Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Instructions de désinfection et Foire Aux Questions sur W32/Blaster-A
A l'heure où nous écrivons ces instructions, le ver W32/Blaster-A (aussi appelé W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A) se propage en liberté. W32/Blaster-A est un ver qui effectue un contrôle des réseaux à la recherche d'ordinateurs vulnérables à la faille de sécurité DCOM RPC de Microsoft. Dès qu'un système vulnérable est détecté, le ver force le système distant à se procurer une copie du ver à l'aide de TFTP, laquelle est ensuite sauvegardée sous le nom msblast.exe dans le dossier système Windows.
1. Comment empêcher la propagation de W32/Blaster-A sur mon réseau ?2. Comment supprimer automatiquement W32/Blaster de mon système ?
3. Comment supprimer manuellement W32/Blaster-A de mon système ?
4. Quels sont les systèmes affectés ?
5. Comment mon ordinateur a-t-il été infecté ?
6. Mon ordinateur redémarre continuellement, comment puis-je télécharger RESOLVE ?
7. Pourquoi est-ce que j'obtiens des erreurs associées à SVCHOST.EXE même si mon ordinateur n'est pas infecté par W32/Blaster-A ?
8. Pourquoi InterCheck n'empêche-t-il pas RESOLVE de s'exécuter ?
9. J'ai des problèmes pour trouver le correctif Microsoft. Y'a-t-il un moyen de faciliter cette opération ?
1. Comment empêcher la propagation de W32/Blaster-A sur mon réseau ?
Nous encourageons fortement les administrateurs réseau à effectuer les opérations suivantes pour limiter la propagation du ver :
- Télécharger et déployer le correctif MS03-039 de Microsoft
W32/Blaster-A exploite une faille de sécurité pour laquelle un correctif existe. Pour en savoir plus sur la faille de sécurité et le téléchargement du correctif, consultez le Bulletin de sécurité Microsoft MS03-039. Sur les ordinateurs autonomes, effectuez depuis la page Windows update (en anglais) une mise à jour en utilisant tous les correctifs de sécurité appropriés.
Il est conseillé aux administrateurs de déployer le correctif sur les systèmes connectés aux réseaux internes et à l'Internet, en prêtant plus particulièrement attention aux systèmes proxy/passerelles. - Renommer tftp.exe
Le ver utilise tftp.exe, un programme natif Windows. Si ce programme existe sur votre réseau et s'il n'est pas nécessaire à la bonne marche de vos opérations, renommez le fichier en utilisant un nom comme tftp-exe.old. Ne détruisez pas ce fichier, il se peut que des programmes légitimes en aient ultérieurement besoin. - Bloquer le trafic vers certains ports de votre pare-feu
Les administrateurs doivent bloquer le trafic entrant sur les ports suivants :- tcp/69 (utilisé par le processus TFTP)
- tcp/135 (utilisé par l'accès distant RPC)
- tcp/4444 (utilisé par ce ver pour se connecter)
![[TOP]](/images/arrowtop.gif){kind=small}
2. Comment supprimer automatiquement W32/Blaster de mon système ?
Resolve est le nom d'une série de petits utilitaires Sophos téléchargeables conçus pour supprimer et annuler les changements réalisés par certains virus, chevaux de Troie et vers. Ils mettent un terme à tout processus viral et réinitialisent toutes les clés du registre que le virus a changées. Les infections existantes peuvent être rapidement et facilement nettoyées, que ce soit sur les stations de travail individuelles ou sur les réseaux composés d'un grand nombre d'ordinateurs.
Vous pouvez supprimer automatiquement W32/Blaster-A des ordinateurs Windows 95/98/Me et Windows NT/2000/XP/2003 avec les outils Resolve suivants.
Remarque : lors de la désinfection des variantes non énumérées ci-dessus, utilisez les instructions de guérison de l'analyse virale correspondante.
Windows disinfector
BLASTGUI est un désinfecteur pour ordinateurs Windows autonomes
- ouvrez BLASTGUI
- exécutez-le
- puis cliquez sur GO.
Si vous désinfectez plusieurs ordinateurs, téléchargez-le, enregistrez-le sur disquette, protégez la disquette en écriture et exécutez-le à partir de là.
Après avoir supprimé le ver, installez le correctif mentionné ci-dessus.
Désinfecteur par lignes de commande
BLASTSFX est une archive auto-extractible contenant BLASTCLI, un désinfecteur par lignes de commandes à utiliser sur les réseaux Windows. Pour plus de détails sur l'exécution de ce programme, lisez les notes incluses dans l'auto-extractible.
Après avoir supprimé le ver, installez le correctif mentionné ci-dessus.
Autres plates-formes
Pour supprimer W32/Blaster-A sur d'autres plates-formes, veuillez suivre les instructions de suppression des vers.
3. Comment supprimer manuellement W32/Blaster-A de mon système ?
Pour supprimer W32/Blaster-A manuellement des systèmes Windows 95/98/Me et Windows NT/2000/XP :
- Assurez-vous d'avoir installé le correctif Microsoft MS03-039 et exécuté autant des étapes mentionnées ci-dessus que possible.
- Appuyez sur Ctrl+Alt+Suppr
- Sous Windows NT/2000/XP, cliquez sur le Gestionnaire des tâches et sélectionnez l'onglet Processus
- Recherchez dans la liste un processus nommé msblast.exe
- Cliquez sur le processus pour le mettre en surbrillance
- Cliquez sur le bouton "Terminer le processus" (sous Windows 95/98/Me, le bouton "Terminer la tâche")
- Fermez le Gestionnaire de tâches.
Recherchez dans le dossier système Windows le fichier appelé msblast.exe (généralement un sous-dossier de Windows ou WINNT) et supprimez-le.
Dans Windows NT/2000/XP, il est par ailleurs nécessaire de modifier l'entrée suivante du registre. La suppression de cette entrée est facultative dans 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre.
- Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit", puis appuyez sur Entrée. L'Editeur du Registre s'ouvre.
- Avant de modifier le registre, effectuez une sauvegarde. En cas de doute, contactez votre administrateur réseau. Une modification incorrecte du registre Windows peut entraîner une défaillance du système.
- Recherchez l'entrée HKEY_LOCAL_MACHINE :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
dans le volet droit, sélectionnez
windows auto update = msblast.exe
et supprimez-le s'il existe. - Fermez l'éditeur du registre.
Redémarrez votre système et répétez les opérations ci-dessus pour vous assurer que toutes les traces du ver ont bien été supprimées de votre système.
Si vous avez encore des problèmes pour supprimer W32/Blaster-A en suivant les instructions ci-dessous, contactez le support technique.
Pour supprimer W32/Blaster-A des autres plates-formes, suivez les instructions de suppression des vers.
4. Quels sont les systèmes affectés ?
- Les ordinateurs Windows NT/2000/XP sont vulnérables.
- Les ordinateurs Windows 95/98/Me peuvent s'infecter si un fichier W32/Blaster-A est exécuté manuellement.
- Les stations de travail de type Apple, les plates-formes Unix et autres (notamment les assistants personnels PDA et les consoles de jeux) ne peuvent pas être infectés par W32/Blaster-A.
Si un fichier W32/Blaster-A est trouvé sur un ordinateur, c'est qu'il a été placé par un ordinateur infecté ou qu'il a été éxecuté en local.
5. Comment mon ordinateur a-t-il été infecté ?
W32/Blaster-A recherche les ordinateurs vulnérables à la faille de sécurité DCOM RPC de Microsoft sur Internet et sur les réseaux locaux. Quand il en détecte un, il force le système distant à utiliser TFTP pour télécharger une copie du ver. Celle-ci est copiée sous le nom msblast.exe dans le dossier système de Windows et le registre de cet ordinateur est modifié pour que le ver soit automatiquement exécuté à chaque redémarrage du système.
6. Mon ordinateur redémarre continuellement. Comment puis-je télécharger RESOLVE ?
Souvent, quand un ordinateur est infecté par W32/Blaster-A, il redémarre automatiquement après quelques minutes, en général avec un message semblable à "Windows doit maintenant redémarrer parce que le RPC (Remote Procedure Call) s'est interrompu anormalement". Ceci empêche le téléchargement indispensable des correctifs et des fichiers.
Pour interrompre ceci dans Windows XP, sélectionnez Démarrer|Exécuter, puis saisissez :
shutdown -a
pour interrompre la fermeture. Vous pourrez alors effectuer une désinfection automatique ou manuelle comme décrit ci(-dessus.
Si possible, téléchargez l'utilitaire auto-extractible RESOLVE pour W32/Blaster-A à partir d'un autre ordinateur. Enregistrez-le ensuite sur une disquette, puis lancez l'utilitaire sur le système affecté.
Si vous ne pouvez pas effectuer le téléchargement à partir d'un autre système, désactivez Distributed COM pour empêcher les redémarrages intempestifs.
Windows XP
- Sélectionner Démarrer|Exécuter et saisissez :
dcomcnfg.exe.
- Sélectionnez Racine de la console|Services de composants
- Ouvrez le sous-dossier Ordinateurs
- Cliquez avec le bouton droit de la souris sur Poste de travail|Propriétés
- Cliquez sur l'onglet Propriétés par défaut
- Dessélectionnez "Activer Distributed COM (DCOM) sur cet ordinateur" et cliquez sur Appliquer, puis sur OK
- Redémarrez l'ordinateur.
Après avoir appliqué les correctifs et les fichiers IDE correspondants, remettez les options dans leur configuration initiale.
Windows NT/2000
- Sélectionner Démarrer|Exécuter et saisissez :
dcomcnfg.exe.
- Sélectionnez l'onglet Propriétés par défaut
- Dessélectionnez "Activer Distributed COM (DCOM) sur cet ordinateur" et cliquez sur Appliquer, puis sur OK
- Redémarrez le système.
Après avoir appliqué les correctifs et les fichiers IDE correspondants, remettez les options dans leur configuration initiale.
Windows 95/98/Me
Effectuez un redémarrage en mode sans échec ou passez en mode DOS (Windows 95/98) et utilisez SWEEP avec le fichier IDE de W32/Blaster-A pour lancer la désinfection.
Pour protéger votre système de réinfections ultérieures, utilisez un pare-feu ou désactivez "Partage de fichiers et d'imprimantes".
7. Pourquoi est-ce que j'obtiens des erreurs associées à SVCHOST.EXE même si mon ordinateur n'est pas infecté par W32/Blaster-A ?
Si un ordinateur vulnérable est examiné par W32/Blaster-A, même si l'infection n'a pas réussi, le service svchost échoue. Cela provoque un ensemble de problèmes avec les autres logiciels.
Pour surmonter ces problèmes, installez le correctif qui figure dans le Bulletin de sécurité Microsoft MS03-039 et redémarrez le service svchost.
8. Pourquoi InterCheck n'empêche-t-il pas RESOLVE de s'exécuter ?
Le client InterCheck empêche l'utilitaire de désinfection RESOLVE d'accéder aux fichiers du ver si le fichier IDE de W32/Blaster-A a été installé.
Sous Windows NT/2000/XP
- Ouvrez une session en tant qu'administrateur local
- Dans la Barre des tâches, sélectionnez Démarrer|Programmes|Sophos
Anti-Virus - Sélectionnez la page d'onglet Client IC
- Cliquez sur STOP
- Exécutez RESOLVE
- Après avoir supprimé le ver, cliquez sur GO dans la page d'onglet Client IC.
Sous Windows 95/98/Me
- Renommez le fichier IDE de W32/Blaster-A (BLASTERA.IDE) en BLASTERA.TXT
- Réinitialisez l'ordinateur en local (appuyez sur Echap lorsqu'on vous demande d'ouvrir une session)
- Exécutez RESOLVE
- Après avoir supprimé le ver, changez de nouveau le nom du fichier IDE en BLASTERA.IDE et réinitialisez une nouvelle fois.
9. J'ai des problèmes pour trouver le correctif Microsoft. Y'a-t-il un moyen de faciliter cette opération ?
Si vous avez le statut d'administrateur sur votre ordinateur, vous pouvez à la place télécharger les correctifs depuis la page Windows Update (en anglais).
Windows Update va vous interroger sur votre ordinateur et vous indiquer quels correctifs il estime que vous devez utiliser. Ceux pour lesquels Critical Update est mentionné sont les plus importants. Le numéro de référence du correctif correspondant à la faille exploitée par W32/Blaster-A est 823980.
Si vous utilisez une ancienne version d'Internet Explorer, le téléchargement conseillé peut être volumineux. Si votre liaison Internet est lente, il peut s'avérer judicieux de commencer par mettre à niveau Internet Explorer depuis le CD-ROM d'un magazine informatique avant d'utiliser Windows Update.
Remarque : Windows Update fonctionne seulement à partir de la version 5 d'Internet Explorer.
