{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Windows NT.","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows 2000 ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows 9x ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nLe ver Apology remplace le fichier wsock32.dll par une version modifi\u00e9e\ndans le but de surveiller le trafic r\u00e9seau. Lorsque l'utilisateur d'une\nmachine infect\u00e9 exp\u00e9die un m\u00e8l, un second est automatiquement transmis\nau m\u00eame destinataire.\n\nCe second message ne contient ni sujet, ni corps mais un fichier\nex\u00e9cutable en pi\u00e8ce jointe qui, une fois ex\u00e9cut\u00e9, installe le ver sur la\nmachine du destinataire. Ce fichier joint est susceptible de porter l'un\ndes noms suivants :\n\n-   README.TXT.pif\n-   I_wanna_see_YOU.TXT.pif\n-   MATRiX_Screen_Saver.SCR\n-   LOVE_LETTER_FOR_YOU.TXT.pif\n-   NEW_playboy_Screen_saver.SCR\n-   BILL_GATES_PIECE.JPG.pif\n-   TIAZINHA.JPG.pif\n-   FEITICEIRA_NUA.JPG.pif\n-   Geocities_Free_sites.TXT.pif\n-   NEW_NAPSTER_site.TXT.pif\n-   METALLICA_SONG.MP3.pif\n-   ANTI_CIH.EXE\n-   INTERNET_SECURITY_FORUM.DOC.pif\n-   ALANIS_Screen_Saver.SCR\n-   READER_DIGEST_LETTER.TXT.pif\n-   WIN\\_\\$100_NOW.DOC.pif\n-   IS_LINUX_GOOD_ENOUGH!.TXT.pif\n-   QI_TEST.EXE\n-   AVP_Updates.EXE\n-   SEICHO-NO-IE.EXE\n-   YOU_are_FAT!.TXT.pif\n-   FREE_xxx_sites.TXT.pif\n-   I_am_sorry.DOC.pif\n-   Me_nude.AVI.pif\n-   Sorry_a bout_yesterday.DOC.pif\n-   Protect_your_credit.HTML.pif\n-   JIMI_HMNDRIX.MP3.pif\n-   HANSON.SCR\n-   F\\*\\*\\*\\*\\*\\*\\_WITH_DOGS.SCR\n-   MATRiX_2\\_is_OUT.SCR\n-   zipped_files.EXE\n-   BLINK_182.MP3.pif\n\nApology bloque l'acc\u00e8s aux sites internet de diff\u00e9rents \u00e9diteurs\nd'anti-virus et emp\u00eache d'envoyer des m\u00e8ls \u00e0 ces \u00e9diteurs. Il tente\n\u00e9galement de se connecter sur un site dans le but de r\u00e9cup\u00e9rer des\ncomposants \u00e0 ex\u00e9cuter sur la machine infect\u00e9e.  \n  \n\nApology cr\u00e9e les fichiers suivants dans le r\u00e9pertoire d'installation de\nWindows :\n\n-   IE_PACK.EXE\n-   MTX\\_.EXE\n-   WIN32.DLL\n-   WSOCK32.MTX\n\nLe fichier WININIT.INI est modifi\u00e9 afin de lancer WSOCK32.MTX \u00e0 la place\nde WSOCK32.DLL lors du red\u00e9marrage de la machine.  \n  \n\nDeux entr\u00e9es sont \u00e9galement ajout\u00e9es \u00e0 la base de registre :\n\n-   `HKLM\\Software\\[MATRix]`\n\n-   `HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`\n\n    `SystemBackup = \"C:\\WINDOWS\\MTX_.EXE\"`\n\nLe fichier MTX\\_.EXE tente toute les deux minutes d'\u00e9tablir une\nconnexion TCP sur le port 1137.\n\n## Solution\n\n-   Bloquer le port 1137 afin de stopper la connexion TCP ;\n-   Mettre \u00e0 jour votre anti-virus.\n","cves":[],"links":[],"reference":"CERTA-2000-AVI-041","revisions":[{"description":"version initiale.","revision_date":"2000-08-31T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de commandes"},{"description":"Propagation de virus"}],"summary":null,"title":"Ver sous Windows : W32/Apology","vendor_advisories":[{"published_at":null,"title":"Sophos","url":"http://www.sophos.com/virusinfo/analyses/w32apology.html"}]}