Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Code blue passe à l'attaque

On le dit encore plus redoutable que son compère code red II, apparu quelques temps auparavant. Ce ver de la catégorie Worm.IIS a commencé à infecter les terminaux chinois en profitant d'une faille dans le système d'exploitation Microsoft Windows 2000. L'agence officielle Xinhua signale que code blue est plus perverse que code red II même s'il représente certaines analogies avec son prédécesseur : le ver se propage depuis la messagerie via le disque dur et une fois le système d'exploitation vicié, il donne accès, depuis l'extérieur, aux donnés du particulier ! Le plus gros problème causé reste actuellement l'engorgement du réseau : ce dernier a déjà coûté 2,4 milliards de dollars en nettoyage informatique. Aux Etats-Unis, les craintes du National Infrastructure Protection Center sont justifiées : le 19 juillet dernier, un ver de même acabit avait infecté plus de 250 000 systèmes en moins de 9 heures…

Le ver Code Blue s'attaque aux serveurs sous Windows NT et 2000. Il utilise plusieurs vulnérabilités d'IIS, dont les bugs « unicode ».

Il installe un fichier nommé « SvcHost.EXE » qui est relancé à chaque démarrage grâce à une entrée dans la base de registre : « HKLM\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ ».

Le ver génère de nombreux « threads » provoquant ainsi un ralentissement de la machine voire un épuisement des ressources pouvant aller jusqu'au blocage.

Il crée un script VBS « C:\d.vbs » qui, une fois lancé, stoppe tous les services « .ida, .idq et .printer » d'IIS.

Il tente également de recopier ou télécharger le fichier « httpext.dll » vers les répertoires : « c:\ » ou « c:\inetpub\scripts\ ». Il provoque un déni de service en visitant régulièrement l'adresse IP «211.99.196.135 ».

Télécharger le correctif concernant votre version d'IIS :

* IIS version 4.0 :

http://www.microsoft.com/Downloads/release.asp?ReleaseID=23667

* IIS version 5.0 :

http://www.microsoft.com/Downloads/release.asp?ReleaseID=23665
 

Note : le correctif pour IIS 4.0 peut être installé sur les systèmes Windows NT 4.0 Service Pack 5 et 6a. Il sera inclue dans le Service Pack 7.

Le correctif pour IIS 5.0 peut être installé sur les système Windows 2000 gold ou Service Pack 1. Il sera inclue dans le Service Pack 2 (Moralité pour les serveurs Windows 2000 téléchargé le SP 2 )

 

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.