au sommaire
Blaster : un autre ver Welchia tente d'éradiquer ce virus
Blaster, également surnommé MSBlaster et LoveSan, a infecté plus de 570 000 ordinateurs équipés des systèmes d'exploitation Windows XPWindows XP et Windows 2000 de MicrosoftMicrosoft d'après Symantec. Il contenait l'ordre d'attaquer samedi dernier le site Windows Update de la firme américaine Microsoft. Certains grandes entreprises ont été rudement touchées, AirAir Canada a été obligé de contrôler manuellement ses listes de passagers après l'attaque du virus dans leurs bureaux de Toronto.
Baptisé Welchia ou Nachi, ce nouveau "bon" ver ressemble beaucoup à Blaster, mais a été conçu pour le détruire. Welchia installe le patch destiné à éliminer la faille de sécurité de Windows grâce à laquelle Blaster se propage, et tente de nettoyer l'ordinateur s'il a été contaminé.
Le fait de propager un "bon" virus est une très mauvaise idée, c'est à dire, qu'il est préférable de ne pas laisser quelqu'un redémarrer votre machine alors que vous êtes en train de l'utiliser.
Welchia, qui est programmé pour s'auto-supprimer en 2004, ralenti les réseaux des entreprises, parce qu'il génère du trafic supplémentaire dans la recherche d'ordinateurs vulnérables et il donne l'ordre à plusieurs machines de télécharger le patch en même temps.
Selon certaines sources, Welchia tenterait également d'attaquer les ordinateurs grâce à une faille de Windows différente de celle utilisée par Blaster.
Par ailleurs, un e-mail mensonger est diffusé, il prétend contenir le patch conçu par Microsoft pour réparer la faille exploitée par Blaster. Le fichier attaché à ce courrier électronique est un type cheval de Troie, qui installe une porte dérobéeporte dérobée permettant à un pirate de prendre le contrôle de l'ordinateur infecté. Microsoft rappelle qu'il ne distribue jamais de patch par e-mail.
Comment se protéger ?
Les PC victimes de Blaster ne risquent cependant pas grand chose eux-même : le ver ne détruit rien, et seul le bugbug ci-dessus peut, au pire des cas, forcer le PC à redémarrer de façon périodique.
Pour se protéger de Blaster, il est nécessaire d'appliquer le correctif publié par Microsoft. Il est aussi utile de fermer les ports 135 et consorts (137, 139, 445...), qui ne sont utilisés que par Netbios et n'ont aucune raison d'être accessibles depuis Internet. C'est ce que fait n'importe quel pare-feupare-feu (même personnel) correctement configuré.
Voici pour rappel la manière d'éradiquer Blaster :
- Installer ce patch Microsoft.
- Verifier si "msblast.exe" est présent dans la liste de processus (faire CTRL+ALT+Supp, se rendre dans l'onglet processus).
- S'il est présent le sélectionner et faire "terminer le processus".
- Vérifier la présence du fichier msblast.exe dans le répertoire "/windows/system 32" et le supprimer.
- Le supprimer du cache de Windows (dans le répertoire /windows/prefetch).
- Penser également, dans Windows XP à le supprimer des points de sauvegardesauvegarde (C:System VolumeVolume Information).
- Lancez Regedit (démarrer, exécuter, tapez regedit
- Se rendre dans HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun) et supprimer la clé "windows auto update=msblast.exe".
Les firmes Symantec et Panda Anti-Virus ont également mis en ligne des utilitairesutilitaires pour éradiquer blaster. Vous les trouverez ici et là.
- Dossier à découvrir :