rocbo menu


W32/Gibe-A, Ver Win32
E-Mail : Internet Security Update

mercredi 13 mars 2002, par rocbo

Dans la même rubrique


Windowsien(ne) : Eradiquer badtransb .....
Images truquées au format WMF
Le spamming
Virus Mimail.I
Vos informations personnelles
Virus Dumaru-K
SCO & MyDoom
W32.Sasser.Worm, Blaster
Spam "invisible" dans SPIP
W32.Beagle.A@mm
Virus informatique dans les E-cards ?
L’hoax, canular
ALERTE VIRUS
Virus Sober.C
Pétition Nicolas HULOT
Faille virale pour Acrobat
Les pseudos courriers (Microsoft...)
À quoi joue Mag.Securs ?
MyDoom & Co
Avis de recherche
Enfin un virus pour MacOs X
W32.Netsky.Q
Noëlie, Solidarité & désagréments
Quand Badoo spamme
W32.Netsky.D

Articles récents
dimanche 30 avril
Obsolescence d’un métier et de sa culture
Je suis tout juste bon à m’exhiber au cirque Pinder
dimanche 16 avril
Quand je ne tweet pas, je pouet !
Twitter et Mastodon sont dans un bateau ...
vendredi 24 mars
Twitter : Actualisation de mes tweets
Tous mes tweets sont accompagés d’images en copyleft
lundi 20 février
Intelligence Artificielle & Robotique
Nous avons toujours rêvé de construire des machines intelligentes,
mardi 14 février
+ de 100 nouveaux tweets en ligne
Les images de mes tweets sont en copyleft
samedi 21 janvier
Actualisation du site de mes tweets
Plus de 500 tweets illustrés archivés.
mardi 3 janvier
Site des rubriques de mes tweets
Mise en ligne de mes tweets classés par rubriques
mercredi 23 novembre
Fillon, bien plus à droite que vous ne pensez
Primaire de la droite
mercredi 9 novembre
La France troublée par l’incertitude Trump
Élections américaines
samedi 8 octobre
Le jargon informe à tiques des politiques
Disque dur, logiciel, algorithme... on regrette le mulot


Ce ver se propage par un e-mail prétextant provenir de Microsoft.

Caractéristiques :
- Objet : Internet Security Update
- Pièce jointe : q216309.exe

image 465 x 367

Extraits du corps du message :

Microsoft Customer,
this is the latest version of security update, the update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.

Description of several well-know vulnerabilities :
- "Incorrect MIME Header (...).
- A vulnerability that could allow an unauthorized user to learn (...).
- A new variant of the "Frame Domain Verification" vulnerability (...).
- CLSID extension vulnerability. (...).

System requirements :
Versions of Windows no earlier than Windows 95.

This update applies to :
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01

How to install
Run attached file q216309.exe

How to use
You don’t need to do anything after installing this item.

For more information about these issues, read Microsoft Security Bulletin MS02-005, or visit link below.
http://www.microsoft.com/windows/ie/downloads/critical/default.asp
If you have some questions about this article contact us at rdquest12@microsoft.com

Thank you for using Microsoft products.

With friendly greetings, MS Internet Security Center.
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation.


Que fait-il ?

image 269 x 126

q216309.exe affiche le message "This will install Microsoft Security Update. Do you wish to continue ? " et se copie dans le fichier q216309.exe dans le dossier Windows et dans le fichier vtnmsccd.dll dans le dossier système de Windows. Il place et exécute aussi leq fichiers bctool.exe, winnetw.exe et gfxacc.exe dans le dossier Windows et crée le fichier 02_n803.dat dans lequel il stocke des informations sur les destinataires des e-mails.

Bctool.exe et winnetw.exe essaient d’envoyer des e-mails comme décrits ci-dessus. Gfxacc.exe s’exécute comme processus de fond de tâche et ouvre le port 12387, qui peut permettre à un attaquant d’accéder et de contrôler la machine à distance.

Le ver configure dans la base de registre les clés suivantes :
- HKLM\Software\AVTech\Settings\Default Address=adresse par défaut
- HKLM\Software\AVTech\Settings\DefaultServer=serveur par défaut
- HKLM\Software\AVTech\Settings\Installed=...by Begbie
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\3dfx
Acc=chemin vers gfxacc.exe
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LoadD
Backup=chemin vers bctool.exe

D’après Sophos

Liens
- Sophos
- Symantec
- McAfee



Les rubriques
7ieme art
Actualité & Société
Arts & Cultures
Arts graphiques
Comités de grève
Détente & Sorties
Droits
Économie Solidaire
Écrits & Textes rocboratifs
essai
Gestion des Droits Numériques DRM
Hadopi
Handicaps
Histoire
Histoire de la pédagogie
Histoire des techniques
Hoaxes, Spams, Virus & Cie
HTML & Cie
Hum[o/e]urs
Illustrateurs & auteurs de BD
Infonie
Informatique Alternative
L’Internet non marchand
Les Berçeaux de l’Histoire
Libertés immuables
Logiciels libres et/ou gratuits
LP Léonard de Vinci
Lutte
Macmania
Musique
Poleis
Productique
Réforme de l’orthographe
Requiescat in pace
Santé & Société
Sciences
Tester et utiliser Spip
Twitter
Typographie
Vie du Net

Hors Spip 
Astronomie, P.Bézier, L.Carroll 
Cinéma, Clio, Dessin de la lettre 
A.Gaudì, Graff à Marseille 
Géométrie secrète des peintres 
Hoaxes, HTML, Illustrateurs 
Le jeu de Marseille 
Joseph peintre, King-Kong 
Littératures, MacOs X 
Le musée de Rocbo 
Norton Commando W.M 
Science-Fiction, Sade, Siné 
Textes/Revues/Écrits politiques 
Typographie 

Vous avez dit blog ?
Ce site sous SPIP
n'est pas forcément  l'outil idéal
pour réagir à chaud 
à l'actualité. Un blog le permet. 
Héméralope phocomèle 
dites-vous ? en est le titre. 
C'est [ ICI


rocbo
Toc of Rocbo

Ex-enseignant déformateur


Flux RSS



6735 visiteur(s).
1 contribution(s).

> W32/Gibe-A, Ver Win32, par rocbo




> W32/Gibe-A, Ver Win32
16 mars 2002, par rocbo   [retour au début des forums]

Ah que le monde de Bilou est riche en péripéties et gateries en tous genres. Que fous-je sous MacOs moi ???

LOGO SPIP Réalisé sous Spip

Hébergé par L'Autre.Net LOGO L'Autre.Net

Déclaré à la CNIL sous le n°1153442