Ce que vous devez savoir sur le ver Blaster
Dernière mise à jour : mercredi 3 septembre 2003
(Article Microsoft)
Le 11 août 2003, Microsoft a identifié un nouveau ver, connu sous le
nom de W32.Blaster.worm. Un ver est un programme à fonctionnement et
réplication autonomes, qui provoque généralement une surconsommation de
mémoire et la cessation de réponse d'un ordinateur.
Nous vous conseillons plus que vivement de mener les actions présentées
ci-dessous pour protéger votre système, et supprimer le ver si vous êtes
contaminé.
Nouvelles informations importantes
- Si vous êtes infecté : Suivez la procédure
pour le grand public ou celle pour
les administrateurs réseaux.
- Un canular circule : Un message
électronique, actuellement en circulation, propose un soi-disant
correctif contre Blaster. Ceci ne provient en aucun cas de Microsoft.
Attention, Il installe en fait un "cheval de Troie", un virus caché dans
un autre programme. Microsoft vous rappelle qu'il ne distribue jamais
par courrier électronique de logiciel à télécharger directement à partir
d'une pièce jointe. Pour en savoir plus à ce sujet, consultez le
document décrivant la
politique Microsoft de distribution des logiciels.
- Des variantes du ver sont apparues :
le bulletin de sécurité Microsoft MS03-026 vous donne les
informations nécessaires pour protéger votre système contre les
variantes du ver Blaster.
- Des questions-réponses ont été publiées :
Microsoft a publié les réponses aux questions les plus fréquentes sur le
ver baster et ses variantes.
Cliquez ici pour les consulter.
- Un nouvel outil est disponible : Microsoft
met à la disposition des administrateurs réseaux un
outil de diagnostic (US), destiné à identifier les postes ayant le
correctifs de sécurité et ceux qui ne l'ont pas encore (réseaux sous
Windows 2000 ou Windows XP). Consultez le
mode d'emploi (US) de cet outil.
Qu'est-ce que ce ver ?
Ce nouveau ver est connu sous le nom de W32.Blaster.Worm, mais aussi
MBlaster, W32/Lovsan.worm, MSBlast, W32.blaster.worm, Win32.posa.worm,
Win32.poza.worm. Il cherche à exploiter la vulnérabilité corrigée par
les solutions mentionnées dans
le bulletin de sécurité Microsoft MS03-026 et, notamment, à créer
une porte dérobée et à permettre la propagation du ver. Blaster est conçu
pour envoyer également une attaque par déni de service contre le site Web
Windows Update de Microsoft (Cette attaque consiste donc à rendre ce site
indisponible).
Qui est affecté par ce ver ?
Les possesseurs des produits suivants sont concernés :
- Microsoft Windows NT 4.0
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
Ne sont pas concernés : les utilisateurs de Windows 95, Windows
98, Windows 98 Seconde Edition et Windows Millenium
Le ver a été découvert le 11 août.
Tous les clients qui avaient au préalable installé le correctif
de sécurité du bulletin MS03-026 sont protégés.
|
Quels sont les symptômes de ce ver ?
Le symptôme typique de ce ver, pour les utilisateurs de Windows XP et
de Windows Server 2003, est le redémarrage intempestif du système,
sans aucune action de l'utilisateur.
Les utilisateurs de Windows NT 4.0 et de Windows 2000 peuvent avoir, quant
à eux, un système qui se fige.
Cependant, il se peut que vous soyez infecté mais qu'il n'y ait aucun
symptôme.
Que vous fassiez face à ces symptômes ou non, vous conseillons plus que
vivement de mener les actions présentées ci-dessous.
Quelles sont les actions à mener immédiatement ?
Pour
les administrateurs systèmes
et informaticiens |
Pour
le grand public |
|
En premier lieu, empêchez tout redémarrage intempestif de
votre ordinateur :
- Sous Windows XP et Windows Server 2003
Appuyez sur "Ctrl+Alt+Supp". Cliquez sur le bouton "Gestionnaire des
tâches", sélectionnez l'onglet "Processus", puis sélectionnez le
processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe". Cliquez
sur "Terminer le processus". Validez en cliquant sur "Oui".
- Sous Windows NT 4.0 et Windows 2000
Appuyez sur "Ctrl+Alt+Supp". Cliquez sur le bouton "Gestionnaire des
tâches", sélectionnez l'onglet "Processus" puis le processus "msblast.exe"
ou "teekids.exe" ou "Dllhost.exe". Cliquez sur "Terminer le
processus". Validez en cliquant sur "Oui".
Puis suivez les étapes suivantes :
- activez le pare-feu
- mettez à jour Windows
- utilisez un antivirus
- supprimez le ver
Si vous n'êtes pas infecté
|
Veillez à procéder aux étapes suivantes pour protéger votre
système :
- activez le pare-feu
- mettez à jour Windows
- utilisez un antivirus
Téléchargez la procédure
|
étape 1 :
empêchez tout redémarrage intempestif de votre ordinateur
 |
 |
En premier lieu, pour empêcher tout redémarrage intempestif de votre
ordinateur, après votre identification (compte utilisateur et mot de
passe) :
- Cliquez sur Démarrer, puis sur Exécuter. La boîte
de dialogue Exécuter apparaît.
- Saisissez SERVICES.MSC dans la ligne Ouvrir et cliquez
sur OK. La fenêtre Services s'ouvre alors.
- Dans la liste des services, sélectionnez Appel de procédure
distante (RPC).
- Double-cliquez alors sur Appel de procédure distante (RPC).
- Cliquez ensuite sur l'onglet Récupération.
- Pour les options Première défaillance, Deuxième
défaillance et Défaillances suivantes, choisissez
Redémarrer le service.
- Cliquez enfin sur Appliquer, puis sur OK.
|
Etape 2 :
appliquez le correctif de sécurité MS03-026
 |
 |
Mettez à jour Windows : Appliquez le correctif de sécurité
MS03-026 selon votre version de Windows :
Pour bien débuter le téléchargement, effectuez une des
manipulations suivantes :
- Pour commencer immédiatement l'installation, cliquez sur
Ouvrir
- Pour sauvegarder les fichiers de téléchargement sur votre
ordinateur, cliquez sur Enregistrer.
Windows
Update est l'extension en ligne de Windows qui vous
permet de conserver à jour votre ordinateur. Utilisez Windows Update
pour sélectionner les mises à jour nécessaires au système
d'exploitation, au matériel et aux logiciels de votre ordinateur. Des
nouveautés sont ajoutées au site régulièrement afin que vous puissiez
toujours obtenir les mises à jour et les correctifs les plus récents
pour protéger votre ordinateur et lui assurer un fonctionnement sans
problème.
|
étape 3 :
supprimez le ver
 |
 |
Des outils de suppression de ce ver sont disponibles auprès des
éditeurs d'antivirus. Vous en trouverez ci-dessous une liste non
exhaustive :
- Symantec :
- McAfee :
- Trend Micro :
- F-Secure :
- Securitoo :
Les coordonnées des Outils tiers mentionnés dans ce document vous
aideront à obtenir le support technique dont vous avez besoin. Ces
informations peuvent faire l'objet de modifications sans préavis.
Microsoft ne garantit en aucun cas l'exactitude des informations
concernant les sociétés tierces.
Les produits tiers mentionnés dans cet article proviennent de
fournisseurs indépendants de Microsoft ; nous n'accordons aucune
garantie, implicite ou autre, en ce qui concerne le fonctionnement ou
la fiabilité de ces produits. |
étape 4 :
rétablissez la machine dans son mode initial
 |
 |
- Cliquez sur Démarrer, puis sur Exécuter. La boîte
de dialogue Exécuter apparaît.
- Saisissez SERVICES.MSC dans la ligne Ouvrir et cliquez
sur OK. La fenêtre Services s'ouvre alors.
- Dans la liste des services, sélectionnez Appel de procédure
distante (RPC).
- Double-cliquez alors sur Appel de procédure distante (RPC).
- Cliquez ensuite sur l'onglet Récupération.
- Pour les options Première défaillance, Deuxième
défaillance et Défaillances suivantes, choisissez
Redémarrer l'ordinateur.
- Cliquez enfin sur Appliquer, puis sur OK.
|
étape 5 :
activez votre pare-feu
 |
 |
Vérifiez que vous disposez d'un pare-feu installé et activé,
avant de procéder aux étapes suivantes. Si votre système a été
infecté, le fait d'activer le pare-feu limitera les effets du ver sur
votre machine. Si vous ne parvenez pas à activer le parefeu, vous
pouvez tout de même réaliser les étapes suivantes de protection et de
nettoyage.
- Si vous avez Windows XP ou Windows Server 2003,
activez
le Pare-feu de connexion Internet (ICF)
- Si vous avez Windows 2000 ou Windows NT, vous
devez installer un pare-feu d'une société tierce. La plupart des
pare-feux pour le grand public sont disponibles gratuitement ou en
version d'évaluation. Consultez
le Windows Catalog
pour obtenir une liste des logiciels de pare-feu Internet.
- Si vous utilisez Windows 2000, une autre solution
possible est de bloquer les ports affectés. Ainsi votre
système peut être mis à jour. Vous trouverez ci-dessous
un extrait d'un article TechNet vous aidant à configurer TCP/IP
pour utiliser le filtrage TCP/IP :
- Dans le menu Démarrez, ouvrez le Panneau de
configuration puis cliquez sur Connexions réseau et
accès à distance.
- Cliquez avec le bouton droit sur la connexion réseau à
configurer, puis cliquez sur Propriétés.
- Sous l'onglet Général (pour une connexion au réseau
local) ou Gestion de réseau (pour toutes les autres
connexions), cliquez sur Protocole Internet (TCP/IP), puis
sur Propriétés.
- Cliquez sur Avancé…
- Cliquez, dans l'onglet Options, sur Filtrage TCP/IP,
puis sur Propriétés.
- Pour activer le filtrage TCP/IP pour toutes les cartes,
activez la case à cocher Activer le filtrage TCP/IP (pour
toutes les cartes).
- Vous devez sélectionner l'option "Permission uniquement" pour
les ports TCP, les ports UDP et les protocoles IP.
- Cliquez sur OK.
Si vous utilisez un
pare-feu donné par votre fournisseur d'accès (par ex, c'est le cas de
Wanadoo) ou d'un autre éditeur de logiciels, veuillez vous reporter à
la documentation de votre fournisseur, à son site web ou faire appel à
son support technique.
|
étape 6 :
utilisez un antivirus
 |
 |
Utilisez un antivirus et assurez-vous que vous possédez sa toute
dernière version.
- Si vous avez bien un antivirus, connectez-vous sur le
site de l'éditeur de votre anti-virus pour obtenir sa toute dernière
version
- Si vous n'avez pas installé de logiciel antivirus,
procurez-vous en un.
Par exemple, auprès de :
|
Support Technique
Si vous avez besoin d'aide, contactez la hotline Sécurité de
Microsoft en France au
0 825 827 829 code 55 (N° Indigo : 0,15 € TTC/min) ou bien le
fournisseur de votre logiciel antivirus.
Ressources complémentaires
|