Le virus Blaster.worms frappe les PC sous Windows
Ce virus est aussi connu sous le nom de LoveSan
Depuis un jour ou deux, un nouveau virus particulièrement actif s'attaque aux machines tournant sous Windows. Ce virus exploite une faille dans le système de Remote Procedure Call pour s'envoyer sur le PC de la victime et s'y exécuter...
Le 11 aout à 11 :34 A.M. (Pacific Time), Microsoft a déclenché l'alerte à propos d'un virus (un Ver/Worm en fait) qui se propageait à une vitesse fulgurante. Ce virus est particulièrement dangereux car il se propage sans intervention humaine à travers les réseaux. Comme souvent, ce virus a plusieurs formes et noms : W32.Blaster.Worm, MBlaster, W32/Lovsan.worm, MSBlast, W32.blaster.worm, Win32.posa.worm, Win32.poza.worm .
Le virus n'est pas particulièrement dangereux ; il se contente au début de créer des erreurs "Remote Procedure Call" ou "RPC" et d'éteindre le PC. Il consomme évidemment également des ressources système et de la bande passante (bonjour la facture ADSL en cas de dépassement). Evidemment, si vous le laissez faire trop longtemps, il finira par rendre Windows inutilisable (Format & Reinstall...).
Voici les détails de son fonctionnement :
1. Il crée un Mutex appelé "Billy" (s'il existe déjà, c'est que la machine est infectée)
2. Il ajoute une clé "windows auto update"="msblast.exe" dans la base de Registre pour se lancer au démarrage de Windows. (Ceci veut dire que si vous avez ce programme, vous êtes infectés)
3. Il calcule une adresse IP aléatoire de type A.B.C.0, avec A, B et C aléatoires et C qui varie de 0 à 255.
4. Une fois ces IP calculées, il tente l'exploit sur chacune elles pour se propager.
5. Il exploite une faille sur le port 135 dite "DCOM RPC vulnerability" pour créer un shell distant (cmd.exe) invisible sur la machine attaquée.
6. Ce shell distant invisible va attendre les instructions en écoutant le port 4444. Un shell distant est comme une sorte de Telnet et permet de lancer des commandes/programmes sur la machien distante.
7. Le virus ouvre également le port 69 ce qui lui permet d'envoyer l'exécutable msblast.exe aux machines infectées puis il leur donne l'ordre de l'exécuter.
8. Petit "Bonus", le virus est programmé pour lancer une attaque DDos (Disributed Denial of Service - Plein de machines tentent d'en saturer une autre en s'y connectant sans arrêt) sur le site de WindowsUpdate de Microsoft si la date est postérieure au 15 aout...
Ce virus semblent dont être une attaqué délibérée envers Microsoft et un message contenu dans le virus (mais jamais affiché à l'écran) semble le confirmer : "I just want to say LOVE YOU SAN ! ! billy gates why do you make this possible ? Stop making money and fix your software ! !".
Alors, vraie volonté de nuire à Microsoft ou démonstration de force des (innombrables) faiblesses des OS de Redmond ? La faille utilisée était en effet déjà connue depuis le 16 juillet Microsoft Security Bulletin. Mais comme d'habitude, combien d'utilisateurs ou administrateurs réseau auront mis leurs machines à jour... ?
Nous ne pouvons que redonner les mêmes conseils que d'habitude : utilisez un Firewall (une liste est dispo sur la page dédiée au virus chez Microsoft) comme BlackIce, ZoneAlarm Pro ou TinyFirewall ; mettez régulièrement votre Windows à jour via Windows Update ; utilisez un Antivirus et tenez le à jour (là aussi c'est automatisable) et allumez votre esprit critique en surfant ou en lisant vos mails (des virus peuvent s'envoyer depuis les adresses E-mails de vos connaissances ou encore support@microsoft.com par exemple). Bien que dans le cas du présent virus, aucune "erreur" humaine n'est à l'origine de l'infection de son PC.
D'après Microsoft, le virus ne s'attaquerait qu'aux Windows NT/XP/Server 2003 mais certaines machines sous Windows 98 ont également été infectées. Ne prenez pas cette menace à la légère, ce virus est TRES actif, il a déjà infecté 4 de mes clients ainsi que mon papa, 127 000 autres personnes ont aussi été touchées dans la journée d'hier [1]. En fait, toute machine directement connectée au net (ligne louée, modem classique, Cable (TVCablenet/Brutele/Coditel/Telenet...), ADSL USB ou interne) est susceptible d'être infectée...
http://www.wanadoo.fr/bin/frame.cgi?ser ... nse640.asp
Renseignez vous si vous avez Windows 2000-XP-NT-2003, car ce virus est très propagé et nocif, mon père par exemple l'a eu ce soir !!!
++
fab
? merci, je sors d'en prendre! 
(à part reformater...)
