W32.Blaster.Worm

En raison du nombre décroissant de virus soumis, Symantec Security Response a réévalué cette menace qui passe du Niveau 4 au Niveau 3 à partir du 8 octobre 2003.

W32.Blaster.Worm est un ver qui exploite la vulnérabilité DCOM RPC (décrite dans le Bulletin de sécurité de Microsoft MS03-026 en utilisant le port TCP 135. Le ver ne vise que les machines exécutant Windows 2000 et Windows XP. Les machines Windows NT et Windows 2003 Server sont vulnérables à l'exploitation mentionnée plus haut (si le correctif n'a pas été appliqué aux machines), cependant, le ver n'est pas codé pour se dupliquer sur ces systèmes. Ce ver tente de télécharger le fichier msblast.exe dans le répertoire %WinDir%\system32 puis essaie de l'exécuter. Ce ver n'a pas de fonctionnalité d'envoi en masse de courrier électronique.

Des informations complémentaires, ainsi que l'adresse d'un site sur lequel vous pouvez télécharger le correctif Microsoft, sont disponibles dans l'article de Microsoft intitulé What You Should Know About the Blaster Worm and Its Variants.

Nous conseillons aux utilisateurs de bloquer l'accès au port TCP 4444 au niveau du firewall, puis de bloquer les ports suivants, s'ils n'utilisent pas les applications énumérées :

• Port TCP 135, "DCOM RPC"
• Port UDP 69, "TFTP"

Le ver tente également de réaliser une attaque de type déni de service (DoS) sur Windows Update. Cette attaque vise à vous empêcher d'appliquer un correctif sur votre ordinateur afin de vous protéger contre la vulnérabilité DCOM RPC.

Cliquez ici pour en savoir plus sur la vulnérabilité que ce ver exploite et pour connaître les produits Symantec qui peuvent vous aider à limiter les risques causés par cette vulnérabilité.

---

Remarque : Cette menace sera détectée par les définitions de virus avec :

• Defs Version: 50811s
• Sequence Number: 24254
• Extended Version: 8/11/2003, rev. 19

  ---

Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Blaster.Worm.

Webcast W32.Blaster.Worm
Ce webcast détaille les stratégies destinées à limiter et à remédier à l'attaque de déni de service et offre également une description complète de l'attaque.

http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63

Security Response propose des informations complémentaires destinées aux administrateurs réseau, afin de les aider à détecter sur leur réseau les machines infectées par W32.Blaster.Worm. Pour en savoir plus, veuillez consulter le document intitulé Detecting traffic due to RPC worms.



Des informations complémentaires, ainsi que l'adresse d'un site sur lequel vous pouvez télécharger le correctif Microsoft, sont disponibles dans l'article de Microsoft intitulé What You Should Know About the Blaster Worm and Its Variants.

Protection

• Version initiale des définitions Rapid Release 11 Août 2003
• Dernière version des définitions Rapid Release 10 Avril 2009 révision 001
• Version initiale des définitions Daily Certified 11 Août 2003
• Dernière version des définitions Daily Certified 15 Avril 2009 révision 048
• Date de la version initial des définitions Weekly Certified 11 Août 2003

Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

• Niveau de virulence : Faible
• Nombre d'infections : More than 1000
• Nombre de sites : More than 10
• Distribution géographique : Elevé
• Contrôle de la menace : Modéré
• Suppression : Modéré

Dommages

• Niveau de dommage : Moyen
• Déclencheur : Si la date est le 16 du mois et ce jusqu'à la fin de ce mois si antérieur à août, et chaque jour à partir du 16 août jusqu'au 31 décembre.
• Charge utile : Réalise une attaque de type déni de service sur windowsupdate.com
• Entraîne l'instabilité du système : Peut bloquer les machines.
• Compromet les paramètres de sécurité : Ouvre un shell distant cmd.exe caché.

Distribution

• Niveau de distribution : Moyen
• Ports : TCP 135, TCP 4444, UDP 69
• Cible d'infection : Machines exécutant des services DCOM RPC vulnérables.