www.volcreole.com

[willou]

Blaster : l'attaque contre Microsoft déjouée mais le ver continue à se répandre

Futura-Sciences, lundi 18 août 2003 à 06h45

Ces dernières heures, tous les ordinateurs contaminés par le ver Blaster qui n'ont pas encore été désinfectés et sécurisés devaient essayer de saturer le service "Windows Update". Qu'en est-il ?

En exploitant une faille de Windows annoncée le mois dernier, Blaster infecte les PC sans aucune intervention de l'utilisateur. Une fois sur place, il comptait utiliser l'ordinateur des ses victimes afin de mener une attaque par déni de service contre le site de mise à jour de Microsoft. Un porte-parole de la firme de Redmond a indiqué que le site de l'entreprise n'avait connu aucun problème lié au ver. Microsoft avait précédemment annoncé avoir protégé son réseau en supprimant la page de son site visée par le virus.

Blaster ou le virus invisible

Blaster étant un vrai ver (et non un virus), toute cette opération est invisible pour l'utilisateur du PC. Il n'y a aucun email piégé à recevoir, aucun fichier infecté à exécuter. Tout se passe via le réseau, tandis que l'ordinateur est connecté à Internet comme à son habitude, et que son utilisateur continue à surfer sans constater de ralentissement particulier. Seul symptôme éventuel : un bug dans le code de Blaster peut lui faire mélanger Windows 2000 et XP, et ainsi faire redémarrer l'un en pensant infecter l'autre. Mais pour la majorité des victimes du ver, l'attaque est totalement invisible.

Les infections continuent

Bien que l'attaque ait échoué, le ver continuera à se répandre jusqu'à ce que la faille de Windows exploitée par Blaster soit corrigée. Depuis son apparition ce n'est pas moins de 400 000 machines qui ont été contaminées, selon les estimations de Symantec. Des variantes de Blaster commenceraient à se multiplier, la plus connue remplacerait le fichier "blaster.exe" (utilisé comme identifiant du virus) par le fichier "teekids.exe" qui ajouterait dans la base des registres, au même endroit que blaster, une clé baptisée "Microsoft Inet Xp".

De plus, deux nouvelles versions du virus ont été repérées, dont l'une installe un "cheval de Troie" ou "backdoor", une "porte arrière" permettant à un intrus de prendre le contrôle de l'ordinateur infecté. Microsoft propose sur son site un correctif logiciel pour la faille de sécurité affectant Windows XP et Windows 2000, ainsi que Windows NT et Windows Server 2003, versions que le ver attaque mais ne contamine pas.

Microsoft a prévenu qu'un message électronique actuellement en circulation proposait un prétendu correctif contre Blaster, mais installait en fait un "cheval de Troie". Microsoft a rappelé qu'il ne distribue jamais de logiciel par courrier électronique.

Comment se protéger ?

Les PC victimes de Blaster ne risquent cependant pas grand chose eux-même : le ver ne détruit rien, et seul le bug ci-dessus peut, au pire des cas, forcer le PC à redémarrer de façon périodique.

Pour se protéger de Blaster, il est nécessaire d'appliquer le correctif publié par Microsoft. Il est aussi utile de fermer les ports 135 et consorts (137, 139, 445...), qui ne sont utilisés que par Netbios et n'ont aucune raison d'être accessibles depuis Internet. C'est ce que fait n'importe quel pare-feu (même personnel) correctement configuré.


Voici pour rappel la manière d'éradiquer Blaster :

- Installer ce patch Microsoft.

- Verifier si "msblast.exe" est présent dans la liste de processus (faire CTRL+ALT+Supp, se rendre dans l'onglet processus).

- S'il est présent le sélectionner et faire "terminer le processus".

- Vérifier la présence du fichier msblast.exe dans le répertoire "/windows/system 32" et le supprimer.

- Le supprimer du cache de Windows (dans le répertoire /windows/prefetch).

- Penser également, dans Windows XP à le supprimer des points de sauvegarde (C:\System Volume Information\).

- Lancez Regedit (démarrer, exécuter, tapez regedit

- Se rendre dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run) et supprimer la clé "windows auto update=msblast.exe".


(source http://www.futura-sciences.com/ )

[lorgi]

ce virus fout la (...) , certain réseau d'entreprise sont tellement infécté que mon taf m'a appelé au secour ce week end

[tifab972]

questions betes peut etre

Comment fait on pour savoir si on a le virus parce qu'avec norton je ne détecte rien

[lorgi]

[tifab972]

Thank U guy

[Fat-TO]

[Antilles]

"ce virus fout la (...) , certain réseau d'entreprise sont tellement infécté que mon taf m'a appelé au secour ce week end"

- Si ce ver ridicule a infecté ton réseau d'entreprise alors vous devirez vous séparer de vos administrateurs systéme.

[Jax]

a wai, il es chian ce truc, ss mm surfer

la chose s'apel firewall, et mm plu d'internet

[lorgi]

[Fat-TO]

[PiPo]

j'aimerais bien savoir comment se propage ce ver .....

j'ai monté un PC y'a 3 jours , j'ai installé 2000pro puis je suis allé sur le net prendre le sp4 chez windows , et kelke temps apres j'ai senti mon system chelou (un bug ki n'avait pas lieu d'etre ... bug "svchost.exe" ki plantait l'explorer). J'ai donc pensé à regarder kels processus etaient lancés au demarrage de windows et là j'ai vu un gentil "msblast" ke j'ai desactivé .
Puis j'ai installé Norton antivirus 2003 et hop : ver erradiqué .

BREF , kelkun pourrait m'expliquer comment j'ai fait pour attraper ce ver ? je n'avais rien d'installé à part les mises à jours microsofts (sp4 / ie6sp1 / etc)

[West]

L'antivirus là éradiquer ?? T sur ? il ne suffit pas non plus de le désactiver mais le supprimer de préférence à la mano ds la base D regsitre et sur ton HD, tu fais une recherche de "ms*" ds les deux cas !
ceci apres avoir appliqué le patch krosoft en mode sans echec de préfenrence avec le reboot qui vas avec, windaube oblige !

un ver contrairement au virus classique se propage par le réseau, comme une commande tracert qui se propage de routeur en routeur ds la couche ip,
le ver utilise D failles réseau pour circuler de poste en poste, ds le K de msblast C une faille RPC bien connue chez krosoft (ils ont l'habitude), de Dcom encore un truc de bill ça
msblast utilise les ports netbios 139 et 135 je crois ainsi le 445, il installe aussi un backdoor au port 4444 !
Donc la meilleur solution pour s'en proteger C d'avoir un firewall qui bloque C ports en entrée, mais en sortie aussi pour ne pas contaminé d'autre poste !

Mais déjà avoir les ports netbios (135>139) sur une connxion internet, je trouve que du n'importe quoi !
Le 445 est ouvert chez moi mais je ne risque rien à part D tentatives qui n'aboutirons pas à grand chose, puisque ce port (chez moi) est configuré pour écouter quelques choses qui n'a rien à voir avec krosoft, C comme écouter sur le 139 D requettes http .

la deuxieme soluce, C d'oublié bill, mais là je crois que C le plus difficile !

PS: je vs le dis encore une fois !! Désactiver sur vos connexion internet les "partages de fichiers et imprimante" et les "clients microsoft" ! laissé le strict minimum C a dire tcp/ip.

Sinon pour te répondre pipo, il suffit juste que tu sois connecté à internet avec les ports nécessaire et le ver lui travaille en sous-marin pendant que tu joues à counter strike

[Antilles]

"BREF , kelkun pourrait m'expliquer comment j'ai fait pour attraper ce ver ? je n'avais rien d'installé à part les mises à jours microsofts (sp4 / ie6sp1 / etc)"


- Les vers comme Blaster scannent sans cesse le réseau Internet à la recherche de machines faillibles à l’exploit RPC (pour Blaster s’entend)

Comme tu n’avait pas encore le patch de Microsoft et pas non plus de firewall tu étais donc faillible a cet exploit et a donc été infecté rapidement.

[lorgi]

[willou]