Alerte concernant le virus Blaster et ses variantes

Le 11 août 2003, Microsoft a commencé à étudier un ver signalé par les services de Support technique Microsoft (PSS, Product Support Services) et l'équipe de sécurité Microsoft PSS a publié une alerte destinée à informer ses clients de l'existence de ce nouveau virus. Un ver est un type de virus informatique qui se répand en général sans aucune action de l'utilisateur et qui distribue des copies complètes (et éventuellement modifiées) de lui-même sur des réseaux (tels qu'Internet). Connu sous le nom de « Blaster », ce nouveau ver exploite le problème de sécurité traité dans le Bulletin de sécurité Microsoft MS03-026 (823980) pour se répandre sur des réseaux par le biais de ports RPC (Remote Procedure Call) sur des ordinateurs qui exécutent tout produit répertorié au début de cet article.

Cet article contient des informations destinées aux administrateurs réseau et aux professionnels de l'informatique concernant la façon de prévenir toute infection et de récupérer suite à une infection du ver Blaster et de ses variantes. Le ver et ses variantes portent également les noms W32.Blaster.Worm, W32.Blaster.C.Worm, W32.Blaster.B.Worm, W32.Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro) et Win32.Posa.Worm (Computer Associates). Pour plus d'informations sur la façon de récupérer suite à une infection par ce ver, contactez votre fournisseur de logiciels antivirus. Pour plus d'informations sur les fournisseurs de logiciels antivirus, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft. Si vous êtes un utilisateur à domicile, consultez le site Web de Microsoft à l'adresse suivante pour protéger votre ordinateur et pour récupérer en cas d'infection par le ver Blaster : Pour plus d'informations sur un ver semblable au ver Blaster et qui exploite les problèmes de sécurité traités dans les Bulletins de sécurité Microsoft MS03-026 (823980) et MS03-007 (815021), cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

Remarques

• Votre ordinateur est protégé contre le ver Blaster si vous avez installé le correctif de sécurité 823980 (MS03-026) avant le 11 août 2003 (date de découverte de ce ver). Aucune action supplémentaire n'est nécessaire si vous avez installé le correctif de sécurité 823980 (MS03-026) avant le 11 août 2003.
• Microsoft a testé Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Édition Terminal Server, Windows 2000, Windows XP et Windows Server 2003 afin d'évaluer si ces systèmes d'exploitation sont concernés par les problèmes de sécurité traités dans le Bulletin de sécurité Microsoft MS03-026 (823980). Windows Millennium Edition ne contient pas les fonctionnalités associées à ces problèmes de sécurité. Les versions antérieures ne sont plus prises en charge et sont peut-être concernées par ces problèmes. Pour plus d'informations sur le cycle de vie de prise en charge Microsoft, reportez-vous au site Web de Microsoft à l'adresse suivante :
  http://support.microsoft.com/default.aspx?scid=fh;fr-fr;lifecycle (http://support.microsoft.com/default.aspx?scid=fh;en-us;lifecycle)
  Les fonctionnalités associées à ces problèmes de sécurité sont également absentes dans Windows 95, Windows 98 et Windows 98 Deuxième Édition, même si DCOM est installé. Aucune action n'est requise de votre part si vous utilisez l'une de ces versions de Windows.
• Votre ordinateur n'est pas vulnérable au ver Blaster si vous avez installé Windows XP Service Pack 2 ou le Correctif cumulatif 1 pour Windows 2000 Service Pack 4. La mise à jour de sécurité 824146 est incluse dans ces Service Packs. Aucune action supplémentaire n'est requise de votre part si vous avez installé ces Service Packs. Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
  322389  (http://support.microsoft.com/kb/322389/ ) Comment faire pour obtenir le dernier service pack Windows XP
  891861  (http://support.microsoft.com/kb/891861/ ) Correctif cumulatif 1 pour Windows 2000 Service Pack 4 et problèmes connus

Symptômes d'infection

Si votre ordinateur est infecté par ce ver, vous pouvez ne rencontrer aucun problème ou rencontrer un ou plusieurs des problèmes suivants :

• Les messages d'erreur suivants peuvent s'afficher :
  Le service Remote Procedure Call (RPC) s'est terminé de manière inattendue.
  Arrêt du système. Veuillez enregistrer tous les travaux en cours et quitter votre session.
  Toutes les modifications non enregistrées seront perdues.
  Cet arrêt a été initié par NT AUTHORITY\SYSTEM.
• L'ordinateur peut s'arrêter ou peut redémarrer de manière répétée à intervalles aléatoires.
• Sur un ordinateur Windows XP ou Windows 2000, une boîte de dialogue peut s'afficher pour vous inviter à signaler le problème à Microsoft.
• Si vous utilisez Windows 2000 ou Windows NT, un message d'erreur d'arrêt peut s'afficher.
• Vous pouvez constater la présence d'un fichier nommé Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll dans le dossier Windows\System32.
• Vous pouvez constater la présence de fichiers TFTP* inhabituels sur votre ordinateur.

Détails techniques

Pour obtenir des détails techniques concernant les modifications apportées à votre ordinateur par ce ver, contactez votre fournisseur de logiciels antivirus.

Pour détecter la présence de ce virus, recherchez un fichier nommé Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll dans le dossier Windows\System32 ou téléchargez la signature de logiciel antivirus la plus récente à partir du site Web de votre fournisseur de logiciel antivirus, puis analysez votre ordinateur.

Pour rechercher ces fichiers

1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
2. À l'invite de commandes, tapez dir %systemroot%\system32\nom_fichier.ext /a /s, puis appuyez sur ENTRÉE, où nom_fichier.ext est Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll.
   
   Remarque Répétez l'étape 2 pour chacun des noms de fichiers suivants : Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll et Yuetyutr.dll. Si vous trouvez un ou plusieurs de ces fichiers, votre ordinateur est peut-être infecté par le ver. Si vous trouvez l'un de ces fichiers, supprimez-le, puis appliquez la procédure décrite dans la section « Récupération » de cet article. Pour supprimer le fichier, tapez del %systemroot%\system32\nom_fichier.ext /a à l'invite de commandes, puis appuyez sur ENTRÉE.

Prévention

Pour empêcher que ce ver infecte votre ordinateur, procédez comme suit :

1. Activez la fonctionnalité Pare-feu de connexion Internet de Windows XP, Windows Server 2003, Standard Edition et Windows Server 2003, Enterprise Edition ou utilisez le pare-feu de base, Microsoft Internet Security and Acceleration (ISA) Server 2000 ou un pare-feu tiers pour bloquer les ports TCP 135, 139, 445 et 593, les ports UDP 69 (TFTP), 135, 137 et 138 et le port TCP 4444 pour le shell de commande à distance.
   
   Pour activer le Pare-feu de connexion Internet dans Windows XP ou Windows Server 2003, procédez comme suit :
   1. Cliquez sur Démarrer, puis sur Panneau de configuration.
   2. Dans le Panneau de configuration, double-cliquez sur Connexions réseau et Internet, puis cliquez sur Connexions réseau.
   3. Cliquez avec le bouton droit sur la connexion pour laquelle vous souhaitez activer le Pare-feu de connexion Internet, puis cliquez sur Propriétés.
   4. Cliquez sur l'onglet Avancé, puis activez la case à cocher Protéger mon ordinateur et le réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet.
   Remarque Certaines connexions d'accès à distance peuvent ne pas apparaître dans le dossier Connexions réseau. Par exemple, les connexions d'accès à distance AOL et MSN peuvent ne pas apparaître. Dans certains cas, vous pouvez appliquer les étapes suivantes pour activer le Pare-feu de connexion Internet pour une connexion qui n'apparaît pas dans le dossier Connexions réseau. Si ces étapes ne fonctionnent pas, contactez votre fournisseur de services Internet afin d'obtenir des informations sur la façon de protéger votre connexion à l'aide d'un pare-feu.
   1. Démarrez Internet Explorer.
   2. Dans le menu Outils, cliquez sur Options Internet.
   3. Cliquez sur l'onglet Connexions, cliquez sur la connexion d'accès à distance que vous utilisez pour vous connecter à Internet, puis cliquez sur Paramètres.
   4. Dans la zone Options de numérotation, cliquez sur Propriétés.
   5. Cliquez sur l'onglet Avancé, puis activez la case à cocher Protéger mon ordinateur et le réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet.
   Pour plus d'informations sur la façon d'activer le Pare-feu de connexion Internet dans Windows XP ou Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   283673  (http://support.microsoft.com/kb/283673/ ) Comment faire pour activer ou désactiver la fonctionnalité Pare-feu de connexion Internet dans Windows XP
   Remarque Le Pare-feu de connexion Internet est disponible uniquement dans Windows XP, Windows Server 2003, Standard Edition et Windows Server 2003, Enterprise Edition. Le pare-feu de base est un composant du service Routage et accès à distance que vous pouvez activer pour toute interface publique sur un ordinateur qui exécute à la fois le Routage et accès à distance et un système d'exploitation de la famille Windows Server 2003.
2. Ce ver utilise une faille de sécurité annoncée précédemment dans sa méthode d'infection. Pour cette raison, vous devez vous assurer d'avoir installé le correctif de sécurité 823980 sur tous vos ordinateurs afin de résoudre le problème de sécurité identifié dans le Bulletin de sécurité Microsoft MS03-026. Notez que le correctif de sécurité 824146 remplace le correctif de sécurité 823980. Microsoft recommande d'installer le correctif de sécurité 824146, qui contient également des correctifs pour les problèmes discutés dans le Bulletin de sécurité Microsoft MS03-026 (823980). Pour plus d'informations sur le correctif de sécurité 824146, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   824146  (http://support.microsoft.com/kb/824146/ ) MS03-039 : Une saturation de mémoire tampon dans le service RPCSS risque de permettre l'exécution de code
   Pour plus d'informations sur le correctif de sécurité 824146 et les conditions préalables (telles qu'un Service Pack pour votre version de Windows), cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   823980  (http://support.microsoft.com/kb/823980/ ) MS03-026 : Une saturation de la mémoire tampon dans l'interface RPC peut permettre l'exécution de code
   Pour télécharger le correctif de sécurité 824146, cliquez sur le lien correspondant à votre système d'exploitation :
   • Windows NT Workstation 4.0
     http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/windowsnt4workstation-kb824146-x86-enu.exe)
   • Windows NT Server 4.0
     http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/windowsnt4server-kb824146-x86-enu.exe)
   • Windows NT Server 4.0, Édition Terminal Server
     http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/windowsnt4terminalserver-kb824146-x86-enu.exe)
   • Windows 2000
     http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe (http://download.microsoft.com/download/0/a/6/0a634e35-f29a-4f26-b006-d315e898edef/windows2000-kb824146-x86-enu.exe)
   • Windows XP Édition familiale, Windows XP Professionnel, Windows XP Édition Tablet PC et Windows XP Édition Media Center
     http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe (http://download.microsoft.com/download/c/d/d/cdd7ac92-e4cc-4b1e-bc2f-7a61b46b23bf/windowsxp-kb824146-x86-enu.exe)
   • Windows XP Édition 64 bits Version 2002
     http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe (http://download.microsoft.com/download/a/c/e/ace7fe00-4bf7-4421-8ccf-2913395500aa/windowsxp-kb824146-ia64-enu.exe)
   • Windows Server 2003 (Édition 32 bits)
     http://download.microsoft.com/download/5/7/D/57D367EB-EE72-41D6-99EC-E96724655976/WindowsServer2003-KB824146-x86-ENU.exe (http://download.microsoft.com/download/5/7/d/57d367eb-ee72-41d6-99ec-e96724655976/windowsserver2003-kb824146-x86-enu.exe)
   • Windows Server 2003 (Édition 64 bits) et Windows XP Édition 64 bits Version 2003
     http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe (http://download.microsoft.com/download/0/b/2/0b2c9630-2e93-4074-94cc-e418b93646dc/windowsserver2003-kb824146-ia64-enu.exe)
3. Utilisez la signature de détection de virus la plus récente fournie par votre fournisseur de logiciels antivirus afin de détecter les nouveaux virus et leurs variantes.

Récupération

Les méthodes conseillées en matière de sécurité suggèrent d'effectuer une nouvelle installation complète sur un ordinateur compromis afin de supprimer toute faille non découverte risquant de compromettre l'ordinateur dans l'avenir. Pour plus d'informations, reportez-vous au site Web de Cert Advisory à l'adresse suivante : Toutefois, de nombreux fournisseurs de produits antivirus ont écrit des outils qui permettent de supprimer les failles connues associées à ce ver spécifique. Pour télécharger l'outil de suppression à partir du site Web de votre fournisseur de logiciels antivirus, appliquez les procédures suivantes en fonction de votre système d'exploitation.

Récupération pour Windows XP, Windows Server 2003, Standard Edition et Windows Server 2003, Enterprise Edition

1. Activez le Pare-feu de connexion Internet dans Windows XP, Windows Server 2003, Standard Edition, and Windows Server 2003, Enterprise Edition ou utilisez le pare-feu de base, Microsoft Internet Security and Acceleration (ISA) Server 2000 ou un pare-feu tiers.
   
   Pour activer le Pare-feu de connexion Internet, procédez comme suit :
   1. Cliquez sur Démarrer, puis sur Panneau de configuration.
   2. Dans le Panneau de configuration, double-cliquez sur Connexions réseau et Internet, puis cliquez sur Connexions réseau.
   3. Cliquez avec le bouton droit sur la connexion pour laquelle vous souhaitez activer le Pare-feu de connexion Internet, puis cliquez sur Propriétés.
   4. Cliquez sur l'onglet Avancé, puis activez la case à cocher Protéger mon ordinateur et le réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet.
   Remarques
   • Si votre ordinateur s'arrête ou redémarre de manière répétée lorsque vous essayez d'appliquer cette procédure, déconnectez-le d'Internet avant d'activer votre pare-feu. Si vous vous connectez à Internet par le biais d'une connexion haut débit, recherchez le câble qui part de votre modem câble ou modem DSL externe, puis débranchez ce câble au niveau du modem ou de la prise téléphonique. Si vous utilisez une connexion d'accès à distance, recherchez le câble téléphonique qui va du modem interne de votre ordinateur à votre prise téléphonique, puis débranchez ce câble au niveau de la prise téléphonique ou de votre ordinateur. Si vous ne parvenez pas à vous déconnecter d'Internet, tapez la ligne suivante à l'invite de commandes pour configurer RPCSS de façon à ne pas redémarrer votre ordinateur lors de l'échec du service :
     sc failure rpcss reset= 0 actions= restart
     Pour restaurer le paramètre de récupération par défaut de RPCSS après avoir appliqué cette procédure, tapez la ligne suivante à l'invite de commandes :
     sc failure rpcss reset= 0 actions= reboot/60000
   • Si vous possédez plusieurs ordinateurs partageant une connexion Internet, utilisez un pare-feu uniquement sur l'ordinateur connecté directement à Internet. N'utilisez pas de pare-feu sur les autres ordinateurs qui partagent la connexion Internet. Si vous exécutez Windows XP, utilisez l'Assistant Configuration du réseau pour activer le Pare-feu de connexion Internet.
   • L'utilisation d'un pare-feu ne devrait pas affecter votre service de messagerie électronique ni la navigation sur Internet, mais un pare-feu peut désactiver certains logiciels, services ou fonctionnalités Internet. En cas de problème, vous devrez peut-être ouvrir certains ports sur votre pare-feu afin d'autoriser l'exécution de ces fonctionnalités Internet. Pour déterminer les ports à ouvrir, consultez la documentation fournie avec le service Internet qui ne fonctionne pas. Pour déterminer comment ouvrir ces ports, consultez la documentation fournie avec votre pare-feu. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
     308127  (http://support.microsoft.com/kb/308127/ ) Comment faire pour ouvrir manuellement des ports dans le Pare-feu de connexion Internet de Windows XP
   • Dans certains cas, vous pouvez appliquer les étapes suivantes pour activer le Pare-feu de connexion Internet pour une connexion qui n'apparaît pas dans le dossier Connexions réseau. Si ces étapes ne fonctionnent pas, contactez votre fournisseur de services Internet afin d'obtenir des informations sur la façon de protéger votre connexion à l'aide d'un pare-feu.
     1. Démarrez Internet Explorer.
     2. Dans le menu Outils, cliquez sur Options Internet.
     3. Cliquez sur l'onglet Connexions, cliquez sur la connexion d'accès à distance que vous utilisez pour vous connecter à Internet, puis cliquez sur Paramètres.
     4. Dans la zone Options de numérotation, cliquez sur Propriétés.
     5. Cliquez sur l'onglet Avancé, puis activez la case à cocher Protéger mon ordinateur et le réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet.
   Pour plus d'informations sur la façon d'activer le Pare-feu de connexion Internet dans Windows XP ou Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   283673  (http://support.microsoft.com/kb/283673/ ) Comment faire pour activer ou désactiver la fonctionnalité Pare-feu de connexion Internet dans Windows XP
   Remarque Le Pare-feu de connexion Internet est disponible uniquement dans Windows XP, Windows Server 2003, Standard Edition et Windows Server 2003, Enterprise Edition. Le pare-feu de base est un composant du service Routage et accès à distance que vous pouvez activer pour toute interface publique sur un ordinateur qui exécute à la fois le Routage et accès à distance et un système d'exploitation de la famille Windows Server 2003.
2. Téléchargez le correctif de sécurité 824146, puis installez-le sur tous vos ordinateurs afin de résoudre le problème de sécurité identifié dans les Bulletins de sécurité Microsoft MS03-026 et MS03-039. Pour télécharger le correctif de sécurité 824146, cliquez sur le lien approprié :
   
   Windows XP Édition familiale, Windows XP Professionnel, Windows XP Édition Tablet PC et Windows XP Édition Media Center
   http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe (http://download.microsoft.com/download/c/d/d/cdd7ac92-e4cc-4b1e-bc2f-7a61b46b23bf/windowsxp-kb824146-x86-enu.exe)
   Windows XP Édition 64 bits Version 2002
   http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe (http://download.microsoft.com/download/a/c/e/ace7fe00-4bf7-4421-8ccf-2913395500aa/windowsxp-kb824146-ia64-enu.exe)
   Notez que le correctif de sécurité 824146 remplace le correctif de sécurité 823980. Microsoft recommande d'installer le correctif de sécurité 824146, qui contient également des correctifs pour les problèmes discutés dans le Bulletin de sécurité Microsoft MS03-026 (823980). Pour plus d'informations sur le correctif de sécurité 824146, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   824146  (http://support.microsoft.com/kb/824146/ ) MS03-039 : Une saturation de mémoire tampon dans le service RPCSS risque de permettre l'exécution de code
   Pour plus d'informations sur le correctif de sécurité 823980, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   823980  (http://support.microsoft.com/kb/823980/ ) MS03-026 : Une saturation de la mémoire tampon dans l'interface RPC peut permettre l'exécution de code
3. Installez ou mettez à jour votre logiciel de signatures antivirus, puis effectuez une analyse complète du système.
4. Téléchargez et installez l'outil de suppression du ver fourni par votre fournisseur de logiciels antivirus.

Récupération pour Windows 2000 et Windows NT 4.0

La fonctionnalité Pare-feu de connexion Internet n'est pas disponible dans Windows 2000 ni Windows NT 4.0. Si Microsoft Internet Security and Acceleration (ISA) Server 2000 ou un pare-feu tiers n'est pas disponible pour bloquer les ports TCP 135, 139, 445 et 593, les ports UDP 69 (TFTP), 135, 137 et 138 et le port TCP 4444 pour le shell de commande à distance, procédez comme suit pour bloquer les ports affectés pour les connexions au réseau local. Notez que le filtrage TCP/IP n'est pas disponible pour les connexions accès à distance. Si vous utilisez une connexion accès à distance pour vous connecter à Internet, vous devez activer un pare-feu.

1. Configurez la sécurité TCP/IP. Pour cela, appliquez la procédure correspondant à votre système d'exploitation.
   
   Windows 2000
   1. Dans le Panneau de configuration, double-cliquez sur Connexions réseau et accès à distance.
   2. Cliquez avec le bouton droit sur l'interface que vous utilisez pour accéder à Internet, puis cliquez sur Propriétés.
   3. Dans la zone Les composants sélectionnés sont utilisés par cette connexion, cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
   4. Dans la boîte de dialogue Propriétés de Protocole Internet TCP/IP, cliquez sur Avancé.
   5. Cliquez sur l'onglet Options.
   6. Cliquez sur Filtrage TCP/IP, puis sur Propriétés.
   7. Activez la case à cocher Activer le filtrage TCP/IP (pour toutes les cartes).
   8. Les trois colonnes suivantes sont affichées :
      • Ports TCP
      • Ports UDP
      • Protocoles IP
      Dans chaque colonne, cliquez sur l'option Autoriser seulement.
   9. Cliquez sur OK.
      
      Remarques
      • Si votre ordinateur s'arrête ou redémarre de manière répétée lorsque vous essayez d'appliquer cette procédure, déconnectez-le d'Internet avant d'activer votre pare-feu. Si vous vous connectez à Internet par le biais d'une connexion haut débit, recherchez le câble qui part de votre modem câble ou modem DSL externe, puis débranchez ce câble au niveau du modem ou de la prise téléphonique. Si vous utilisez une connexion d'accès à distance, recherchez le câble téléphonique qui va du modem interne de votre ordinateur à votre prise téléphonique, puis débranchez ce câble au niveau de la prise téléphonique ou de votre ordinateur.
      • Si vous possédez plusieurs ordinateurs partageant une connexion Internet, utilisez un pare-feu uniquement sur l'ordinateur connecté directement à Internet. N'utilisez pas de pare-feu sur les autres ordinateurs qui partagent la connexion Internet.
      • L'utilisation d'un pare-feu ne devrait pas affecter votre service de messagerie électronique ni la navigation sur Internet, mais un pare-feu peut désactiver certains logiciels, services ou fonctionnalités Internet. En cas de problème, vous devrez peut-être ouvrir certains ports sur votre pare-feu afin d'autoriser l'exécution de ces fonctionnalités Internet. Pour déterminer les ports à ouvrir, consultez la documentation fournie avec le service Internet qui ne fonctionne pas. Pour déterminer comment ouvrir ces ports, consultez la documentation fournie avec votre pare-feu.
      • Ces étapes sont basées sur un extrait modifié de l'article 309798 de la Base de connaissances Microsoft. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
        309798  (http://support.microsoft.com/kb/309798/ ) Comment faire pour configurer le filtrage TCP/IP dans Windows 2000
   Windows NT 4.0
   1. Dans le Panneau de configuration, double-cliquez sur Réseau.
   2. Cliquez sur l'onglet Protocoles, cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
   3. Cliquez sur l'onglet Adresse IP, puis sur Avancé.
   4. Activez la case à cocher Activer la sécurité, puis cliquez sur Configurer.
   5. Dans les colonnes Ports TCP, Ports UDP et Protocoles IP, sélectionnez le paramètre Autoriser seulement.
   6. Cliquez sur OK, puis fermez l'outil Réseau.
2. Téléchargez le correctif de sécurité 824146, puis installez-le sur tous vos ordinateurs afin de résoudre le problème de sécurité identifié dans les Bulletins de sécurité Microsoft MS03-026 et MS03-039. Pour télécharger le correctif de sécurité 824146, cliquez sur le lien approprié :
   Windows NT Workstation 4.0

   http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/windowsnt4workstation-kb824146-x86-enu.exe)
   Windows NT Server 4.0
   http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/windowsnt4server-kb824146-x86-enu.exe)
   Windows NT Server 4.0, Édition Terminal Server
   http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE (http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/windowsnt4terminalserver-kb824146-x86-enu.exe)
   Windows 2000
   http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe (http://download.microsoft.com/download/0/a/6/0a634e35-f29a-4f26-b006-d315e898edef/windows2000-kb824146-x86-enu.exe)
   Notez que le correctif de sécurité 824146 remplace le correctif de sécurité 823980. Microsoft recommande d'installer le correctif de sécurité 824146, qui contient également des correctifs pour les problèmes discutés dans le Bulletin de sécurité Microsoft MS03-026 (823980). Pour plus d'informations sur le correctif de sécurité 824146, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   824146  (http://support.microsoft.com/kb/824146/ ) MS03-039 : Une saturation de mémoire tampon dans le service RPCSS risque de permettre l'exécution de code
   Pour plus d'informations sur le correctif de sécurité 824146 et les conditions préalables (telles qu'un Service Pack pour votre version de Windows), cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   823980  (http://support.microsoft.com/kb/823980/ ) MS03-026 : Une saturation de la mémoire tampon dans l'interface RPC peut permettre l'exécution de code
3. Installez ou mettez à jour votre logiciel de signatures antivirus, puis effectuez une analyse complète du système.
4. Téléchargez et installez l'outil de suppression du ver fourni par votre fournisseur de logiciels antivirus.

Pour obtenir un complément d'informations techniques sur le ver Blaster auprès des fournisseurs de logiciels antivirus participant à l'Alliance d'information sur les virus (VIA) Microsoft, reportez-vous à l'un des sites Web tiers aux adresses suivantes :

• Network Associates
  http://us.mcafee.com/virusinfo/default.asp?id=description&virus_k=100547 (http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547)
• Trend Micro
  http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=worm_msblast.a (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A)
• Symantec
  http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html (http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html)
• Computer Associates
  http://www3.ca.com/virusinfo/virus.aspx?id=36265 (http://www3.ca.com/virusinfo/virus.aspx?ID=36265)

Remarque Si vous ne devez pas utiliser de filtrage TCP, vous souhaiterez peut-être désactiver le filtrage TCP après avoir appliqué le correctif décrit dans l'article et vérifié que le ver a bien été supprimé.

Pour obtenir un complément d'informations techniques sur les variantes connues du ver Blaster, reportez-vous aux sites Web de Symantec aux adresses suivantes :

• W32.Blaster.C.Worm : Teekids.exe
  http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html (http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html)
• W32.Blaster.B.Worm : Penis32.exe
  http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html (http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html)
• W32.Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll et Yyuetyutr.dll
  http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html (http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html)

Pour plus d'informations sur la Microsoft Virus Information Alliance, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) : Pour plus d'informations sur la façon de récupérer suite à une infection par ce ver, contactez votre fournisseur de logiciels antivirus.

Microsoft fournit les coordonnées de sociétés tierces afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.

Pour obtenir les informations les plus récentes de Microsoft concernant ce ver, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) : Si vous avez des questions concernant cette alerte, contactez votre revendeur Microsoft ou appelez le 1-866-727-2338 (1-866-PCSafety) aux États-Unis. En dehors des États-Unis, contactez votre filiale Microsoft locale. Pour obtenir un support technique relatif aux problèmes de virus, reportez-vous au site Web du groupe de discussion Microsoft à l'adresse suivante : Pour plus d'informations sur la sécurité des produits Microsoft, reportez-vous au site Web de Microsoft à l'adresse suivante : Pour plus d'informations sur les bulletins de sécurité Microsoft MS03-026 et MS-0339, reportez-vous aux sites Web de Microsoft aux adresses suivantes :