Délégation Centre-Auvergne-Limousin

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Délégation Centre-Auvergne-Limousin

Ce que vous devez savoir sur le ver Blaster

Dernière mise à jour : mercredi 3 septembre 2003 (Article Microsoft)

Le 11 août 2003, Microsoft a identifié un nouveau ver, connu sous le nom de W32.Blaster.worm. Un ver est un programme à fonctionnement et réplication autonomes, qui provoque généralement une surconsommation de mémoire et la cessation de réponse d'un ordinateur.
Nous vous conseillons plus que vivement de mener les actions présentées ci-dessous pour protéger votre système, et supprimer le ver si vous êtes contaminé.

Nouvelles informations importantes

  • Si vous êtes infecté : Suivez la procédure pour le grand public ou celle pour les administrateurs réseaux.
  • Un canular circule : Un message électronique, actuellement en circulation, propose un soi-disant correctif contre Blaster. Ceci ne provient en aucun cas de Microsoft. Attention, Il installe en fait un "cheval de Troie", un virus caché dans un autre programme. Microsoft vous rappelle qu'il ne distribue jamais par courrier électronique de logiciel à télécharger directement à partir d'une pièce jointe. Pour en savoir plus à ce sujet, consultez le document décrivant la politique Microsoft de distribution des logiciels.
  • Des variantes du ver sont apparues : le bulletin de sécurité Microsoft MS03-026 vous donne les informations nécessaires pour protéger votre système contre les variantes du ver Blaster.
  • Des questions-réponses ont été publiées : Microsoft a publié les réponses aux questions les plus fréquentes sur le ver baster et ses variantes. Cliquez ici pour les consulter.
  • Un nouvel outil est disponible : Microsoft met à la disposition des administrateurs réseaux un outil de diagnostic (US), destiné à identifier les postes ayant le correctifs de sécurité et ceux qui ne l'ont pas encore (réseaux sous Windows 2000 ou Windows XP). Consultez le mode d'emploi (US) de cet outil.

Qu'est-ce que ce ver ?

Ce nouveau ver est connu sous le nom de W32.Blaster.Worm, mais aussi MBlaster, W32/Lovsan.worm, MSBlast, W32.blaster.worm, Win32.posa.worm, Win32.poza.worm. Il cherche à exploiter la vulnérabilité corrigée par les solutions mentionnées dans le bulletin de sécurité Microsoft MS03-026 et, notamment, à créer une porte dérobée et à permettre la propagation du ver. Blaster est conçu pour envoyer également une attaque par déni de service contre le site Web Windows Update de Microsoft (Cette attaque consiste donc à rendre ce site indisponible).

Qui est affecté par ce ver ?

Les possesseurs des produits suivants sont concernés :

  • Microsoft Windows NT 4.0
     
  • Microsoft Windows 2000
     
  • Microsoft Windows XP
     
  • Microsoft Windows Server 2003

Ne sont pas concernés : les utilisateurs de Windows 95, Windows 98, Windows 98 Seconde Edition et Windows Millenium

Le ver a été découvert le 11 août.
Tous les clients qui avaient au préalable installé le correctif de sécurité du bulletin MS03-026 sont protégés.

Quels sont les symptômes de ce ver ?

Le symptôme typique de ce ver, pour les utilisateurs de Windows XP et de Windows Server 2003, est le redémarrage intempestif du système, sans aucune action de l'utilisateur.
Les utilisateurs de Windows NT 4.0 et de Windows 2000 peuvent avoir, quant à eux, un système qui se fige.
Cependant, il se peut que vous soyez infecté mais qu'il n'y ait aucun symptôme.
Que vous fassiez face à ces symptômes ou non, vous conseillons plus que vivement de mener les actions présentées ci-dessous.

Quelles sont les actions à mener immédiatement ?

Pour les administrateurs systèmes
et informaticiens
Pour le grand public
Si vous êtes infecté

En premier lieu, empêchez tout redémarrage intempestif de votre ordinateur :

  • Sous Windows XP et Windows Server 2003
    Appuyez sur "Ctrl+Alt+Supp". Cliquez sur le bouton "Gestionnaire des tâches", sélectionnez l'onglet "Processus", puis sélectionnez le processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe". Cliquez sur "Terminer le processus". Validez en cliquant sur "Oui".
  • Sous Windows NT 4.0 et Windows 2000
    Appuyez sur "Ctrl+Alt+Supp". Cliquez sur le bouton "Gestionnaire des tâches", sélectionnez l'onglet "Processus" puis le processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe". Cliquez sur "Terminer le processus". Validez en cliquant sur "Oui".

Puis suivez les étapes suivantes :

  1. activez le pare-feu
  2. mettez à jour Windows
  3. utilisez un antivirus
  4. supprimez le ver
Si vous n'êtes pas infecté

Veillez à procéder aux étapes suivantes pour protéger votre système :

  1. activez le pare-feu
  2. mettez à jour Windows
  3. utilisez un antivirus


Téléchargez la procédure

 étape 1 : empêchez tout redémarrage intempestif de votre ordinateur

En premier lieu, pour empêcher tout redémarrage intempestif de votre ordinateur, après votre identification (compte utilisateur et mot de passe) :
  • Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter apparaît.
  • Saisissez SERVICES.MSC dans la ligne Ouvrir et cliquez sur OK. La fenêtre Services s'ouvre alors.
  • Dans la liste des services, sélectionnez Appel de procédure distante (RPC).
  • Double-cliquez alors sur Appel de procédure distante (RPC).
  • Cliquez ensuite sur l'onglet Récupération.
  • Pour les options Première défaillance, Deuxième défaillance et Défaillances suivantes, choisissez Redémarrer le service.
  • Cliquez enfin sur Appliquer, puis sur OK.

 

 Etape 2 : appliquez le correctif de sécurité MS03-026

Mettez à jour Windows :

Appliquez le correctif de sécurité MS03-026 selon votre version de Windows :

Pour bien débuter le téléchargement, effectuez une des manipulations suivantes :

  • Pour commencer immédiatement l'installation, cliquez sur Ouvrir

  • Pour sauvegarder les fichiers de téléchargement sur votre ordinateur, cliquez sur Enregistrer.

Windows Update est l'extension en ligne de Windows qui vous permet de conserver à jour votre ordinateur. Utilisez Windows Update pour sélectionner les mises à jour nécessaires au système d'exploitation, au matériel et aux logiciels de votre ordinateur. Des nouveautés sont ajoutées au site régulièrement afin que vous puissiez toujours obtenir les mises à jour et les correctifs les plus récents pour protéger votre ordinateur et lui assurer un fonctionnement sans problème.

 étape 3 : supprimez le ver

Des outils de suppression de ce ver sont disponibles auprès des éditeurs d'antivirus. Vous en trouverez ci-dessous une liste non exhaustive :

Les coordonnées des Outils tiers mentionnés dans ce document vous aideront à obtenir le support technique dont vous avez besoin. Ces informations peuvent faire l'objet de modifications sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.
Les produits tiers mentionnés dans cet article proviennent de fournisseurs indépendants de Microsoft ; nous n'accordons aucune garantie, implicite ou autre, en ce qui concerne le fonctionnement ou la fiabilité de ces produits.

 étape 4 : rétablissez la machine dans son mode initial

  • Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter apparaît.
  • Saisissez SERVICES.MSC dans la ligne Ouvrir et cliquez sur OK. La fenêtre Services s'ouvre alors.
  • Dans la liste des services, sélectionnez Appel de procédure distante (RPC).
  • Double-cliquez alors sur Appel de procédure distante (RPC).
  • Cliquez ensuite sur l'onglet Récupération.
  • Pour les options Première défaillance, Deuxième défaillance et Défaillances suivantes, choisissez Redémarrer l'ordinateur.
  • Cliquez enfin sur Appliquer, puis sur OK.

 étape 5 : activez votre pare-feu

Vérifiez que vous disposez d'un pare-feu installé et activé, avant de procéder aux étapes suivantes. Si votre système a été infecté, le fait d'activer le pare-feu limitera les effets du ver sur votre machine. Si vous ne parvenez pas à activer le parefeu, vous pouvez tout de même réaliser les étapes suivantes de protection et de nettoyage.
  • Si vous avez Windows XP ou Windows Server 2003, activez le Pare-feu de connexion Internet (ICF)
  • Si vous avez Windows 2000 ou Windows NT, vous devez installer un pare-feu d'une société tierce. La plupart des pare-feux pour le grand public sont disponibles gratuitement ou en version d'évaluation. Consultez le Windows Catalog pour obtenir une liste des logiciels de pare-feu Internet.
  • Si vous utilisez Windows 2000, une autre solution possible est de bloquer les ports affectés. Ainsi votre système peut être mis à jour. Vous trouverez ci-dessous un extrait d'un article TechNet vous aidant à configurer TCP/IP pour utiliser le filtrage TCP/IP :
  1. Dans le menu Démarrez, ouvrez le Panneau de configuration puis cliquez sur Connexions réseau et accès à distance.
  2. Cliquez avec le bouton droit sur la connexion réseau à configurer, puis cliquez sur Propriétés.
  3. Sous l'onglet Général (pour une connexion au réseau local) ou Gestion de réseau (pour toutes les autres connexions), cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
  4. Cliquez sur Avancé…
  5. Cliquez, dans l'onglet Options, sur Filtrage TCP/IP, puis sur Propriétés.
  6. Pour activer le filtrage TCP/IP pour toutes les cartes, activez la case à cocher Activer le filtrage TCP/IP (pour toutes les cartes).
  7. Vous devez sélectionner l'option "Permission uniquement" pour les ports TCP, les ports UDP et les protocoles IP.
  8. Cliquez sur OK.

Si vous utilisez un pare-feu donné par votre fournisseur d'accès (par ex, c'est le cas de Wanadoo) ou d'un autre éditeur de logiciels, veuillez vous reporter à la documentation de votre fournisseur, à son site web ou faire appel à son support technique.

 étape 6 : utilisez un antivirus

Utilisez un antivirus et assurez-vous que vous possédez sa toute dernière version.
  • Si vous avez bien un antivirus, connectez-vous sur le site de l'éditeur de votre anti-virus pour obtenir sa toute dernière version
  • Si vous n'avez pas installé de logiciel antivirus, procurez-vous en un.

Par exemple, auprès de :

Support Technique

Si vous avez besoin d'aide, contactez la hotline Sécurité de Microsoft en France au 0 825 827 829 code 55 (N° Indigo : 0,15 € TTC/min) ou bien le fournisseur de votre logiciel antivirus.

Ressources complémentaires

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.