Comment Ca Marche - Communauté informatique  
   
Accueil - Encyclopédie informatiqueTélécharger l'encyclopédieContribuer à cet article

Virus - Blaster / LovSan

Le virus Blaster / Lovsan Encyclopédie

Présentation du virus LovSan

Apparu durant l'été 2003, le virus LovSan (connu également sous les noms W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) est le premier virus a exploiter la faille RPC/DCOM (Remote Procedure Call, soit en français appel de procédure distante) des systèmes Microsoft Windows permettant à des processus distants de communiquer. En exploitant la faille grâce à un débordement de tampon, un programme malveillant (tel que le virus LovSan) peut prendre le contrôle de la machine vulnérable. Les systèmes affectés sont les systèmes Windows NT 4.0, 2000, XP et Windows Server 2003.

Les actions du virus

Le ver LovSan / Blaster est programmé de telle façon à scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille RPC sur le port 135.

Lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur le port TCP 4444, et force la machine distante à télécharger une copie du ver dans le répertoire %WinDir%\system32 en lançant une commande TFTP (port 69 UDP) pour transférer le fichier à partir de la machine infectée.

Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage : 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Pour compléter le tableau, le virus LovSan/Blaster est prévu pour effectuer une attaque sur le service WindowsUpdate de Microsoft afin de perturber la mise à jour des machines vulnérables !!

Symptomes de l'infection

L'exploitation de la vulnérabilité RPC provoque un certain nombre de dysfonctionnements sur les systèmes affectés, liés à la désactivation du service RPC (processus svchost.exe / rpcss.exe). Les systèmes vulnérables présentent les symptomes suivants :

  • Copier/Coller défectueux ou impossible
  • Ouverture d'un lien hypertexte dans une nouvelle fenêtre impossible
  • Déplacement d'icones impossibles
  • fonction recherche de fichier de windows erratique
  • fermeture du port 135/TCP
  • Redémarrage de Windows XP : le système est sans cesse relancé par AUTORITE NT/system avec le(s) message(s) suivant(s) : 
    Windows doit maintenant redémarrer car le service appel
de procédure distante (RPC) s'est terminé de façon inattendue
    arrêt du système dans 60 secondes veuillez enregistrer
tous les travaux en cours cet arrêt a été initié par AUTORITE NT\SYSTEM
Windows doit maintenant demarrer

Eradiquer le virus

Pour éradiquer le ver LovSan, la meilleure méthode consiste tout d'abord à désinfecter le système à l'aide du kit de désinfection suivant :
Télécharger le kit de désinfection

Si votre système reboote continuellement, il faut désactiver le redémarrage automatique :
  • Dans un premier temps, faîtes Démarrer / Exécuter puis entrez la commande suivante permettant de repousser le redémarrage automatique : 
    shutdown -a
  • Cliquez sur Poste de travail avec le bouton droit
  • Cliquez sur Propriétés / Avancé / Démarrage et récupération / Paramètres
  • Décochez la case "redémarrer automatiquement" !
Vous pourrez rétablir cette option lorsque votre système fonctionnera à nouveau normalement.

Il est ensuite indispensable de mettre à jour le système à l'aide du service Windows Update ou bien en mettant à jour votre système avec le patch suivant correspondant à votre système d'exploitation :

D'autre part, dans la mesure où le virus se propage par l'intermédiaire du réseau Microsoft Windows, il est fortement conseillé d'installer un pare-feu personnel sur vos machines connectées à internet et de filtrer les ports tcp/69, tcp/135 à tcp/139 et tcp/4444.

Plus d'informations sur le virus

Trucs & astuces pertinents trouvés dans la base de connaissances

30/08 17h56 Eviter le redémarrage intempestif (Virus)
Blaster Plus d'astuces sur « Blaster »

Discussions pertinentes trouvées dans le forum

25/04 15h09 yv 239p variante sasser blaster YV-239P une variante de SASSER / BLASTER ? Virus/Sécurité 05/06 16h38->Ecirb25
28/02 11h53 faille rpc sasser blaster GROS SOUCIS faille RPC ni Sasser ni Blaster Virus/Sécurité 28/02 13h53->Teddy-Bear14
11/07 11h42 nouvelle variante blaster connerie Nouvelle variante de blaster ou connerie ??? Virus/Sécurité 11/07 12h33->Crazy9
17/01 15h29 sound blaster 1024 win2000pro sound blaster 1024 et win2000pro Matériel (hardware) 23/03 13h49->yves8
07/11 17h53 blaster blaster Virus/Sécurité 08/11 01h08->robe5
11/09 18h54 sound blaster ct4810 6 sound blaster ct4810/6 Logiciels/Pilotes 11/09 20h39->vieuxpc3
09/09 08h20 id blaster configuration ID blaster configuration ? Logiciels/Pilotes 09/09 10h39->doun1
19/08 16h31 virus lovsan blaster svchost.exe Virus LovSan / Blaster et svchost.exe Virus/Sécurité 14/11 13h16->foobar4768
18/11 08h53 sasser blaster sasser-blaster??? à l'aide ; ; Virus/Sécurité 20/11 20h54->regis5944
15/08 00h59 virus blaster accès windows [virus][blaster]pas d'accès à windows Virus/Sécurité 21/09 09h28->Arnaud24
Discussion fermée Problème résolu Blaster Plus de discussions sur « Blaster »

Ce document intitulé « Virus - Blaster / LovSan » issu de l'encyclopédie informatique Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.