Flux rss
Ils ont besoin de votre aide
Collection CommentÇaMarche.net
Klez

Le virus Blaster / LovSan

Sasser
Bookmark Ajouter aux favoris / Partager
Il virus - Blaster / LovSan O vírus Blaster/LovSan Das Virus Blaster/LovSan El virus LovSan/Blaster The LovSan/Blaster virus

Présentation du virus LovSan

Apparu durant l'été 2003, le virus LovSan (connu également sous les noms W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) est le premier virus a exploiter la faille RPC/DCOM (Remote Procedure Call, soit en français appel de procédure distante) des systèmes Microsoft Windows permettant à des processus distants de communiquer. En exploitant la faille grâce à un débordement de tampon, un programme malveillant (tel que le virus LovSan) peut prendre le contrôle de la machine vulnérable. Les systèmes affectés sont les systèmes Windows NT 4.0, 2000, XP et Windows Server 2003.

Les actions du virus

Le ver LovSan / Blaster est programmé de telle façon à scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille RPC sur le port 135.

Lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur le port TCP 4444, et force la machine distante à télécharger une copie du ver dans le répertoire %WinDir%\system32 en lançant une commande TFTP (port 69 UDP) pour transférer le fichier à partir de la machine infectée.

Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage : 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Pour compléter le tableau, le virus LovSan/Blaster est prévu pour effectuer une attaque sur le service WindowsUpdate de Microsoft afin de perturber la mise à jour des machines vulnérables !!

Symptomes de l'infection

L'exploitation de la vulnérabilité RPC provoque un certain nombre de dysfonctionnements sur les systèmes affectés, liés à la désactivation du service RPC (processus svchost.exe / rpcss.exe). Les systèmes vulnérables présentent les symptomes suivants :

  • Copier/Coller défectueux ou impossible
  • Ouverture d'un lien hypertexte dans une nouvelle fenêtre impossible
  • Déplacement d'icones impossibles
  • fonction recherche de fichier de windows erratique
  • fermeture du port 135/TCP
  • Redémarrage de Windows XP : le système est sans cesse relancé par AUTORITE NT/system avec le(s) message(s) suivant(s) : 
    Windows doit maintenant redémarrer car le service appel
de procédure distante (RPC) s'est terminé de façon inattendue
    arrêt du système dans 60 secondes veuillez enregistrer
tous les travaux en cours cet arrêt a été initié par AUTORITE NT\SYSTEM
Windows doit maintenant demarrer

Eradiquer le virus

Pour éradiquer le ver LovSan, la meilleure méthode consiste tout d'abord à désinfecter le système à l'aide du kit de désinfection suivant :
Télécharger le kit de désinfection

Si votre système reboote continuellement, il faut désactiver le redémarrage automatique :

  • Dans un premier temps, faîtes Démarrer / Exécuter puis entrez la commande suivante permettant de repousser le redémarrage automatique : 
    shutdown -a
  • Cliquez sur Poste de travail avec le bouton droit
  • Cliquez sur Propriétés / Avancé / Démarrage et récupération / Paramètres
  • Décochez la case "redémarrer automatiquement" !
Vous pourrez rétablir cette option lorsque votre système fonctionnera à nouveau normalement.

Il est ensuite indispensable de mettre à jour le système à l'aide du service Windows Update ou bien en mettant à jour votre système avec le patch suivant correspondant à votre système d'exploitation :

D'autre part, dans la mesure où le virus se propage par l'intermédiaire du réseau Microsoft Windows, il est fortement conseillé d'installer un pare-feu personnel sur vos machines connectées à internet et de filtrer les ports tcp/69, tcp/135 à tcp/139 et tcp/4444.

Plus d'informations sur le virus



Dernière modification le mardi 14 octobre 2008 à 17:40:33.Ce document intitulé « Le virus Blaster / LovSan » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Utilitaires de désinfection des principaux virus et vers Qu'est-ce qu'un kit de désinfection ? Un kit de désinfection est un petit exécutable dont le but est de nettoyer une machine infectée par un virus particulier. Chaque kit de désinfection est donc uniquement capable d'éradiquer un type de virus... www.commentcamarche.net/contents/virus/desinfection.php3
Blaster et Sasser : Eviter le redémarrage intempestif Lors d'une infection par les virus Blaster ou Sasser, l'ordinateur affiche le message d'erreur suivant : Generic host process for win32 services à rencontré un problème et doit fermer Ceci s'accompagne généralement du message suivant, puis du... www.commentcamarche.net/faq/sujet-186-blaster-et-sasser-eviter-le-redemarrage-intempestif
(virus ou trojan) comment réparer mon ordi (Résolu) Bonjour à tous, J' ai un virus ou des trojans, car toutes les trois secondes j'ai une fenêtre qui s'ouvre et me dis que mon ordi est infecté et quand j'ouvre cette fenêtre c'est un ou plusieurs logiciels antivirus "virus blast, gold je ne sais plus... www.commentcamarche.net/forum/affich-2330711-virus-ou-trojan-comment-reparer-mon-ordi
[Virus] Que faire quand on est infecté ?Si vous savez ou vous pensez être infecté par un virus Si vous savez ou vous pensez être infecté par un virus, il faut s'en occuper le plus rapidement possible car l'infection peut inviter d'autres infections dans votre PC et votre système risque... www.commentcamarche.net/faq/sujet-32-virus-que-faire-quand-on-est-infecte
Virus et Malwares ... Le truc pour les éliminerDe nombreux virus, trojans, spywares et autres malwares circulent sur le net. Ils provoquent des changements de page d'accueil Internet Explorer (ils empêchent même dans certains cas de la changer), des affichages indésirables, sans parler des risques... www.commentcamarche.net/faq/sujet-484-virus-et-malwares-le-truc-pour-les-eliminer
[Virus] System Volume InformationSommaire Explications Exemple Supprimer un virus logé dans le dossier System Volume Information sous Windows XP Informations supplémentaires Explications Le dossier System Volume Information est utilisé par Windows XP pour... www.commentcamarche.net/faq/sujet-5097-virus-system-volume-information
Résultats pour Le virus Blaster / LovSan
Quelles les conséquences du virus Blaster?? (Résolu)Bonjour j'aimerai savoir quelles sont les differentes conséquences liées au virus Blaster. J'aimerai si possible avoir des temoignages des liens etc... Merci d'avance a la communauté... www.commentcamarche.net/forum/affich-2658984-quelles-les-consequences-du-virus-blaster
Virus blaster (Résolu)Bonjour, en faite je pense que mon ordinateur a le virus blaster car mon ordinateur windows xp édition familliale se déconnecte tout seul de ma session mais sans éteindre merci de me répondre www.commentcamarche.net/forum/affich-5702233-virus-blaster
Virus blaster? (Résolu)Bonjour, Il y a quelques jours mon pc semblait infecté par le virus blaster, j'ai alors fais les mises à jour windows et le problème est parti comme il était venu. Mais 24 heures plus tard tout est à refaire. Tout d'abord quand j'allume... www.commentcamarche.net/forum/affich-3145322-virus-blaster
Résultats pour Le virus Blaster / LovSan
Télécharger AVG Anti-VirusComme son nom l’indique AVG Anti-virus permet d’éradiquer : les spywares, adwares, les vers, les virus, logiciels espions, cheval de Troie ou autres logiciels malveillants qui infectent votre système. Son interface conviviale permet de... www.commentcamarche.net/telecharger/telecharger-218-avg-anti-virus
Télécharger Avast! Virus CleanerTout le monde connaît l' antivirus gratuit Avast. Son éditeur propose avast! Virus Cleaner, un nettoyeur de virus gratuit, permettant de supprimer de l'ordinateur, les infections d'une vaste gamme de virus et de vers (worms). Si, malgré toutes... www.commentcamarche.net/telecharger/telecharger-34055089-avast-virus-cleaner
Télécharger Clean Virus MSNLes virus se rencontrent dorénavant un peu partout sur le net par tous les moyens imaginables. Après les mails virosés, maintenant ils s'attaquent à la messagerie instantanée. Clean Virus MSN est un outil qui détecte automatiquement les virus qui... www.commentcamarche.net/telecharger/telecharger-34056390-clean-virus-msn
Résultats pour Le virus Blaster / LovSan
Le virus Koobface sévit sur Facebook(Paris - Relax news) - Un virus, baptisé "Koobface", menace potentiellement les 120 millions d'utilisateurs du célèbre réseau social Facebook. Le programme en question se sert du système de messagerie du site pour infecter les ordinateurs des... www.commentcamarche.net/actualites/le-virus-koobface-sevit-sur-facebook-5847853-actualite.php3
Résultats pour Le virus Blaster / LovSan
Virus - Introduction aux virusVirus Un virus est un petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé. La définition d'un virus pourrait être la suivante : « Tout... www.commentcamarche.net/contents/virus/virus.php3
Le virus KlezPrésentation du virus Klez Apparu au début de l'année 2002, le virus Klez est désormais omniprésent sur les réseaux et le risque qu'il représente est d'autant plus important que des nouvelles variantes du virus ne cessent d'apparaître (Klez.e,... www.commentcamarche.net/contents/virus/klez.php3
Résultats pour Le virus Blaster / LovSan