exemple le gestionnaire des t\u00e2ches, l'invite de commande\nMS-DOS, ...).\n\n## Solution\n\n**Aspects organisationnels**\n:   . Cette infection rappelle \u00e0 nouveau l'imp\u00e9rieuse n\u00e9cessit\u00e9 des\n    mises \u00e0 jour et d'autre part la n\u00e9cessaire sensibilisation des\n    utilisateurs sur l'ouverture trop confiante des pi\u00e8ces jointes.\n\n**Aspects techniques**\n:   . Pour d\u00e9terminer les machines infect\u00e9es sur les r\u00e9seaux, l'analyse\n    des journaux en amont des firewalls doit permettre de d\u00e9tecter les\n    machines cherchant une connexion sur les ports 7000/TCP et 445/TCP.\n    En cas d'infection, contactez le CERTA.\n","cves":[],"links":[],"reference":"CERTA-2005-ALE-004","revisions":[{"description":"version initiale.","revision_date":"2005-06-03T00:00:00.000000"}],"risks":[{"description":"Dysfonctionnements du syst\u00e8me"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"De nombreuses versions du virus MYTOB ont infect\u00e9 un certain nombre de\nmachines aupr\u00e8s d'abonn\u00e9s du CERTA.\n","title":"Propagation du ver MYTOB","vendor_advisories":[]}