Alerte de virus sur le ver Blaster et ses variantes

  • Article

Cet article décrit l’alerte de virus concernant le ver Blaster et ses variantes et contient des informations sur la façon de prévenir et de récupérer d’une infection par le ver Blaster et ses variantes.

Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 826955

Résumé

Le 11 août 2003, Microsoft a commencé à enquêter sur un ver signalé par les services de support technique microsoft (PSS), et l’équipe de sécurité microsoft PSS a émis une alerte pour informer les clients du nouveau ver. Un ver est un type de virus informatique qui se propage généralement sans action de l’utilisateur et qui distribue des copies complètes (éventuellement modifiées) de lui-même sur des réseaux (comme Internet). Connu sous le nom de « Blaster », ce nouveau ver exploite la vulnérabilité qui a été traitée par le Bulletin de sécurité Microsoft MS03-026 (823980) pour se propager sur les réseaux en utilisant des ports RPC (Remote Procedure Call) ouverts sur les ordinateurs qui exécutent l’un des produits répertoriés au début de cet article.

Cet article contient des informations destinées aux administrateurs réseau et aux professionnels de l’informatique sur la façon de prévenir et de récupérer d’une infection du ver Blaster et de ses variantes. Le ver et ses variantes sont également appelés W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) et Win32.Posa.Worm (Computer Associates). Pour plus d’informations sur la récupération de ce ver, contactez votre fournisseur de logiciels antivirus.

Pour plus d’informations sur les fournisseurs de logiciels antivirus, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

49500 Liste des fournisseurs de logiciels antivirus

Si vous êtes un utilisateur à domicile, visitez le site Web Microsoft suivant pour connaître les étapes à suivre pour vous aider à protéger votre ordinateur et pour récupérer si votre ordinateur a été infecté par le ver Blaster :

Qu’est-ce que Microsoft Security Essentials ?

Remarque

  • Votre ordinateur n’est pas vulnérable au ver Blaster si vous avez installé le correctif de sécurité 823980 (MS03-026) avant le 11 août 2003 (date à laquelle ce ver a été découvert). Vous n’avez rien d’autre à faire si vous avez installé le correctif de sécurité 823980 (MS03-026) avant le 11 août 2003.

  • Microsoft a testé Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP et Windows Server 2003 pour évaluer s’ils sont affectés par les vulnérabilités traitées par le Bulletin de sécurité Microsoft MS03-026 (823980). Windows Millennium Edition n’inclut pas les fonctionnalités associées à ces vulnérabilités. Les versions précédentes ne sont plus prises en charge et peuvent ou non être affectées par ces vulnérabilités. Pour plus d’informations sur le cycle de vie Support Microsoft, visitez le site Web Microsoft suivant :

    Rechercher des informations sur le cycle de vie des produits et services.

    Les fonctionnalités associées à ces vulnérabilités ne sont pas non plus incluses dans Windows 95, Windows 98 ou Windows 98 Deuxième Édition, même si DCOM est installé. Vous n’avez rien à faire si vous utilisez l’une de ces versions de Windows.

  • Votre ordinateur n’est pas vulnérable au ver Blaster si vous avez installé Windows XP Service Pack 2 ou le correctif cumulatif 1 pour Windows 2000 Service Pack 4. La mise à jour de sécurité 824146 est incluse dans ces Service Packs. Vous n’avez rien d’autre à faire si vous avez installé ces Service Packs. Pour plus d’informations, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

    322389 Comment obtenir le dernier Service Pack Windows XP.

Symptômes de l’infection

Si votre ordinateur est infecté par ce ver, il se peut que vous ne rencontriez aucun symptôme ou que vous rencontriez l’un des symptômes suivants :

  • Les messages d’erreur suivants peuvent s’afficher :

    Le service d’appel de procédure distante (RPC) s’est arrêté de manière inattendue.
    Le système s’arrête. Enregistrez tous les travaux en cours et déconnectez-vous.
    Les modifications non enregistrées sont perdues.
    Cet arrêt a été initié par NT AUTHORITY\SYSTEM.

  • L’ordinateur peut s’arrêter, ou redémarrer à plusieurs reprises, à intervalles aléatoires.

  • Sur un ordinateur Windows XP ou Windows Server 2003, une boîte de dialogue peut s’afficher pour vous permettre de signaler le problème à Microsoft.

  • Si vous utilisez Windows 2000 ou Windows NT, vous pouvez recevoir un message d’erreur d’arrêt.

  • Vous pouvez trouver un fichier nommé Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll dans le dossier Windows\System32.

  • Vous pouvez trouver des fichiers TFTP* inhabituels sur votre ordinateur.

Détails techniques

Pour plus d’informations techniques sur les modifications apportées par ce ver à votre ordinateur, contactez votre fournisseur de logiciels antivirus.

Pour détecter ce virus, recherchez un fichier nommé Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll dans le dossier Windows\System32, ou téléchargez la dernière signature logicielle antivirus de votre fournisseur antivirus, puis analysez votre ordinateur.

Pour rechercher ces fichiers :

  1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir , puis cliquez sur OK.

  2. À l’invite de commandes, tapez dir %systemroot%\system32\filename.ext /a /s, puis appuyez sur Entrée, où filename.ext est Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll.

    Remarque

    Répétez l’étape 2 pour chacun de ces noms de fichier : Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll et Yuetyutr.dll. Si vous trouvez l’un de ces fichiers, votre ordinateur peut être infecté par le ver. Si vous trouvez l’un de ces fichiers, supprimez-le, puis suivez les étapes décrites dans la section « Récupération » de cet article. Pour supprimer le fichier, tapez del %systemroot%\system32\filename.ext /a à l’invite de commandes, puis appuyez sur Entrée.

Prévention

Pour empêcher ce virus d’infecter votre ordinateur, procédez comme suit :

  1. Activez la fonctionnalité De pare-feu de connexion Internet (ICF) dans Windows XP, Windows Server 2003, Édition Standard et windows Server 2003, Êdition Entreprise ; ou utilisez le Pare-feu de base, Microsoft Internet Security and Acceleration (ISA) Server 2000 ou un pare-feu tiers pour bloquer les ports TCP 135, 139, 445 et 593 ; Ports UDP 69 (TFTP), 135, 137 et 138 ; et le port TCP 4444 pour l’interpréteur de commandes à distance.

    Pour activer l’ICF dans Windows XP ou Windows Server 2003, procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration.
    2. Dans Panneau de configuration, double-cliquez sur Mise en réseau et Connections Internet, puis cliquez sur Connections réseau.
    3. Cliquez avec le bouton droit sur la connexion dans laquelle vous souhaitez activer le pare-feu de connexion Internet, puis cliquez sur Propriétés.
    4. Cliquez sur l’onglet Avancé, puis sélectionnez la zone Protéger mon ordinateur ou mon réseau en limitant ou en empêchant l’accès à cet ordinateur à partir de l’case activée Internet.

    Remarque

    Certaines connexions d’accès à distance peuvent ne pas apparaître dans les dossiers Connexion réseau. Par exemple, les connexions d’accès à distance AOL et MSN peuvent ne pas apparaître. Dans certains cas, vous pouvez utiliser les étapes suivantes pour activer ICF pour une connexion qui n’apparaît pas dans le dossier Connexion réseau. Si ces étapes ne fonctionnent pas, contactez votre fournisseur de services Internet (ISP) pour plus d’informations sur la façon de pare-feu de votre connexion Internet.

    1. Démarrez Internet Explorer.
    2. Dans le menu Outils, cliquez sur Options Internet.
    3. Cliquez sur l’onglet Connections, sur la connexion d’accès à distance que vous utilisez pour vous connecter à Internet, puis sur Paramètres.
    4. Dans la zone Paramètres d’accès à distance , cliquez sur Propriétés.
    5. Cliquez sur l’onglet Avancé, puis sélectionnez la zone Protéger mon ordinateur ou mon réseau en limitant ou en empêchant l’accès à cet ordinateur à partir de l’case activée Internet.

    Pour plus d’informations sur l’activation du Pare-feu de connexion Internet dans Windows XP ou Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l’article dans la Base de connaissances Microsoft :

    283673 Comment activer ou désactiver le pare-feu dans Windows XP

    Remarque

    ICF est disponible uniquement sur Windows XP, Windows Server 2003, Standard Edition et Windows Server 2003, Êdition Entreprise. Le pare-feu de base est un composant du routage et de l’accès à distance que vous pouvez activer pour n’importe quelle interface publique sur un ordinateur exécutant à la fois le routage et l’accès à distance et un membre de la famille Windows Server 2003.

  2. Ce ver utilise une vulnérabilité annoncée précédemment dans le cadre de sa méthode d’infection. Pour cette raison, vous devez vous assurer que vous avez installé le correctif de sécurité 823980 sur tous vos ordinateurs pour résoudre la vulnérabilité identifiée dans le Bulletin de sécurité Microsoft MS03-026. Le correctif de sécurité 824146 remplace le correctif de sécurité 823980. Microsoft vous recommande d’installer le correctif de sécurité 824146 qui inclut également des correctifs pour les problèmes résolus dans le Bulletin de sécurité Microsoft MS03-026 (823980).

  3. Utilisez la dernière signature de détection de virus de votre fournisseur d’antivirus pour détecter les nouveaux virus et leurs variantes.

Récupération

Les meilleures pratiques en matière de sécurité suggèrent d’effectuer une installation complète « propre » sur un ordinateur précédemment compromis pour supprimer toutes les attaques non découvertes susceptibles d’entraîner une compromission future. Pour plus d’informations, visitez le site web Cert Advisory suivant :

Étapes de récupération à partir d’une compromission du système UNIX ou NT.

Toutefois, de nombreuses sociétés antivirus ont écrit des outils pour supprimer l’exploit connu qui est associé à ce ver particulier. Pour télécharger l’outil de suppression à partir de votre fournisseur d’antivirus, utilisez les procédures suivantes en fonction de votre système d’exploitation.

Récupération pour Windows XP, Windows Server 2003, Standard Edition et Windows Server 2003, Êdition Entreprise

  1. Activez la fonctionnalité Dee-feu de connexion Internet (ICF) dans Windows XP, Windows Server 2003, Standard Edition et Windows Server 2003, Êdition Entreprise ; ou utilisez le Pare-feu de base, Microsoft Internet Security and Acceleration (ISA) Server 2000 ou un pare-feu tiers.

    Pour activer ICF, procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Panneau de configuration.
    2. Dans Panneau de configuration, double-cliquez sur Mise en réseau et Connections Internet, puis cliquez sur Connections réseau.
    3. Cliquez avec le bouton droit sur la connexion dans laquelle vous souhaitez activer le pare-feu de connexion Internet, puis cliquez sur Propriétés.
    4. Cliquez sur l’onglet Avancé, puis sélectionnez la zone Protéger mon ordinateur ou mon réseau en limitant ou en empêchant l’accès à cet ordinateur à partir de l’case activée Internet.

    Remarque

    • Si votre ordinateur s’arrête ou redémarre à plusieurs reprises lorsque vous essayez de suivre ces étapes, déconnectez-vous d’Internet avant d’activer votre pare-feu. Si vous vous connectez à Internet via une connexion haut débit, recherchez le câble qui s’exécute à partir de votre modem DSL ou câble externe, puis débranchez ce câble du modem ou de la prise téléphonique. Si vous utilisez une connexion d’accès à distance, localisez le câble téléphonique qui s’exécute du modem à l’intérieur de votre ordinateur vers votre prise téléphonique, puis débranchez ce câble de la prise téléphonique ou de votre ordinateur. Si vous ne pouvez pas vous déconnecter d’Internet, tapez la ligne suivante à l’invite de commandes pour configurer RPCSS pour ne pas redémarrer votre ordinateur en cas d’échec du service : sc failure rpcss reset= 0 actions= restart.

      Pour réinitialiser RPCSS au paramètre de récupération par défaut après avoir effectué ces étapes, tapez la ligne suivante à l’invite de commandes : sc failure rpcss reset= 0 actions= reboot/60000.

    • Si plusieurs ordinateurs partagent une connexion Internet, utilisez un pare-feu uniquement sur l’ordinateur directement connecté à Internet. N’utilisez pas de pare-feu sur les autres ordinateurs qui partagent la connexion Internet. Si vous exécutez Windows XP, utilisez l’Assistant Configuration réseau pour activer ICF.

    • L’utilisation d’un pare-feu ne doit pas affecter votre service de messagerie ou votre navigation web, mais un pare-feu peut désactiver certains logiciels, services ou fonctionnalités Internet. Si ce comportement se produit, vous devrez peut-être ouvrir certains ports sur votre pare-feu pour qu’une fonctionnalité Internet fonctionne. Consultez la documentation fournie avec le service Internet qui ne fonctionne pas pour déterminer les ports que vous devez ouvrir. Consultez la documentation fournie avec votre pare-feu pour déterminer comment ouvrir ces ports.

    • Dans certains cas, vous pouvez utiliser les étapes suivantes pour activer ICF pour une connexion qui n’apparaît pas dans le dossier Network Connections. Si ces étapes ne fonctionnent pas, contactez votre fournisseur de services Internet (ISP) pour plus d’informations sur la façon de pare-feu de votre connexion Internet.

      1. Démarrez Internet Explorer.
      2. Dans le menu Outils, cliquez sur Options Internet.
      3. Cliquez sur l’onglet Connections, sur la connexion d’accès à distance que vous utilisez pour vous connecter à Internet, puis sur Paramètres.
      4. Dans la zone Paramètres d’accès à distance , cliquez sur Propriétés.
      5. Cliquez sur l’onglet Avancé, puis sélectionnez la zone Protéger mon ordinateur ou mon réseau en limitant ou en empêchant l’accès à cet ordinateur à partir de l’case activée Internet.

    Pour plus d’informations sur l’activation du Pare-feu de connexion Internet dans Windows XP ou Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l’article dans la Base de connaissances Microsoft :

    283673 Comment activer ou désactiver le pare-feu dans Windows XP

    Remarque

    ICF est disponible uniquement sur Windows XP, Windows Server 2003, Standard Edition et Windows Server 2003, Êdition Entreprise. Le pare-feu de base est un composant du routage et de l’accès à distance que vous pouvez activer pour n’importe quelle interface publique sur un ordinateur qui exécute le routage et l’accès à distance et qui est membre de la famille Windows Server 2003.

  2. Téléchargez le correctif de sécurité 824146, puis installez-le sur tous vos ordinateurs pour résoudre la vulnérabilité identifiée dans les bulletins de sécurité Microsoft MS03-026 et MS03-039.

    Remarque

    Que le correctif de sécurité 824146 remplace le correctif de sécurité 823980. Microsoft vous recommande d’installer le correctif de sécurité 824146 qui inclut également des correctifs pour les problèmes résolus dans le Bulletin de sécurité Microsoft MS03-026 (823980).

  3. Installez ou mettez à jour votre logiciel de signature antivirus, puis exécutez une analyse système complète.

  4. Téléchargez et exécutez l’outil de suppression des vers de votre fournisseur d’antivirus.

Récupération pour Windows 2000 et Windows NT 4.0

La fonctionnalité Pare-feu de connexion Internet n’est pas disponible dans Windows 2000 ou Windows NT 4.0. Si Microsoft Internet Security and Acceleration (ISA) Server 2000 ou un pare-feu tiers n’est pas disponible pour bloquer les ports TCP 135, 139, 445 et 593, les ports UDP 69 (TFTP), 135, 137 et 138, et le port TCP 4444 pour l’interpréteur de commandes à distance, suivez ces étapes pour bloquer les ports affectés pour les connexions de réseau local (LAN). Le filtrage TCP/IP n’est pas disponible pour les connexions d’accès à distance. Si vous utilisez une connexion d’accès à distance pour vous connecter à Internet, vous devez activer un pare-feu.

  1. Configurez la sécurité TCP/IP. Pour ce faire, utilisez la procédure pour votre système d’exploitation.

    Windows 2000

    1. Dans Panneau de configuration, double-cliquez sur Réseau et Connections d’accès à distance.

    2. Cliquez avec le bouton droit sur l’interface que vous utilisez pour accéder à Internet, puis cliquez sur Propriétés.

    3. Dans la zone Composants cochés sont utilisés par cette connexion , cliquez sur Protocole Internet (TCP/IP), puis cliquez sur Propriétés.

    4. Dans la boîte de dialogue Propriétés du protocole Internet (TCP/IP), cliquez sur Avancé.

    5. Cliquez sur l’onglet Options .

    6. Cliquez sur Filtrage TCP/IP, puis sur Propriétés.

    7. Cliquez pour sélectionner la zone activer le filtrage TCP/IP (toutes les cartes) case activée.

    8. Il existe trois colonnes avec les étiquettes suivantes :

      • TCP Ports
      • UDP Ports
      • Protocoles IP

      Dans chaque colonne, cliquez sur l’option Autoriser uniquement .

    9. Cliquez sur OK.

    Remarque

    • Si votre ordinateur s’arrête ou redémarre à plusieurs reprises lorsque vous essayez de suivre ces étapes, déconnectez-vous d’Internet avant d’activer votre pare-feu. Si vous vous connectez à Internet via une connexion haut débit, recherchez le câble qui s’exécute à partir de votre modem DSL ou câble externe, puis débranchez ce câble du modem ou de la prise téléphonique. Si vous utilisez une connexion d’accès à distance, localisez le câble téléphonique qui s’exécute du modem à l’intérieur de votre ordinateur vers votre prise téléphonique, puis débranchez ce câble de la prise téléphonique ou de votre ordinateur.
    • Si plusieurs ordinateurs partagent une connexion Internet, utilisez un pare-feu uniquement sur l’ordinateur directement connecté à Internet. N’utilisez pas de pare-feu sur les autres ordinateurs qui partagent la connexion Internet.
    • L’utilisation d’un pare-feu ne doit pas affecter votre service de messagerie ou votre navigation web, mais un pare-feu peut désactiver certains logiciels, services ou fonctionnalités Internet. Si ce comportement se produit, vous devrez peut-être ouvrir certains ports sur votre pare-feu pour qu’une fonctionnalité Internet fonctionne. Consultez la documentation fournie avec le service Internet qui ne fonctionne pas pour déterminer les ports que vous devez ouvrir. Consultez la documentation fournie avec votre pare-feu pour déterminer comment ouvrir ces ports.
    • Ces étapes sont basées sur un extrait modifié de l’article de la Base de connaissances Microsoft 309798.

    Windows NT 4.0

    1. Dans Panneau de configuration, double-cliquez sur Réseau.
    2. Cliquez sur l’onglet Protocole , sur Protocole TCP/IP, puis sur Propriétés.
    3. Cliquez sur l’onglet Adresse IP , puis sur Avancé.
    4. Cliquez pour sélectionner la zone Activer la case activée de sécurité, puis cliquez sur Configurer.
    5. Dans les colonnes Ports TCP, Ports UDP et Protocoles IP , cliquez pour sélectionner le paramètre Autoriser uniquement .
    6. Cliquez sur OK, puis fermez l’outil Réseau.

  2. Téléchargez le correctif de sécurité 824146, puis installez-le sur tous vos ordinateurs pour résoudre la vulnérabilité identifiée dans les bulletins de sécurité Microsoft MS03-026 et MS03-039.

    Le correctif de sécurité 824146 remplace le correctif de sécurité 823980. Microsoft vous recommande d’installer le correctif de sécurité 824146 qui inclut également des correctifs pour les problèmes résolus dans le Bulletin de sécurité Microsoft MS03-026 (823980).

  3. Installez ou mettez à jour votre logiciel de signature antivirus, puis exécutez une analyse système complète.

  4. Téléchargez et exécutez l’outil de suppression des vers de votre fournisseur d’antivirus.

Pour obtenir des détails techniques supplémentaires sur le ver Blaster des fournisseurs de logiciels antivirus qui participent à la Microsoft Virus Information Alliance (VIA), visitez l’un des sites Web tiers suivants :

Remarque

Si vous n’avez pas besoin d’utiliser le filtrage TCP, vous pouvez désactiver le filtrage TCP après avoir appliqué le correctif décrit dans cet article et vérifié que vous avez correctement supprimé le ver.

Pour plus d’informations techniques sur les variantes connues du ver Blaster, visitez les sites Web Symantec suivants :

W32. Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll et Yyuetyutr.dll

Symantec Security Center.

Pour plus d’informations sur Microsoft Virus Information Alliance, visitez le site Web Microsoft suivant :

Centre de réponse à la sécurité Microsoft.

Pour plus d’informations sur la récupération de ce ver, contactez votre fournisseur d’antivirus.

Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.

References

Pour obtenir les informations les plus actuelles de Microsoft sur ce ver, visitez Renseignement de sécurité Microsoft de ressources et d’outils pour assurer la sécurité et la santé de votre PC. Si vous rencontrez des problèmes lors de l’installation de la mise à jour elle-même, consultez Support de Microsoft Update pour les ressources et les outils pour maintenir votre PC à jour avec les dernières mises à jour.