rocbo menu


W32/Gibe-A, Ver Win32
E-Mail : Internet Security Update

mercredi 13 mars 2002, par rocbo

Dans la même rubrique


Virus Mimail.I
W32.Netsky.D
Virus Sober.C
W32.Sasser.Worm, Blaster
L’hoax, canular
Windowsien(ne) : Eradiquer badtransb .....
MyDoom & Co
Enfin un virus pour MacOs X
À quoi joue Mag.Securs ?
Pétition Nicolas HULOT
Faille virale pour Acrobat
Le spamming
Avis de recherche
SCO & MyDoom
Les pseudos courriers (Microsoft...)
Spam "invisible" dans SPIP
ALERTE VIRUS
W32.Beagle.A@mm
Images truquées au format WMF
Quand Badoo spamme
Virus Dumaru-K
W32.Netsky.Q
Virus informatique dans les E-cards ?
Vos informations personnelles
Noëlie, Solidarité & désagréments

Articles récents
jeudi 21 septembre
Mes tweets font un tabac. Waarf, une fois.
1114 illustrations en copyleft
lundi 21 août
Vous niaisiez, j’en suis fort aise. Et bien twittez maintenant.
D’la mise à jour à l’appel
mardi 20 juin
Come on let’s tweet again
To hits, mise à jour au coup par coup
vendredi 16 juin
La MIGE, Monnaie Locale
Monnaie complémentaire du territoire creusois
dimanche 30 avril
Obsolescence d’un métier et de sa culture
Je suis tout juste bon à m’exhiber au cirque Pinder
dimanche 16 avril
Quand je ne tweet pas, je pouet !
Twitter et Mastodon sont dans un bateau ...
vendredi 24 mars
Twitter : Actualisation de mes tweets
Tous mes tweets sont accompagés d’images en copyleft
lundi 20 février
Intelligence Artificielle & Robotique
Nous avons toujours rêvé de construire des machines intelligentes,
mardi 14 février
+ de 100 nouveaux tweets en ligne
Les images de mes tweets sont en copyleft
samedi 21 janvier
Actualisation du site de mes tweets
Plus de 500 tweets illustrés archivés.


Ce ver se propage par un e-mail prétextant provenir de Microsoft.

Caractéristiques :
- Objet : Internet Security Update
- Pièce jointe : q216309.exe

image 465 x 367

Extraits du corps du message :

Microsoft Customer,
this is the latest version of security update, the update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.

Description of several well-know vulnerabilities :
- "Incorrect MIME Header (...).
- A vulnerability that could allow an unauthorized user to learn (...).
- A new variant of the "Frame Domain Verification" vulnerability (...).
- CLSID extension vulnerability. (...).

System requirements :
Versions of Windows no earlier than Windows 95.

This update applies to :
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01

How to install
Run attached file q216309.exe

How to use
You don’t need to do anything after installing this item.

For more information about these issues, read Microsoft Security Bulletin MS02-005, or visit link below.
http://www.microsoft.com/windows/ie/downloads/critical/default.asp
If you have some questions about this article contact us at rdquest12@microsoft.com

Thank you for using Microsoft products.

With friendly greetings, MS Internet Security Center.
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation.


Que fait-il ?

image 269 x 126

q216309.exe affiche le message "This will install Microsoft Security Update. Do you wish to continue ? " et se copie dans le fichier q216309.exe dans le dossier Windows et dans le fichier vtnmsccd.dll dans le dossier système de Windows. Il place et exécute aussi leq fichiers bctool.exe, winnetw.exe et gfxacc.exe dans le dossier Windows et crée le fichier 02_n803.dat dans lequel il stocke des informations sur les destinataires des e-mails.

Bctool.exe et winnetw.exe essaient d’envoyer des e-mails comme décrits ci-dessus. Gfxacc.exe s’exécute comme processus de fond de tâche et ouvre le port 12387, qui peut permettre à un attaquant d’accéder et de contrôler la machine à distance.

Le ver configure dans la base de registre les clés suivantes :
- HKLM\Software\AVTech\Settings\Default Address=adresse par défaut
- HKLM\Software\AVTech\Settings\DefaultServer=serveur par défaut
- HKLM\Software\AVTech\Settings\Installed=...by Begbie
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\3dfx
Acc=chemin vers gfxacc.exe
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LoadD
Backup=chemin vers bctool.exe

D’après Sophos

Liens
- Sophos
- Symantec
- McAfee



Les rubriques
7ieme art
Actualité & Société
Arts & Cultures
Arts graphiques
Comités de grève
Détente & Sorties
Droits
Économie Solidaire
Écrits & Textes rocboratifs
essai
Gestion des Droits Numériques DRM
Hadopi
Handicaps
Histoire
Histoire de la pédagogie
Histoire des techniques
Hoaxes, Spams, Virus & Cie
HTML & Cie
Hum[o/e]urs
Illustrateurs & auteurs de BD
Infonie
Informatique Alternative
L’Internet non marchand
Les Berçeaux de l’Histoire
Libertés immuables
Logiciels libres et/ou gratuits
LP Léonard de Vinci
Lutte
Macmania
Musique
Poleis
Productique
Réforme de l’orthographe
Requiescat in pace
Santé & Société
Sciences
Tester et utiliser Spip
Twitter
Typographie
Vie du Net

Hors Spip 
Astronomie, P.Bézier, L.Carroll 
Cinéma, Clio, Dessin de la lettre 
A.Gaudì, Graff à Marseille 
Géométrie secrète des peintres 
Hoaxes, HTML, Illustrateurs 
Le jeu de Marseille 
Joseph peintre, King-Kong 
Littératures, MacOs X 
Le musée de Rocbo 
Norton Commando W.M 
Science-Fiction, Sade, Siné 
Textes/Revues/Écrits politiques 
Typographie 

Vous avez dit blog ?
Ce site sous SPIP
n'est pas forcément  l'outil idéal
pour réagir à chaud 
à l'actualité. Un blog le permet. 
Héméralope phocomèle 
dites-vous ? en est le titre. 
C'est [ ICI


rocbo
Toc of Rocbo

Ex-enseignant déformateur


Flux RSS



6750 visiteur(s).
1 contribution(s).

> W32/Gibe-A, Ver Win32, par rocbo




> W32/Gibe-A, Ver Win32
16 mars 2002, par rocbo   [retour au début des forums]

Ah que le monde de Bilou est riche en péripéties et gateries en tous genres. Que fous-je sous MacOs moi ???

LOGO SPIP Réalisé sous Spip

Hébergé par L'Autre.Net LOGO L'Autre.Net

Déclaré à la CNIL sous le n°1153442