Nouvelles variantes du ver intenet MyDoom
======================================================================
Message du CERT-Renater (*******@renater.fr)
======================================================================
Nouvelles variantes du ver intenet MyDoom
----------------------------------------
Bonjour,
De nouvelles variantes du ver MyDoom semblent se repandre depuis
peu. Ces variantes tireraient parti de la faille de securite
d'Internet Explorer relative a une mauvaise gestion de chaines
de caracteres specifiees dans les balises HTML <FRAME> et <IFRAME>.
Pour rappel, cette faille de securite permet a un attaquant
distant de provoquer l'execution de commandes de son choix
sur un systeme vulnerable. Pour cela il remplit les balises
indiquees avec des chaines de caracteres tres longues qui
provoquent un debordement d'espace memoire et l'execution
de commandes contenues dans la tres longue chaine de caracteres.
Un programme permettant d'exploiter cette faille de securite
du navigateur Internet Explorer est en circulation.
L'attaque publiee est cependant inoperante sur les systemes
Windows XP SP2.
Elle a par contre ete verifiee avec Internet Explorer 6 sur
les systemes Windows XP SP1 et Windows 2000 a jour concernant
les correctifs de securite.
Rappelons que pour l'instant il n'existe pas de correctif pour
cette faille de securite (voir avis CERT-Renater : 2004/STAT045).
En ce qui concerne maintenant les nouvelles variantes de MyDoom:
La premiere manifestation de l'attaque se presente dans votre boite
aux lettres sous la forme d'un message dont l'objet serait:
- funny photos :)
- hello
- hey!
- hi!
- Confirmation
- Pas d'objet, champs objet vide
- ou une suite de caracteres aleatoires
Le corps du message pourrait contenir un message ressemblant
a un des suivants:
- - "Look at my homepage with my last webcam photos!"
ou
- - "Body: FREE ADULT VIDEO! SIGN UP NOW! "
ou
- - "Congratulations! PayPal has successfully charged $175 to your credit card.
Your order tracking number is A866DEC0, and your item will be shipped
within three business days.
To see details please click this link .
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an
automated message system and the reply will not be received.
Thank you for using PayPal. "
ou
- - "Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my homepage with my weblog and last webcam photos!
See you!"
ou encore:
- - "Hi! I am looking for new friends. I am from Miami, FL. You can
see my homepage with my last webcam photos!"
L'en-tete du message pourrait contenir un des champs suivants:
- X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
- X-AntiVirus: Checked by Dr.Web (http://www.drweb.net)
- X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software
Ce message ne contient pas d'attachement. Cependant, lorsqu'on
clique sur le lien indique dans le message, le navigateur de
l'utilisateur est redirige vers un site web installe sur le
systeme infecte qui a effectue l'envoi du courrier recu par
la nouvelle victime. La page web accedee est construite de
facon a tirer parti de la faille de securite d'Internet Explorer
decrite ci-dessus. Pendant que l'utilisateur consulte cette
page web, des commandes sont executees automatiquement a son
insu pour lancer le telechargement et l'installation du ver/virus
sur son systeme.
Le serveur web installe sur les systemes infectes ecouterait
le reseau en attente de connexions sur le port 1639/TCP.
Il semblerait cependant que le port choisi puisse aussi etre
1640/TCP dans certains cas plus rares. Une explicationque
l'on peut avancer serait que le ver choisisse en fait le
premier port TCP libre a partir du numero 1639.
De facon generale, il est recommande d'eviter de cliquer
sur les liens contenus dans les messages de type "SPAM"
ou messages non sollicites envoyes par un expediteur
inconnu. De nombreux logiciels malveillants sont ainsi
installes sur de nombreux postes. La technique est similaire
a celle-ci: attaque d'une faille de securite de votre
navigateur Internet pour provoquer le telechargement et
l'installation de programmes malveillants (spywares,
keyloggers, vers, virus...) sur les systemes vulnerables
et/ou non mis a jour regulierement.
Pour plus d'informations sur les modifications apportees
au systeme par le ver/virus, se reporter aux avis des
editeurs d'anti-virus.
Les trois premiers avis de la section "References" contiennentt
en outre des mesures a prendre pour se proteger un minimum dans
l'attente des correctifs.
References:
US-CERT: "Microsoft Internet Explorer vulnerable to buffer
overflow via FRAME and IFRAME elements":
http://www.kb.cert.org/vuls/id/842160
Auscert: "Internet Explorer IFRAME Buffer Overflow Vulnerability
Allows Remote Compromise "
http://www.auscert.org.au/render.html?it=4527
CERTA: "Mesures de prévention relatives la messagerie"
http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-002/index.html.2.html
Comment desactiver le contenu actif dans Internet Explorer:
http://support.microsoft.com/default.aspx?scid=kb;fr;154036
http://support.microsoft.com/default.aspx?scid=kb;en-us;154036
Comment desactiver l'execution de controles ActiveX dans Internet
Explorer:
http://support.microsoft.com/default.aspx?scid=kb;fr;240797
Alerte Auscert: "New viruses actively exploiting Internet
Explorer IFRAME Buffer Overflow Vulnerability "
http://www.auscert.org.au/render.html?it=4542
NAI: "W32/Mydoom.ag@MM "
http://vil.nai.com/vil/content/v_129630.htm
NAI: "W32/Mydoom.ah@MM "
http://vil.nai.com/vil/content/v_129631.htm
Symantec: "W32.Mydoom.AI@mm"
http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.ai@mm.html
Symantec: "W32.Mydoom.AH@mm"
http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.ah@mm.html
F-Secure: "MyDoom.AG"
http://www.f-secure.com/v-descs/mydoom_ag.shtml
Trend Micro: "WORM_MYDOOM.AG"
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.AG
Trend Micro: "WORM_MYDOOM.AH"
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.AH
Jeff \--Webmaster@CCM--/
A voir également:
- Nouvelles variantes du ver intenet MyDoom
- Nouvelles chaines tv - Guide
- Ver num - Guide
- Nouvelles chaines tnt - Accueil - TV & Vidéo
- Comment enlever un ver informatique - Guide
- Confirmer le nouvel envoi du formulaire err_cache_miss ✓ - Forum HTML
