1. /
  2. Security Response/
  3. W32.Blaster.Worm
  4. W32.Blaster.Worm
  • Ajouter

W32.Blaster.Worm

Niveau de risque2 : Faible

Découvert :
11 Août 2003
Mis à jour :
13 Février 2007 12:08:57 PM
Egalement appelé :
W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
Type :
Worm
Etendue de l'infection :
6 176 octets
Systèmes affectés :
Windows 2000, Windows NT, Windows Server 2003, Windows XP
Références CVE :
CAN-2003-0352

En raison du nombre décroissant de virus soumis, Symantec Security Response a réévalué cette menace qui passe du Niveau 4 au Niveau 3 à partir du 8 octobre 2003.

W32.Blaster.Worm est un ver qui exploite la vulnérabilité DCOM RPC (décrite dans le Bulletin de sécurité de Microsoft MS03-026 en utilisant le port TCP 135. Le ver ne vise que les machines exécutant Windows 2000 et Windows XP. Les machines Windows NT et Windows 2003 Server sont vulnérables à l'exploitation mentionnée plus haut (si le correctif n'a pas été appliqué aux machines), cependant, le ver n'est pas codé pour se dupliquer sur ces systèmes. Ce ver tente de télécharger le fichier msblast.exe dans le répertoire %WinDir%\system32 puis essaie de l'exécuter. Ce ver n'a pas de fonctionnalité d'envoi en masse de courrier électronique.

Des informations complémentaires, ainsi que l'adresse d'un site sur lequel vous pouvez télécharger le correctif Microsoft, sont disponibles dans l'article de Microsoft intitulé What You Should Know About the Blaster Worm and Its Variants.

Nous conseillons aux utilisateurs de bloquer l'accès au port TCP 4444 au niveau du firewall, puis de bloquer les ports suivants, s'ils n'utilisent pas les applications énumérées :
  • Port TCP 135, "DCOM RPC"
  • Port UDP 69, "TFTP"

Le ver tente également de réaliser une attaque de type déni de service (DoS) sur Windows Update. Cette attaque vise à vous empêcher d'appliquer un correctif sur votre ordinateur afin de vous protéger contre la vulnérabilité DCOM RPC.

Cliquez ici pour en savoir plus sur la vulnérabilité que ce ver exploite et pour connaître les produits Symantec qui peuvent vous aider à limiter les risques causés par cette vulnérabilité.


Remarque : Cette menace sera détectée par les définitions de virus avec :
  • Defs Version: 50811s
  • Sequence Number: 24254
  • Extended Version: 8/11/2003, rev. 19
Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Blaster.Worm.

Webcast W32.Blaster.Worm
Ce webcast détaille les stratégies destinées à limiter et à remédier à l'attaque de déni de service et offre également une description complète de l'attaque.
    http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63

    Security Response propose des informations complémentaires destinées aux administrateurs réseau, afin de les aider à détecter sur leur réseau les machines infectées par W32.Blaster.Worm. Pour en savoir plus, veuillez consulter le document intitulé Detecting traffic due to RPC worms.



    Des informations complémentaires, ainsi que l'adresse d'un site sur lequel vous pouvez télécharger le correctif Microsoft, sont disponibles dans l'article de Microsoft intitulé What You Should Know About the Blaster Worm and Its Variants.

    Dates de la protection antivirus

    • Version initiale des définitions Rapid Release11 Août 2003
    • Dernière version des définitions Rapid Release18 Mai 2013 révision 017
    • Version initiale des définitions Daily Certified11 Août 2003
    • Dernière version des définitions Daily Certified19 Mai 2013 révision 005
    • Date de la version initiale des définitions Weekly Certified11 Août 2003
    Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.
    Rédigé par :Douglas Knowles, Frederic Perr
    2015 Internet Security Threat Report, Volume 20