vlan.org

Webzine des anciens étudiants de l’IUT Serecom St-Raphaël

Accueil > Actu > Lovsan, le virus-ver qui exploite la dernière faille de Windows

Lovsan, le virus-ver qui exploite la dernière faille de Windows

mercredi 13 août 2003

Moins d’un mois après que la dernière faille critique de Windows a été révélée, le premier virus l’exploitant apparaît. Lovsan ne supprime aucune donnée du système, mais peut saturer les réseaux et entraîner des redémarrages intempestifs.

Les éditeurs de logiciels antivirus alertent les internautes sur la dangereuse propagation, demarrée hier, d’un virus-ver qui sature les réseaux et déstabilise les systèmes.

Baptisé Lovsan (W32/Lovsan ou également MSBLAST.A), il infecte les ordinateurs fonctionnant avec les derniers systèmes d’exploitation Windows (NT4, Win2000, WinXP et WinServer 2003). Les Macintosh et les PC sous GNU/Linux ne sont donc pas concernés. ZDNet lui attribue un indice de dangerosité de 7 sur une échelle de 10.

Lovsan exploite une faille de sécurité critique de Windows révélée le 16 juillet dernier par un groupe d’informaticiens polonais, et détaillée dix jours après par un collectif de spécialistes en sécurité informatique de Chine populaire.

« Contrairement à la plupart des vers, il ne se propage pas sous la forme d’un e-mail », explique François Paget, expert en virus chez l’éditeur Network Associates (McAfee).

« Il s’agit d’un fichier exécutable qui transite via les réseaux. Une fois activé le virus scanne toutes les adresses IP du réseau à la recherche d’une machine n’ayant pas le port TCP 135 protégé, c’est-à-dire là où réside la vulnérabilité de Windows. S’il la trouve, le ver se copie alors sur son disque dur et s’autoéxecute. Tout recommence alors, créant au final un effet boule de neige. »

Des redémarrages intempestifs

Fort heureusement, Lovsan ne détruit aucune donnée sur le disque dur des machines infectées, mais accapare de la bande passante. « Certains clients nous ont indiqué également qu’ils avaient constaté des redémarrages intempestifs de leurs machines », précise François Paget.

Les éditeurs de logiciels antivirus conseillent de mettre à jour leurs softs afin de parer aux attaques de Lovsan. Il est également possible de l’éradiquer manuellement via la procédure suivante :
1/ Désactiver le processus baptisé "msblast.exe" dans le gestionnaire de tâches ;
2/ Supprimer le fichier "msblast.exe" du système ;
3/ Nettoyer la base de registre [1] et, enfin, supprimer "msblast" de la mémoire cache de Windows.

Pour les moins bidouilleurs, lancer le logiciel antivirus décontaminera le système en effectuant toutes ces tâches automatiquement. Bien entendu, il faut impérativement installer les patchs de Microsoft, disponibles depuis la mi-juillet, pour résorber la faille.

Christophe Guillemin


Voir en ligne : Article de ZDNet - 12/08/2003


[1Supprimer la clé suivante : Hkey_local_machine\software\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN !! Bill

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.