Flux rss
Dossiers
Ils ont besoin de votre aide
Collection CommentCaMarche.net

Le virus Blaster / LovSan

Présentation du virus LovSan

Apparu durant l'été 2003, le virus LovSan (connu également sous les noms W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) est le premier virus a exploiter la faille RPC/DCOM (Remote Procedure Call, soit en français appel de procédure distante) des systèmes Microsoft Windows permettant à des processus distants de communiquer. En exploitant la faille grâce à un débordement de tampon, un programme malveillant (tel que le virus LovSan) peut prendre le contrôle de la machine vulnérable. Les systèmes affectés sont les systèmes Windows NT 4.0, 2000, XP et Windows Server 2003.

Les actions du virus

Le ver LovSan / Blaster est programmé de telle façon à scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille RPC sur le port 135.

Lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur le port TCP 4444, et force la machine distante à télécharger une copie du ver dans le répertoire %WinDir%\system32 en lançant une commande TFTP (port 69 UDP) pour transférer le fichier à partir de la machine infectée.

Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage : 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Pour compléter le tableau, le virus LovSan/Blaster est prévu pour effectuer une attaque sur le service WindowsUpdate de Microsoft afin de perturber la mise à jour des machines vulnérables !!

Symptomes de l'infection

L'exploitation de la vulnérabilité RPC provoque un certain nombre de dysfonctionnements sur les systèmes affectés, liés à la désactivation du service RPC (processus svchost.exe / rpcss.exe). Les systèmes vulnérables présentent les symptomes suivants :

  • Copier/Coller défectueux ou impossible
  • Ouverture d'un lien hypertexte dans une nouvelle fenêtre impossible
  • Déplacement d'icones impossibles
  • fonction recherche de fichier de windows erratique
  • fermeture du port 135/TCP
  • Redémarrage de Windows XP : le système est sans cesse relancé par AUTORITE NT/system avec le(s) message(s) suivant(s) : 
    Windows doit maintenant redémarrer car le service appel
de procédure distante (RPC) s'est terminé de façon inattendue
    arrêt du système dans 60 secondes veuillez enregistrer
tous les travaux en cours cet arrêt a été initié par AUTORITE NT\SYSTEM
Windows doit maintenant demarrer

Eradiquer le virus

Pour éradiquer le ver LovSan, la meilleure méthode consiste tout d'abord à désinfecter le système à l'aide du kit de désinfection suivant :
Télécharger le kit de désinfection

Si votre système reboote continuellement, il faut désactiver le redémarrage automatique :

  • Dans un premier temps, faîtes Démarrer / Exécuter puis entrez la commande suivante permettant de repousser le redémarrage automatique : 
    shutdown -a
  • Cliquez sur Poste de travail avec le bouton droit
  • Cliquez sur Propriétés / Avancé / Démarrage et récupération / Paramètres
  • Décochez la case "redémarrer automatiquement" !
Vous pourrez rétablir cette option lorsque votre système fonctionnera à nouveau normalement.

Il est ensuite indispensable de mettre à jour le système à l'aide du service Windows Update ou bien en mettant à jour votre système avec le patch suivant correspondant à votre système d'exploitation :

D'autre part, dans la mesure où le virus se propage par l'intermédiaire du réseau Microsoft Windows, il est fortement conseillé d'installer un pare-feu personnel sur vos machines connectées à internet et de filtrer les ports tcp/69, tcp/135 à tcp/139 et tcp/4444.

Plus d'informations sur le virus



Dernière modification le mardi 14 octobre 2008 à 17:40:33.
Ce document intitulé « Le virus Blaster / LovSan » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Résultats pour Le virus Blaster / LovSan

Virus blaster? (Résolu) Bonjour, Il y a quelques jours mon pc semblait infecté par le virus blaster, j'ai alors fais les mises à jour windows et le problème est parti comme il était venu. Mais 24 heures plus tard tout est à refaire. Tout d'abord quand j'allume... www.commentcamarche.net/forum/affich-3145322-virus-blaster
Quelles les conséquences du virus Blaster?? (Résolu) Bonjour j'aimerai savoir quelles sont les differentes conséquences liées au virus Blaster. J'aimerai si possible avoir des temoignages des liens etc... Merci d'avance a la communauté... www.commentcamarche.net/forum/affich-2658984-quelles-les-consequences-du-virus-blaster
Virus blaster (Résolu) Bonjour, en faite je pense que mon ordinateur a le virus blaster car mon ordinateur windows xp édition familliale se déconnecte tout seul de ma session mais sans éteindre merci de me répondre www.commentcamarche.net/forum/affich-5702233-virus-blaster

Résultats pour Le virus Blaster / LovSan

Blaster et Sasser : Eviter le redémarrage intempestifLors d'une infection par les virus Blaster ou Sasser, l'ordinateur affiche le message d'erreur suivant : Generic host process for win32 services à rencontré un problème et doit fermer Ceci s'accompagne généralement du message suivant, puis du... www.commentcamarche.net/faq/sujet-186-blaster-et-sasser-eviter-le-redemarrage-intempestif
Utiliser l'outil de suppression des logiciels malveillantsPrésentation de l'antimalware Windows : L'outil de suppression des logiciels malveillants de Microsoft aide à supprimer les logiciels malveillants (virus, vers, spywares et chevaux de Troie) les plus connus, notamment Blaster, Sasser et... www.commentcamarche.net/faq/sujet-2940-utiliser-l-outil-de-suppression-des-logiciels-malveillants
Virus/Ver MSN/WLM.Virus/Ver MSN/Windows Live Messenger Vous avez reçu via vos conversations MSN/Windows Live Messenger un fichier ou un message accompagné d’un lien du style : "Album photo.zip" "t'es tres jolie sur cet tof..." "ta tof fait quoi sur ce... www.commentcamarche.net/faq/sujet-6781-virus-ver-msn-wlm
Réponses suivantes

Résultats pour Le virus Blaster / LovSan

[Virus] J'e trouve pô... (Résolu)Bonjour, j'ai sans doute chopé une saleté; les symptômes sont apparement proches de ceux du virus Blaster, sans les rédemarrages. Le copier/coller est impossible, la barre de fenêtres ouvertes a disparu, je ne peux pas cliquer sur certains liens... www.commentcamarche.net/forum/affich-2570503-virus-j-e-trouve-po
Question sur p-e un virus (Résolu)Syrex2@@5 Bonjour a tous! Je suis pas sur mais je crois que j'ai le virus Blaster... qui fait redémarrer l'ordi apres 30 sec.. quand je vais dans les taches a arreter avec CTRL+ALT+DEL ben ya comme 4 fichier qui sont actif marquer... www.commentcamarche.net/forum/affich-1818738-question-sur-p-e-un-virus
Message d'erreur type BLASTER --> Sur SP2 !! (Résolu)Bonjour à tous, VOici en quelques lignes le résumé de mon problème. Il y a quelques semaines, jai formater mon Portable qui était sous vista pour y mettre XP. J'ai récuppéré les drivers XP sur le site de Dell. Même si certains ne se sont pas... www.commentcamarche.net/forum/affich-4614373-message-d-erreur-type-blaster-sur-sp2
Réponses suivantes

Résultats pour Le virus Blaster / LovSan

Télécharger StingerStinger est un logiciel léger et gratuit capable de détecter et supprimer les virus qui font le plus parler d'eux - près de 200 ! Dans la liste : sasser, lovegate, Blaster, mydoom, Nyxem, Kama Sutra, sobig, ... Le logiciel est très simple : il... www.commentcamarche.net/telecharger/telecharger-34055346-stinger
Télécharger Avast! Virus CleanerTout le monde connaît l' antivirus gratuit Avast. Son éditeur propose avast! Virus Cleaner, un nettoyeur de virus gratuit, permettant de supprimer de l'ordinateur, les infections d'une vaste gamme de virus et de vers (worms). Si, malgré toutes... www.commentcamarche.net/telecharger/telecharger-34055089-avast-virus-cleaner
Télécharger Clean Virus MSNLes virus se rencontrent dorénavant un peu partout sur le net par tous les moyens imaginables. Après les mails virosés, maintenant ils s'attaquent à la messagerie instantanée. Clean Virus MSN est un outil qui détecte automatiquement les virus qui... www.commentcamarche.net/telecharger/telecharger-34056390-clean-virus-msn
Réponses suivantes

Résultats pour Le virus Blaster / LovSan

Utilitaires de désinfection des principaux virus et versQu'est-ce qu'un kit de désinfection ? Un kit de désinfection est un petit exécutable dont le but est de nettoyer une machine infectée par un virus particulier. Chaque kit de désinfection est donc uniquement capable d'éradiquer un type de virus... www.commentcamarche.net/contents/virus/desinfection.php3
Virus - Introduction aux virusVirus Un virus est un petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé. La définition d'un virus pourrait être la suivante : « Tout... www.commentcamarche.net/contents/virus/virus.php3
Le virus KlezPrésentation du virus Klez Apparu au début de l'année 2002, le virus Klez est désormais omniprésent sur les réseaux et le risque qu'il représente est d'autant plus important que des nouvelles variantes du virus ne cessent d'apparaître (Klez.e,... www.commentcamarche.net/contents/virus/klez.php3
Réponses suivantes