Antivirus and Security Software from Sophos

W32/Blaster-A

Alias
  • W32/Lovsan.worm
  • W32.Blaster.Worm
  • WORM_MSBLAST.A
  • Win32.Poza
  • Worm/Lovsan.A
  • WORM_MSBLAST.H
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Protection disponible depuis 28 septembre 2003 09:47:13 (GMT)
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Veuillez suivre les instructions de suppression des vers.

Consultez les instructions pour supprimer le ver W32/Blaster-A et vous assurer ainsi que votre système n'est pas vulnérable à la réinfection.

Plus d'informations

W32/Blaster-A est un ver qui utilise Internet pour exploiter la faille de sécurité DCOM du service RPC (Remote Procedure Call). Cette faille a été signalée pour la première fois par Microsoft à la mi-juillet 2003. Ce ver n'utilise pas les e-mails pour se propager.

Les ordinateurs visés incluent les systèmes d'exploitation suivants de Microsoft :

  • Windows NT 4.0

  • Windows NT 4.0 Edition Terminal Services

  • Windows 2000

  • Windows XP

  • Windows Server 2003

Sous Windows XP, l'exploit peut accidentellement provoquer l'arrêt du service distant RPC en affichant un message intitulé "System Shutdown". Ensuite, la machine Windows XP redémarre.

System Shutdown

Les ordinateurs Windows 95/98/Me qui n'exécutent pas le service RPC ou qui ont un client TFTP (paramètre par défaut) ne sont pas en danger.

Lorsqu'un système vulnérable est trouvé, le ver provoque l'acquisition par la machine distante à l'aide de TFTP d'une copie du ver, enregistrée dans le dossier système de Windows sous le nom de fichier msblast.exe ou penis32.exe.

Le 16 juillet 2003, Microsoft a publié un correctif pour corriger la faille de sécurité exploitée par ce ver. Ce correctif est disponible à l'adresse http://www.microsoft.com/technet/security/bulletin/MS03-026.asp.

A partir du 16 août 2003, un mois après la publication du correctif, le ver est programmé pour lancer une attaque par déni de service distribuée sur windowsupdate.com, ce qui peut avoir des conséquences importantes sur l'accès au site Web qu'utilise Microsoft pour distribuer les correctifs de sécurité. Chaque machine qui commence à exécuter le ver à partir de cette date (avec une nouvelle infection ou après un redémarrage) enverra 50 paquets SYN par seconde au port 80 vers windowsupdate.com.

De plus, le ver crée dans la base de registre l'entrée suivante pour s'exécuter au redémarrage du système :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update

Le ver contient le texte suivant, lequel n'est pas affiché à l'écran :

I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur