=================================================================== Message d'alerte du CERT-RENATER (certsvp@renater.fr) =================================================================== Bonjour On parle beaucoup depuis peu d'un nouveau ver: VBS.LoveLetter.A Il se propage par courrier electronique mais seuls les utilisateurs de Microsoft Outlook y sont vulnerables. Il s'agit d'un script Visual Basic qui s'attache de façon transparente au courrier electronique. Une fois lance et installe il envoie des courriers infectes a toutes les adresses presentes dans le carnet d'adresse de l'utilisateur. Il peut aussi telecharger et lancer un executable qui permet de voler des mots de passe. Sujet du message recu: ILOVEYOU Dans le corps du message on peut lire: kindly check the attached LOVELETTER coming from me Un fichier Visual Basic est attache au message: LOVE-LETTER-FOR-YOU.TXT.vbs Le ver affecte les differents fichiers: vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp3, et mp2 Mesures d'urgence si vous etes infectes: Effacer les fichiers suivants: MSKernel32.vbs (repertoire Windows/system) Win32DLL.vbs (repertoire Windows) LOVE-LETTER-FOR-YOU.TXT.vbs (repertoire Windows/System) WinFAT32.EXE (répertoire de téléchargement Internet) WIN-BUGSFIX.EXE (répertoire de téléchargement Internet) script.ini (repertoire mIRC) Le script ajoute aussi les cles de registre: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 " "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Wi n32DLL" "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page" "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFI X",downread&"\WIN-BUGSFIX.exe" et suivant le systeme d'exploitation, il sera peut etre aussi utile de verifier: "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page" Pour de plus amples informations: http://www.europe.f-secure.com/v-descs/love.htm http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html Il est conseille de transmettre cette information aux utilisateurs de vos reseaux. Prevoyez aussi un upgrade de vos antivirus (le probleme etant assez recent il est possible que certains editeurs ne fournissent pas encore de mise a jour). Cordialement, =================================================================== ========================================================= Les serveurs de référence du CERT-Renater http://www.urec.fr/securite http://www.cru.fr/securite http://www.renater.fr ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 151 bd de l'Hopital | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================