Comment supprimer le ver Blaster/Lovsan ?

Télécharger un utilitaire Microsoft pour tester sur votre réseau les machines dont les ports 135 ne sont patchés

MS03-026 : Une saturation de la mémoire tampon dans l'interface d'appel de procédure distante peut permettre l'exécution de code

Le ver W32.Blaster.Worm (connu également sous les noms W32/Lovsan.worm [McAfee], Win32.Poza [Computer Associates], Lovsan [F-Secure], WORM_MSBLAST.A [Trend Micro], W32/Blaster-A [Sophos], W32/Blaster [Panda]) se propage très rapidement. Des entreprises et/ou utilisateurs individuels, n'ayant pas appliqué ce correctif, sont actuellement touchés.

Ce ver exploite la faille de sécurité mentionnée dans le bulletin de Sécurité MS03-026, publié en première version le 16 juillet 2003.

Les objectifs de ce ver sont :
 

• Saturer le site Microsoft Windows Update pour interdire le téléchargement des correctifs.
• Saturer le réseau d'entreprise en se propageant
• Perturber le fonctionnement des postes (reboot, crash…).
• Ouvrir une faille de sécurité sur le poste contaminé.

Le principal symptôme de ce ver est le redémarrage intempestif de la machine. Une boîte de dialogue informe qu'une erreur du RPC s'est produite et que le système va redémarrer.

Ce document propose une solution en deux étapes, plus une optionnelle :

• Etape 1 : Rétablissement de l'accès à la machine
  Permet de rétablir temporairement un accès machine afin d'exécuter le mode correction
• Etape 2 : Mode correction
  Permet d'exécuter toutes les opérations nécessaires visant la protection définitive.
• Etape 3 (optionnelle) : Recherche des autres systèmes infectés sur votre réseau

Etape I - Rétablissement de l'accès à la machine (temporaire)

AVERTISSEMENT : une utilisation incorrecte de l'éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une utilisation incorrecte de l'éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour plus d'informations sur la procédure de modification du Registre, consultez la rubrique d'aide "Modifier les clés et les valeurs" dans l'éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajouter et supprimer des informations dans le Registre" et "Modifier les données du Registre" dans Regedt32.exe. Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sous Windows NT, Windows 2000, Windows XP et Windows 2003, nous vous conseillons de mettre à jour votre disquette de réparation d'urgence.

1. Démarrer en mode sans échec (cela évite de charger le ver)

Note : Pour utiliser une option de démarrage sans échec, procédez comme suit

• Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de votre clavier. Sur un ordinateur configuré pour démarrer sous plusieurs systèmes d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le menu de démarrage s'affiche.
• Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une option, puis appuyez sur ENTRéE.
• Lorsque le menu de démarrage s'affiche à nouveau, avec les mots "Mode sans échec" inscrits en bleu en bas de l'écran, sélectionnez l'installation que vous souhaitez démarrer, puis appuyez sur ENTRéE.

  Plus d'informations sur :

• Description du mode sans échec dans Windows 2000
  http://support.microsoft.com/?id=202485
• Description du mode sans échec dans Windows XP
  http://support.microsoft.com/?id=315222

2. Rechercher et supprimer le fichier msblast.exe sur le disque dur incluant les fichiers cachés et système. Celui-ci peut se trouver dans les répertoires \Windows\System32 et \Windows\Prefetch

Note : Pour afficher les fichiers cachés

• lancer la fenêtre Rechercher
• aller dans le menu Outils -> Options des dossiers -> onglet Affichage puis,
• cliquer sur Afficher les fichiers et dossiers cachés du répertoire Fichiers et dossiers

Pour lancer la recherche :

Sous Windows XP

• Cliquer sur Démarrer et puis Rechercher.
• Sélectionner l'option "Tous les Fichiers et tous les dossiers" et ensuite cliquer sur "Options Avancées"
• Cocher les 3 cases si elles ne sont pas cochés : "Rechercher dans les dossiers systèmes" "Rechercher dans les fichiers et les dossiers cachés" et "Rechercher dans les sous-dossiers"
• Taper "msblast.exe" comme nom de fichier.
• Appuyer sur le bouton Rechercher

Sous Windows 2000

• Cliquer sur Démarrer et puis Rechercher.
• Sélectionner l'option "Des fichiers ou des dossiers"
• Taper "msblast.exe" comme nom de fichier.
• Appuyer sur le bouton Rechercher

3. Démarrer l'éditeur du registre (Démarrer -> Exécuter -> Taper Regedt32.exe)

4. Suivre l'arborescence : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

5. Supprimer la valeur "windows auto update"="msblast.exe"'

6. Arrêter le poste

Remarque : le 14 août 2003, plusieurs variantes du ver initial ont été identifiées. Chacune de ces variantes utilise des noms de fichiers différents. Suivez les étapes ci-dessus pour chercher aussi les fichiers appelés Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll, et Yuetyutr.dll. Si l'un de ces fichiers est trouvé, prenez contact avec votre éditeur d'antivirus afin de procéder au nettoyage. Vous trouverez plus d'informations sur ces variantes, sur le site Web de Symantec Corporation: W32.Blaster.C.Worm : Teekids.exe W32.Blaster.B.Worm : Penis32.exe W32.Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll, or Yyuetyutr.dll Le 19 août, apparition de la variante Nachi, Blaster-D, Welchia : Cliquez ici pour plus d'informations sur cette variante et pour savoir comment la supprimer. Le 20 août : nouveau ver W32.Sobig.A et ses variantes Cliquez ici pour consulter le bulletin d'alerte de l'équipe Support Microsoft   A lire également : Comment configurer ISA Server pour bloquer le trafic lié au ver Blaster ?

Etape II - Correction

Cette étape comprend trois actions :

• Protection de votre système
• Installation du correctif MS03-026
• Elimination du ver.

Protection de votre système

Windows XP ou Windows 2003 - Activation du pare-feu

1. Débrancher le modem ou le câble réseau

 

2. Démarrer en mode normal

3. Démarrer le Pare-feu sur la connexion Internet (Important : si on ne le fait pas, le poste peut être contaminé à nouveau dans la minute)

Pour configurer le Pare-feu de connexion Internet manuellement pour une connexion :

1. Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau.
2. Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés.
3. Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau.

   Note : Si vous utilisez un kit de connexion Wanadoo et que l'onglet Paramètres Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre pare-feu disponible sur le lien suivant :
   http://www.wanadoo.fr/bin/frame2.cgi?u=http%3A//assistance.wanadoo.fr/reponse649.asp 

    

4. Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare-feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet.

4. Rebrancher le modem ou le câble réseau et redémarrer le poste

Windows NT 4 ou Windows 2000 - Désactivation de DCOM

1. Démarrer l'éditeur du registre (Démarrer -> Exécuter -> Taper Regedt32.exe)
2. Dans l'arborescence : HKEY_LOCAL_MACHIINE\SOFTWARE\Microsoft\Ole modifier la valeur de la clé EnableDCOM à "N"
   Note : La valeur devra être mise à « Y » une fois que la machine sera libre du ver.
3. Rebrancher le modem ou le câble réseau et redémarrer le poste

Installation du correctif MS03-26

1. Appliquer le correctif de sécurité MS03-026 (Patch en version française) disponible à l'adresse :

• Téléchargez le correctif pour Windows XP Edition Professionnelle et Windows XP Edition Familiale en français
  WindowsXP-KB823980-x86-FRA.exe | 1263 Ko
• Téléchargez le correctif pour Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, en français
  Windows2000-KB823980-x86-FRA.exe | 901 Ko
• Téléchargez le correctif pour Windows NT 4.0 Server, Windows NT4.0 Server, Enterprise Edition, et Windows NT 4 Workstation SP6a en français
  fra_Q823980i.exe | 1294 Ko
• Téléchargez le correctif pour Windows NT 4.0 Server, Edition terminal Server, en français
  fra_q823980i.exe | 719 Ko
• Téléchargez le correctif pour Windows Server 2003, en français
  WindowsServer2003-KB823980-x86-FRA.exe | 1454 Ko

Cliquer sur Ouvrir lorsque vous obtenez la boite de dialogue "Téléchargement de fichier". Si le clic ne fonctionne pas à partir de ce document, lancer votre navigateur Internet et taper dans la barre d’adresse : l’adresse http donnée ci-dessus correspondant à votre version de Windows.

Pour plus d'informations et pour la version de Windows 2003, veuillez consulter la fiche technique MS03-026 : Une saturation de la mémoire tampon dans l'interface d'appel de procédure distante peut permettre l'exécution de code

Elimination du ver

1. Pour éliminer le ver, passer l'outil de suppression de Symantec disponible sur http://securityresponse.symantec.com/avcenter/FixBlast.exe

2. Mettre à jour son antivirus avec la dernière signature et scanner son poste

Outils tiers :
Des outils d'élimination du ver sont disponibles auprès des éditeurs d'antivirus. Vous en trouverez ci-dessous une liste non exhaustive :

• Symantec :
  http://www.symantec.fr/techsupp/ssi/virus_alerts/fr/fr_w32_blaster_worm.html
• Computer Associate :
  http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=48952 et
  http://www3.ca.com/virusinfo/virus.aspx?ID=36265
• McAfee :
  http://us.mcafee.com/virusInfo/default.asp?id=lovsan
• Trend Micro :
  http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
• F-Secure :
  http://www.f-secure.com/v-descs/msblast.shtml

Les coordonnées des Outils tiers mentionnés dans ce document vous aideront à obtenir le support technique dont vous avez besoin. Ces informations peuvent faire l'objet de modifications sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.

Les produits tiers mentionnés dans cet article proviennent de fournisseurs indépendants de Microsoft ; nous n'accordons aucune garantie, implicite ou autre, en ce qui concerne le fonctionnement ou la fiabilité de ces produits.

Informations complémentaires :
Si au cours de vos manipulations, une fenêtre indiquant la fermeture de Windows dans quelques secondes apparaît, il est possible d'annuler cette opération de la manière suivante : sélectionnez Démarrer / Exécuter puis tapez " shutdown -a ". Cette opération n'est valable que sur un système Windows XP.

Etape III (optionnelle) - Recherche des autres systèmes infectés sur votre réseau

Si vous avez plusieurs systèmes connectés au réseau, un nouvel outil est disponible : Microsoft met à la disposition des administrateurs réseaux un outil de diagnostic (US), destiné à identifier quels sont les postes ayant le correctif de sécurité et ceux qui ne l'ont pas encore (réseaux sous Windows 2000 ou Windows XP). Consultez le mode d'emploi (US) de cet outil.

Si vous constatez qu'une (ou plusieurs machines) de votre réseau local est (sont) infectée(s), appliquez à nouveau les étapes I et II pour toutes les machines concernées.