Blaster est le premier virus ciblant les ordinateurs
vulnérables à la faille RPC de Microsoft. Si une
machine connectée à Internet n'est pas à
jour dans ses correctifs, Blaster l'infecte via le port 135
TCP puis scanne le réseau à la recherche de nouvelles
machines vulnérables. Il est par ailleurs programmé
pour lancer une attaque par déni de service contre le
site WindowsUpdate à partir du 16/08/03, afin de tenter
d'empêcher les retardataires de télécharger
le correctif nécessaire à leur système.
La mise à jour des ordinateurs sous Windows NT, 2000,
XP et 2003 est urgente et impérative.
|
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows NT, 2000, XP et 2003 doivent également
mettre à jour leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille RPC exploitée par
le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixBlast pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 2000
Windows XP
ALIAS :
Win32.Poza (CA)
W32/Lovsan@mm (F-Secure)
Worm.Win32.Lovesan (Kaspersky)
W32/Lovsan.worm (Mc Afee)
W32/Blaster (Panda Software)
W32/Blaster-A (Sophos)
W32.Blaster.Worm (Symantec)
WORM_MSBLAST.A (Trend Micro)
Win32.Msblast.A
WormBlast
TAILLE :
6.176 octets
DECOUVERTE :
11/08/2003
DESCRIPTION DETAILLEE :
Blaster est un virus qui se propage via le réseau.
Si une machine connectée à Internet n'est pas
à jour dans ses correctifs, Blaster l'infecte via le
port TCP 135 en utilisant la faille RPC de Microsoft : il
provoque le téléchargement d'un fichier MSBLAST.EXE
dans le répertoire System32 de Windows via TFTP, puis
son exécution à distance sans aucune intervention
de l'utilisateur.
Une fois l'ordinateur infecté, le virus modifie la
base de registres pour s'exécuter à chaque démarrage
de l'ordinateur, puis scanne ensuite continuellement le réseau
à la recherche de nouvelles machines vulnérables.
Il est par ailleurs programmé pour lancer une attaque
par déni de service contre le site WindowsUpdate à
partir du 16/08/03, afin de tenter d'empêcher les retardataires
de télécharger le correctif nécessaire
à leur système.
L'exploitation de la faille RPC par le virus rend souvent
le système instable. Sous Windows 2000, cela se traduit
par un plantage de l'ordinateur et/ou un message d'erreur
impliquant le processus svchost.exe. Sous Windows XP, un message
d'erreur s'affiche à l'initiative de Autorite NT\System,
puis l'ordinateur redémarre automatiquement après
60 secondes :
Si ce délai de 60 secondes ne vous laisse pas le
temps de télécharger le correctif, il est possible
de stopper le compte à rebours et d'annuler le redémarrage
automatique en procédant de la manière suivante : cliquez
sur le bouton "Démarrer", sélectionnez "Exécuter...",
entrez " shutdown -a " puis cliquez "Ok". Cette
opération n'est valable que pour Windows XP.
Une propagation massive de Blaster et d'éventuelles
variantes pourrait causer des perturbations dans le fonctionnement
d'Internet, en rendant notamment difficile voire impossible
l'accès à certains sites web. Les ordinateurs
sous Windows NT et 2003 Server ne peuvent pas être infectés
à distance par le virus, mais ils peuvent "planter"
au moment de l'exploitation de la faille RPC par Blaster et
le virus peut être exécuté manuellement
sur ces plateformes. La mise à jour des machines sous
Windows NT, 2000, XP et 2003 est donc impérative pour
combler la faille RPC exploitée par le virus, mais
aussi par divers outils de piratage à distance actuellement
en circulation.
13/08/03 : deux variantes Blaster.B (= W32.Blaster.B.Worm,
W32/Lovsan.B.worm, Win32.Msblast.B) et Blaster.C (W32.Blaster.C.Worm,
W32/Lovsan.C.worm, Win32.Msblast.C) ont été
identifiées. La principale différence est le
nom du fichier infectant, respectivement penis32.exe
(7.200 octets) et Teekids.exe (5.360 octets) au lieu
de msblast.exe, ce qui ne change rien pour l'utilisateur puisque
l'infection se déroule à son insu. Cela ne devrait
pas non plus avoir d'influence significative sur la propagation
du virus, les autres caractéristiques étant
identiques.
18/08/03 : une nouvelle variante Blaster.D (= W32.Blaster.D.Worm,
W32/Lovsan.D.worm, Win32.Msblast.D) a été identifiée.
La principale différence est le nom du fichier infectant,
mspatch.exe (11.776 octets) au lieu de msblast.exe,
ce qui ne change rien pour l'utilisateur puisque l'infection
d'un ordinateur vulnérable se déroule à
son insu.
29/08/03 : une nouvelle variante Blaster.E (= W32.Blaster.E.Worm,
W32/Lovsan.E.worm, Win32.Msblast.E) a été identifiée.
La principale différence est le nom du fichier infectant,
mslaugh.exe (6.176 octets) au lieu de msblast.exe,
ce qui ne change rien pour l'utilisateur puisque l'infection
d'un ordinateur vulnérable se déroule à
son insu.
01/09/03 : une nouvelle variante Blaster.F (= W32.Blaster.F.Worm,
W32/Lovsan.worm.F, Win32.Msblast.F) a été identifiée.
La principale différence est le nom du fichier infectant,
enbiei.exe (11.808 octets) au lieu de msblast.exe,
ce qui ne change rien pour l'utilisateur puisque l'infection
d'un ordinateur vulnérable se déroule à
son insu.
INFORMATIONS COMPLEMENTAIRES :
-> Nouvelles
vulnérabilités critiques dans le service RPC
de Windows 2000, XP, NT 4.0 et Server 2003 (11/09/03)
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|
