Partager via

Alerte de virus sur le ver Blaster et ses variantes

Cet article décrit l’alerte de virus sur le ver Blaster et ses variantes et contient des informations sur la façon de prévenir et de récupérer d’une infection à partir du ver Blaster et de ses variantes.

Numéro de base de connaissances d’origine : 826955

Résumé

Le 11 août 2003, Microsoft a commencé à enquêter sur un ver signalé par les services de support technique Microsoft (PSS) et l’équipe de sécurité Microsoft PSS a émis une alerte pour informer les clients sur le nouveau ver. Un ver est un type de virus informatique qui se propage généralement sans action de l’utilisateur et qui distribue des copies complètes (éventuellement modifiées) sur des réseaux (comme Internet). Appelé « Blaster », ce nouveau ver exploite la vulnérabilité qui a été traitée par le Bulletin de sécurité Microsoft MS03-026 (823980) pour se répartir sur des réseaux à l’aide de ports RPC (Remote Procedure Call) ouverts sur les ordinateurs exécutant l’un des produits répertoriés au début de cet article.

Cet article contient des informations pour les administrateurs réseau et les professionnels de l’informatique sur la façon de prévenir et de récupérer d’une infection à partir du ver Blaster et de ses variantes. Le ver et ses variantes sont également appelés W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) et Win32.Posa.Worm (Computer Associates). Pour plus d’informations sur la récupération à partir de ce ver, contactez votre fournisseur de logiciels antivirus.

Pour plus d’informations sur les fournisseurs de logiciels antivirus, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

49500 Liste des fournisseurs de logiciels antivirus

Si vous êtes un utilisateur à domicile, visitez le site Web Microsoft suivant pour obtenir des étapes pour vous aider à protéger votre ordinateur et à récupérer si votre ordinateur a été infecté par le ver Blaster :

Qu’est-ce que Microsoft Security Essentials ?

Note

  • Votre ordinateur n’est pas vulnérable au ver Blaster si vous avez installé le correctif de sécurité 823980 (MS03-026) avant le 11 août 2003 (date à laquelle ce ver a été découvert). Vous n’avez rien d’autre à faire si vous avez installé le correctif de sécurité 823980 (MS03-026) avant le 11 août 2003.

  • Microsoft a testé Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP et Windows Server 2003 pour évaluer s’ils sont affectés par les vulnérabilités qui sont traitées par le Bulletin de sécurité Microsoft MS03-026 (823980). Windows Millennium Edition n’inclut pas les fonctionnalités associées à ces vulnérabilités. Les versions précédentes ne sont plus prises en charge et peuvent ou non être affectées par ces vulnérabilités. Pour plus d’informations sur le cycle de vie Support Microsoft, visitez le site web Microsoft suivant :

    Rechercher des informations sur le cycle de vie des produits et des services.

    Les fonctionnalités associées à ces vulnérabilités ne sont pas non plus incluses avec Windows 95, Windows 98 ou Windows 98 Second Edition, même si DCOM est installé. Vous n’avez rien à faire si vous utilisez l’une de ces versions de Windows.

  • Votre ordinateur n’est pas vulnérable au ver Blaster si vous avez installé Windows XP Service Pack 2 ou correctif cumulatif 1 pour Windows 2000 Service Pack 4. Les 824146 de mise à jour de sécurité sont incluses dans ces Service Packs. Vous n’avez rien d’autre à faire si vous avez installé ces Service Packs. Pour plus d’informations à ce sujet, cliquez sur le numéro de l’article suivant pour l’afficher dans la Base de connaissances Microsoft :

    322389 Comment obtenir le dernier Service Pack Windows XP.

Symptômes de l’infection

Si votre ordinateur est infecté par ce ver, vous risquez de ne pas rencontrer de symptômes, ou vous pouvez rencontrer l’un des symptômes suivants :

  • Vous pouvez recevoir les messages d’erreur suivants :

    Le service d’appel de procédure distante (RPC) s’est arrêté de façon inattendue.
    Le système s’arrête. Enregistrez tous les travaux en cours et déconnectez-vous.
    Toutes les modifications non enregistrées seront perdues.
    Cet arrêt a été lancé par NT AUTHORITY\SYSTEM.

  • L’ordinateur peut s’arrêter ou redémarrer à plusieurs reprises, à intervalles aléatoires.

  • Sur un ordinateur Windows XP ou sur un ordinateur Windows Server 2003, une boîte de dialogue peut apparaître qui vous donne la possibilité de signaler le problème à Microsoft.

  • Si vous utilisez Windows 2000 ou Windows NT, vous pouvez recevoir un message d’erreur Stop.

  • Vous trouverez peut-être un fichier nommé Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll dans le dossier Windows\System32.

  • Vous pouvez trouver des fichiers TFTP* inhabituels sur votre ordinateur.

Détails techniques

Pour plus d’informations techniques sur les modifications apportées par ce ver à votre ordinateur, contactez votre fournisseur de logiciels antivirus.

Pour détecter ce virus, recherchez un fichier nommé Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll dans le dossier Windows\System32, ou téléchargez la dernière signature logicielle antivirus de votre fournisseur antivirus, puis analysez votre ordinateur.

Pour rechercher ces fichiers :

  1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez cmd dans la zone Ouvrir , puis cliquez sur OK.

  2. À l’invite de commandes, tapez dir %systemroot%\system32\filename.ext /a /s, puis appuyez sur Entrée, où filename.ext est Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll.

    Note

    Répétez l’étape 2 pour chacun de ces noms de fichiers : Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll et Yuetyutr.dll. Si vous trouvez l’un de ces fichiers, votre ordinateur peut être infecté par le ver. Si vous trouvez l’un de ces fichiers, supprimez le fichier, puis suivez les étapes décrites dans la section « Récupération » de cet article. Pour supprimer le fichier, tapez del %systemroot%\system32\filename.ext /a à l’invite de commandes, puis appuyez sur Entrée.

Prévention

Pour empêcher ce virus d’infecter votre ordinateur, procédez comme suit :

  1. Activez la fonctionnalité de pare-feu de connexion Internet (ICF) dans Windows XP, Windows Server 2003, Édition Standard et dans Windows Server 2003, Êdition Entreprise ; ou utilisez le pare-feu de base, Microsoft Internet Security and Acceleration (ISA) Server 2000 ou un pare-feu tiers pour bloquer les ports TCP 135, 139, 445 et 593 ; Ports UDP 69 (TFTP), 135, 137 et 138 ; et le port TCP 4444 pour l’interpréteur de commandes distants.

    Pour activer l’ICF dans Windows XP ou Windows Server 2003, procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration.
    2. Dans Panneau de configuration, double-cliquez sur Réseau et Connexions Internet, puis sur Connexions réseau.
    3. Cliquez avec le bouton droit sur la connexion dans laquelle vous souhaitez activer le pare-feu de connexion Internet, puis cliquez sur Propriétés.
    4. Cliquez sur l’onglet Avancé , puis sur la case à cocher Protéger mon ordinateur ou réseau en limitant ou empêchant l’accès à cet ordinateur à partir d’Internet .

    Note

    Certaines connexions rendez-vous peuvent ne pas apparaître dans les dossiers de connexion réseau. Par exemple, les connexions d’accès à distance AOL et MSN peuvent ne pas apparaître. Dans certains cas, vous pouvez utiliser les étapes suivantes pour activer ICF pour une connexion qui n’apparaît pas dans le dossier Connexion réseau. Si ces étapes ne fonctionnent pas, contactez votre fournisseur de services Internet (ISP) pour plus d’informations sur la façon de pare-feu de votre connexion Internet.

    1. Démarrez Internet Explorer.
    2. Dans le menu Outils, cliquez sur Options Internet.
    3. Cliquez sur l’onglet Connexions , cliquez sur la connexion rendez-vous que vous utilisez pour vous connecter à Internet, puis cliquez sur Paramètres.
    4. Dans la zone paramètres d’accès à distance, cliquez sur Propriétés.
    5. Cliquez sur l’onglet Avancé , puis sur la case à cocher Protéger mon ordinateur ou réseau en limitant ou empêchant l’accès à cet ordinateur à partir d’Internet .

    Pour plus d’informations sur l’activation du pare-feu de connexion Internet dans Windows XP ou dans Windows Server 2003, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

    283673 Comment activer ou désactiver le pare-feu dans Windows XP

    Note

    ICF est disponible uniquement sur Windows XP, Windows Server 2003, Édition Standard et Windows Server 2003, Êdition Entreprise. Le pare-feu de base est un composant du routage et de l’accès à distance que vous pouvez activer pour n’importe quelle interface publique sur un ordinateur exécutant à la fois le routage et l’accès à distance et un membre de la famille Windows Server 2003.

  2. Ce ver utilise une vulnérabilité annoncée précédemment dans le cadre de sa méthode d’infection. En raison de cela, vous devez vous assurer que vous avez installé le correctif de sécurité 823980 sur tous vos ordinateurs pour résoudre la vulnérabilité identifiée dans le Bulletin de sécurité Microsoft MS03-026. Le correctif de sécurité 824146 remplace le correctif de sécurité 823980. Microsoft recommande d’installer le correctif de sécurité 824146 qui inclut également des correctifs pour les problèmes résolus dans le Bulletin de sécurité Microsoft MS03-026 (823980).

  3. Utilisez la dernière signature de détection de virus de votre fournisseur antivirus pour détecter de nouveaux virus et leurs variantes.

Récupération

Les meilleures pratiques pour la sécurité suggèrent d’effectuer une installation complète « propre » sur un ordinateur précédemment compromis pour supprimer les attaques non découvertes qui peuvent entraîner une compromission future. Pour plus d’informations, visitez le site web Cert Advisory suivant :

Étapes de récupération à partir d’une compromission du système UNIX ou NT.

Toutefois, de nombreuses entreprises antivirus ont écrit des outils pour supprimer l’exploit connu associé à ce ver particulier. Pour télécharger l’outil de suppression de votre fournisseur antivirus, utilisez les procédures suivantes en fonction de votre système d’exploitation.

Récupération pour Windows XP, Windows Server 2003, Édition Standard et Windows Server 2003, Êdition Entreprise

  1. Activez la fonctionnalité ICF (Internet Connection Firewall) dans Windows XP, Windows Server 2003, Édition Standard et Windows Server 2003, Êdition Entreprise ; ou utilisez le pare-feu de base, Microsoft Internet Security and Acceleration (ISA) Server 2000 ou un pare-feu tiers.

    Pour activer ICF, procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration.
    2. Dans Panneau de configuration, double-cliquez sur Réseau et Connexions Internet, puis sur Connexions réseau.
    3. Cliquez avec le bouton droit sur la connexion dans laquelle vous souhaitez activer le pare-feu de connexion Internet, puis cliquez sur Propriétés.
    4. Cliquez sur l’onglet Avancé , puis sur la case à cocher Protéger mon ordinateur ou réseau en limitant ou empêchant l’accès à cet ordinateur à partir d’Internet .

    Note

    • Si votre ordinateur s’arrête ou redémarre à plusieurs reprises lorsque vous essayez de suivre ces étapes, déconnectez-vous d’Internet avant d’activer votre pare-feu. Si vous vous connectez à Internet via une connexion haut débit, localisez le câble qui s’exécute à partir de votre DSL externe ou modem de câble, puis déconnectez ce câble à partir du modem ou de la prise téléphonique. Si vous utilisez une connexion rendez-vous, localisez le câble téléphonique qui s’exécute du modem à l’intérieur de votre ordinateur vers votre prise téléphonique, puis déconnectez ce câble à partir de la prise téléphonique ou de votre ordinateur. Si vous ne pouvez pas vous déconnecter d’Internet, tapez la ligne suivante à l’invite de commandes pour configurer RPCSS pour ne pas redémarrer votre ordinateur lorsque le service échoue : sc failure rpcss reset= 0 actions= restart.

      Pour réinitialiser RPCSS au paramètre de récupération par défaut après avoir effectué ces étapes, tapez la ligne suivante à l’invite de commandes : sc failure rpcss reset= 0 actions= reboot/60000

    • Si vous avez plusieurs ordinateurs partageant une connexion Internet, utilisez un pare-feu uniquement sur l’ordinateur directement connecté à Internet. N’utilisez pas de pare-feu sur les autres ordinateurs qui partagent la connexion Internet. Si vous exécutez Windows XP, utilisez l’Assistant Installation du réseau pour activer ICF.

    • L’utilisation d’un pare-feu ne doit pas affecter votre service de messagerie ou votre navigation web, mais un pare-feu peut désactiver certains logiciels, services ou fonctionnalités Internet. Si ce comportement se produit, vous devrez peut-être ouvrir certains ports sur votre pare-feu pour que certaines fonctionnalités Internet fonctionnent. Consultez la documentation incluse dans le service Internet qui ne fonctionne pas pour déterminer les ports que vous devez ouvrir. Consultez la documentation incluse dans votre pare-feu pour déterminer comment ouvrir ces ports.

    • Dans certains cas, vous pouvez utiliser les étapes suivantes pour activer ICF pour une connexion qui n’apparaît pas dans le dossier Connexions réseau. Si ces étapes ne fonctionnent pas, contactez votre fournisseur de services Internet (ISP) pour plus d’informations sur la façon de pare-feu de votre connexion Internet.

      1. Démarrez Internet Explorer.
      2. Dans le menu Outils, cliquez sur Options Internet.
      3. Cliquez sur l’onglet Connexions , cliquez sur la connexion rendez-vous que vous utilisez pour vous connecter à Internet, puis cliquez sur Paramètres.
      4. Dans la zone paramètres d’accès à distance, cliquez sur Propriétés.
      5. Cliquez sur l’onglet Avancé , puis sur la case à cocher Protéger mon ordinateur ou réseau en limitant ou empêchant l’accès à cet ordinateur à partir d’Internet .

    Pour plus d’informations sur l’activation du pare-feu de connexion Internet dans Windows XP ou dans Windows Server 2003, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

    283673 Comment activer ou désactiver le pare-feu dans Windows XP

    Note

    ICF est disponible uniquement sur Windows XP, Windows Server 2003, Édition Standard et Windows Server 2003, Êdition Entreprise. Le pare-feu de base est un composant du routage et de l’accès à distance que vous pouvez activer pour n’importe quelle interface publique sur un ordinateur qui exécute le routage et l’accès à distance et qui est membre de la famille Windows Server 2003.

  2. Téléchargez le correctif de sécurité 824146, puis installez-le sur tous vos ordinateurs pour résoudre la vulnérabilité identifiée dans les Bulletins de sécurité Microsoft MS03-026 et MS03-039.

    Note

    Que le correctif de sécurité 824146 remplace le correctif de sécurité 823980. Microsoft recommande d’installer le correctif de sécurité 824146 qui inclut également des correctifs pour les problèmes résolus dans le Bulletin de sécurité Microsoft MS03-026 (823980).

  3. Installez ou mettez à jour votre logiciel de signature antivirus, puis exécutez une analyse système complète.

  4. Téléchargez et exécutez l’outil de suppression de vers de votre fournisseur antivirus.

Récupération pour Windows 2000 et Windows NT 4.0

La fonctionnalité pare-feu de connexion Internet n’est pas disponible dans Windows 2000 ou Windows NT 4.0. Si Microsoft Internet Security and Acceleration (ISA) Server 2000 ou un pare-feu tiers n’est pas disponible pour bloquer les ports TCP 135, 139, 445 et 593, les ports UDP 69 (TFTP), 135, 137 et 138 et le port TCP 4444 pour l’interpréteur de commandes distants, procédez comme suit pour bloquer les ports affectés pour les connexions réseau local (LAN). Le filtrage TCP/IP n’est pas disponible pour les connexions rendez-vous. Si vous utilisez une connexion rendez-vous pour vous connecter à Internet, vous devez activer un pare-feu.

  1. Configurez la sécurité TCP/IP. Pour ce faire, utilisez la procédure de votre système d’exploitation.

    Windows 2000

    1. Dans Panneau de configuration, double-cliquez sur Connexions réseau et rendez-vous.

    2. Cliquez avec le bouton droit sur l’interface que vous utilisez pour accéder à Internet, puis cliquez sur Propriétés.

    3. Dans les composants cochés sont utilisés par cette zone de connexion , cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.

    4. Dans la boîte de dialogue Propriétés du protocole Internet (TCP/IP), cliquez sur Avancé.

    5. Cliquez sur l’onglet Options .

    6. Cliquez sur Filtrage TCP/IP, puis sur Propriétés.

    7. Cliquez pour activer la case à cocher Activer le filtrage TCP/IP (tous les adaptateurs).

    8. Il existe trois colonnes avec les étiquettes suivantes :

      • TCP Ports
      • UDP Ports
      • Protocoles IP

      Dans chaque colonne, cliquez sur l’option Autoriser uniquement .

    9. Cliquez sur OK.

    Note

    • Si votre ordinateur s’arrête ou redémarre à plusieurs reprises lorsque vous essayez de suivre ces étapes, déconnectez-vous d’Internet avant d’activer votre pare-feu. Si vous vous connectez à Internet via une connexion haut débit, localisez le câble qui s’exécute à partir de votre DSL externe ou modem de câble, puis déconnectez ce câble à partir du modem ou de la prise téléphonique. Si vous utilisez une connexion rendez-vous, localisez le câble téléphonique qui s’exécute du modem à l’intérieur de votre ordinateur vers votre prise téléphonique, puis déconnectez ce câble à partir de la prise téléphonique ou de votre ordinateur.
    • Si vous avez plusieurs ordinateurs partageant une connexion Internet, utilisez un pare-feu uniquement sur l’ordinateur directement connecté à Internet. N’utilisez pas de pare-feu sur les autres ordinateurs qui partagent la connexion Internet.
    • L’utilisation d’un pare-feu ne doit pas affecter votre service de messagerie ou votre navigation web, mais un pare-feu peut désactiver certains logiciels, services ou fonctionnalités Internet. Si ce comportement se produit, vous devrez peut-être ouvrir certains ports sur votre pare-feu pour que certaines fonctionnalités Internet fonctionnent. Consultez la documentation incluse dans le service Internet qui ne fonctionne pas pour déterminer les ports que vous devez ouvrir. Consultez la documentation incluse dans votre pare-feu pour déterminer comment ouvrir ces ports.
    • Ces étapes sont basées sur un extrait modifié de l’article de la Base de connaissances Microsoft 309798.

    Windows NT 4.0

    1. Dans Panneau de configuration, double-cliquez sur Réseau.
    2. Cliquez sur l’onglet Protocole , cliquez sur Protocole TCP/IP, puis sur Propriétés.
    3. Cliquez sur l’onglet Adresse IP, puis sur Avancé.
    4. Cliquez pour activer la case à cocher Activer la sécurité , puis cliquez sur Configurer.
    5. Dans les colonnes Ports TCP, Ports UDP et Protocoles IP, cliquez pour sélectionner le paramètre Autoriser uniquement.
    6. Cliquez sur OK, puis fermez l’outil Réseau.

  2. Téléchargez le correctif de sécurité 824146, puis installez-le sur tous vos ordinateurs pour résoudre la vulnérabilité identifiée dans les Bulletins de sécurité Microsoft MS03-026 et MS03-039.

    Le correctif de sécurité 824146 remplace le correctif de sécurité 823980. Microsoft recommande d’installer le correctif de sécurité 824146 qui inclut également des correctifs pour les problèmes résolus dans le Bulletin de sécurité Microsoft MS03-026 (823980).

  3. Installez ou mettez à jour votre logiciel de signature antivirus, puis exécutez une analyse système complète.

  4. Téléchargez et exécutez l’outil de suppression de vers de votre fournisseur antivirus.

Pour plus d’informations techniques sur le ver Blaster des fournisseurs de logiciels antivirus qui participent à Microsoft Virus Information Alliance (VIA), visitez l’un des sites web tiers suivants :

Note

Si vous n’avez pas besoin d’utiliser le filtrage TCP, vous pouvez désactiver le filtrage TCP après avoir appliqué le correctif décrit dans cet article et vous avez vérifié que vous avez correctement supprimé le ver.

Pour plus d’informations techniques sur les variantes connues du ver Blaster, visitez les sites Web Symantec suivants :

W32. Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll et Yyuetyutr.dll

Symantec Security Center.

Pour plus d’informations sur Microsoft Virus Information Alliance, visitez le site web Microsoft suivant :

Centre de réponse aux problèmes de sécurité Microsoft.

Pour plus d’informations sur la récupération à partir de ce ver, contactez votre fournisseur antivirus.

Microsoft fournit les informations de contacts tiers pour vous aider à trouver un support technique. Ces informations de contact peuvent changer sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant ces contacts tiers.

References

Pour obtenir les informations les plus actuelles de Microsoft sur ce ver, visitez Renseignement de sécurité Microsoft pour obtenir des ressources et des outils pour assurer la sécurité et la santé de votre PC. Si vous rencontrez des problèmes lors de l’installation de la mise à jour elle-même, visitez le support de Microsoft Update pour les ressources et les outils permettant de maintenir votre PC mis à jour avec les dernières mises à jour.