Virus LovSan-Blaster +
DataProtex

+ Présentation
+ Kit DataProtex
+ Conditions DataProtex
+ Download
+ Save-my-PC
+ Top 10
+ Contacts

Members

+ Manuel
+ Liens utiles

La sécurité informatique

+ La sinistralité informatique
+ La sécurité des réseaux
+ La sécurité des portables
+ La sécurité sur Internet
+ Les Firewalls
+ Facts & figures
+ News

Encyclopédie virale

+ Les attaques à distance
+ Les virus
+ Les troyens
+ Les bombes logiques
+ Les espiologiciels
+ Les canulars (hoaxes)
+ Les Keyloggers
+ Les vers (worms)
+ Le spamming
+ Les espions publicitaires

1. Définition

Apparu durant l'été 2003, le virus LovSan (connu également sous les noms W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) est le premier virus a exploiter la faille RPC/DCOM (Remote Procedure Call, soit en français appel de procédure distante) des systèmes Microsoft Windows permettant à des processus distants de communiquer ensemble.

En exploitant la faille grâce à un débordement de tampon, un programme malveillant (tel que le virus LovSan) peut prendre le contrôle de la machine vulnérable.

Les systèmes affectés sont les systèmes Windows NT 4.0, 2000, XP et Windows Server 2003.

2. Les actions du virus

Le ver LovSan / Blaster est programmé pour scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille RPC sur le port 135.

Lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur le port TCP 4444, et force la machine distante à télécharger une copie du ver dans le répertoire %WinDir%\system32 en lançant une commande TFTP (port 69 UDP) pour transférer le fichier à partir de la machine infectée.

Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Le virus LovSan/Blaster est prévu pour effectuer une attaque sur le service WindowsUpdate de Microsoft afin de perturber la mise à jour des machines vulnérables.

3. Symptômes de l'infection

L'exploitation de la vulnérabilité RPC provoque un certain nombre de dysfonctionnements sur les systèmes affectés, liés à la désactivation du service RPC (processus svchost.exe / rpcss.exe).

Les systèmes vulnérables présentent les symptômes suivants :

  • Copier/Coller défectueux ou impossible
  • Ouverture d'un lien hypertexte dans une nouvelle fenêtre impossible
  • Déplacement d'icones impossibles
  • Fonction recherche de fichier de windows erratique
  • Fermeture du port 135/TCP
  • Redémarrage de Windows XP : le système est sans cesse relancé par AUTORITE NT/system avec le(s) message(s) suivant(s)
    Windows doit maintenant redémarrer car le service appel de procédure distante (RPC) s'est terminé de façon inattendue

    Arrêt du système dans 60 secondes veuillez enregistrer tous les travaux en cours. Cet arrêt a été initié par AUTORITE NT\SYSTEM. Windows doit maintenant démarrer


4. Eradiquer le virus

Pour éradiquer le ver LovSan, la meilleure méthode consiste tout d'abord à désinfecter le système à l'aide d'un kit de désinfection : liste des kits

Si votre système reboote continuellement, il faut désactiver le redémarrage automatique :
  1. faîtes Démarrer / Exécuter puis entrez la commande suivante permettant de repousser le redémarrage automatique : shutdown -a
  2. Cliquez sur Poste de travail avec le bouton droit
  3. Cliquez sur Propriétés / Avancé / Démarrage et récupération / Paramètres
  4. Décochez la case "redémarrer automatiquement" !
Vous pourrez rétablir cette option lorsque votre système fonctionnera à nouveau normalement.

Il est ensuite indispensable de mettre à jour le système à l'aide du service Windows Update ou bien en mettant à jour votre système avec le patch suivant correspondant à votre système d'exploitation : D'autre part, dans la mesure où le virus se propage par l'intermédiaire du réseau Microsoft Windows, il est fortement conseillé d'installer un pare-feu personnel sur vos machines connectées à internet et de filtrer les ports tcp/69, tcp/135 à tcp/139 et tcp/4444.

5. Pour plus d'information

» Retour au menu 'Les virus'





© Tous droits réservés 2004 - Commentcamarche.net - Jean-François Pillou

FR
NL
DATAPROTEX - Your computer & Data protection - n.v. Samarkande s.a. - ©Copyright 2006 - Conditions générales