||||
Symantec.com > Security Response > W32.Blaster.Worm
IMPRIMEZ CETTE PAGE

W32.Blaster.Worm

Niveau de risque 2 : Faible

Version imprimable

Détecté : 11 Août 2003
Mis à jour : 13 Février 2007 12:08:57 PM
Egalement appelé : W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
Type : Ver
Etendue de l'infection : 6 176 octets
Systèmes affectés : Windows 2000, Windows NT, Windows Server 2003, Windows XP
Références CVE : CAN-2003-0352


Lorsque W32.Blaster.Worm s'exécute, il agit ainsi :
  1. Il vérifie si un ordinateur est déjà infecté et si le ver s'exécute. Si c'est le cas, le ver n'infectera pas l'ordinateur une seconde fois.
  2. Il ajoute la valeur :

    "windows auto update"="msblast.exe"

    à la clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


    de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
  3. Il génère une adresse IP et tente d'infecter l'ordinateur possédant cette adresse. L'adresse IP est générée à partir des algorithmes suivants :
    • Dans 40% des cas, l'adresse IP générée prend la forme A.B.C.0, où A et B correspondent aux deux premières parties de l'adresse IP de l'ordinateur infecté.

      C est également calculé en fonction de la troisième partie de l'adresse IP du système infecté ; cependant, dans 40% des cas, le ver vérifie si C est supérieur à 20. Si c'est le cas, une valeur aléatoire inférieure à 20 est soustraite à C. Une fois l'adresse IP calculée, le ver tentera de trouver et d'exploiter un ordinateur avec une adresse IP A.B.C.0.

      Le ver incrémentera alors de 1 la partie 0 de l'adresse IP, et essaiera de trouver et d'exploiter d'autres ordinateurs en se basant sur la nouvelle adresse IP, et ce jusqu'à atteindre 254.
    • Avec une probabilité de 60%, l'adresse IP générée est entièrement aléatoire.
  4. Il envoie des données sur le port TCP 135 pouvant exploiter la vulnérabilité DCOM RPC. Il envoie des données sur le port TCP 135 pouvant exploiter la vulnérabilité DCOM RPC. Le ver envoie un seul type de données sur deux pour exploiter soit Windows XP, soit Windows 2000.

    Dans 80% des cas, il enverra des données pour Windows XP ; et dans 20% des cas, des données pour Windows 2000.

    Remarques :
    • Le sous-réseau local sera saturé par des requêtes du port 135.
    • W32.Blaster.Worm ne peut pas se propager sur Windows NT ou Windows 2003 Server, cependant, les ordinateurs sur lesquels le correctif n'a pas été appliqué et qui exécutent ces systèmes d'exploitation peuvent être bloqués en raison des tentatives d'exploitation par le ver. Cependant, si le ver est placé et exécuté manuellement sur un ordinateur exécutant ces systèmes d'exploitation, il peut alors s'exécuter et se propager.
    • Le ver élabore ses données d'exploitation de façon aléatoire, pouvant provoquer ainsi le blocage du service RPC si celui-ci reçoit des données incorrectes. Ceci peut se traduire par svchost.exe, générant des erreurs provoquées par ces données incorrectes
    • Si le service RPC se bloque, la procédure par défaut sous Windows XP et Windows Server 2003 est de redémarrer l'ordinateur. Pour désactiver cette option, reportez-vous à l'étape un des instructions de suppression ci-dessous.
  5. Il utilise Cmd.exe pour créer un processus de shell distant caché qui écoutera sur le port TCP 4444, permettant alors à un attaquant d'envoyer des commandes à distance sur le système infecté.
  6. Il écoute sur le port UDP 69. Lorsque le ver reçoit une requête d'un ordinateur auquel il a pu se connecter en utilisant l'exploit DCOM RPC, il enverra alors le fichier msblast.exe à cet ordinateur et lui demandera d'exécuter le ver.
  7. Si la date en cours est comprise entre le 16 et le dernier jour du mois pour les mois de janvier à août, ou si le mois courant est entre septembre et décembre, le ver tentera de réaliser une attaque de type déni de service sur Windows Update. Cependant, la tentative d'attaque de type déni de service ne réussira que si l'une des conditions suivantes est remplie :
    • Le ver s'exécute sur un ordinateur Windows XP qui a été infecté ou réinitialisé au cours de la période de résultat d'activation.
    • Le ver s'exécute sur un ordinateur Windows 2000 qui a été infecté au cours de la période de résultat d'activation et qui n'a pas été redémarré depuis son infection.
    • Le ver s'exécute sur un ordinateur Windows 2000 qui a été redémarré depuis son infection, au cours de la période de résultat d'activation, et sur lequel l'utilisateur connecté est l'Administrateur.
  8. Le trafic de l'attaque de déni de service présente les caractéristiques suivantes :
    • Il s'agit d'un flux SYN sur le port 80 de windowsupdate.com.
    • Il tente d'envoyer 50 paquets HTTP toutes les secondes.
    • Chaque paquet a une longueur de 40 octets.
    • Si le ver ne trouve pas d'entrée DNS pour windowsupdate.com, il utilise une adresse de destination de 255.255.255.255.
    Voici certaines caractéristiques fixes des en-têtes TCP et IP :
      • Identification IP = 256
      • Durée de vie = 128
      • Adresse IP source = a.b.x.y, où a.b proviennent de l'IP hôte et x.y sont aléatoires. Dans certains cas, a.b sont aléatoires.
      • Adresse IP de destination = résolution dns de "windowsupdate.com"
      • Le port source TCP est entre 1000 et 1999
      • Port de destination TCP = 80
      • Les deux octets bas du numéro de séquence TCP sont toujours définis sur 0 ; quant aux deux octets hauts, ils sont aléatoires.
      • Taille de la fenêtre TCP = 16384
Le ver contient le texte suivant, qui n'apparaît jamais :

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!


Comment limiter le résultat d'activation du déni de service
A compter du 15 août 2003, Microsoft a retiré l'enregistrement DNS pour windowsupdate.com. La portion DoS du ver n'affectera pas la fonction Windows Update de Microsoft, cependant, les administrateurs réseau peuvent utiliser les recommandations suivantes afin de limiter le résultat d'activation du déni de service :
  • Reroutez windowsupdate.com sur une adresse IP interne spécifique. Vous saurez ainsi quelles machines sont infectées si vous disposez d'un serveur qui écoute afin d'intercepter le flux SYN.
  • Configurez des règles anti-spoofing sur les routeurs si ce n'est déjà fait. Vous éviterez ainsi qu'un pourcentage élevé de paquets ne quittent le réseau. L'utilisation de uRPF ou de ACL sortants serait efficace.

Symantec Gateway Security
  • Le 12 août 2003, Symantec a publié une mise à jour pour Symantec Gateway Security 1.0.
  • La technologie de vérification d'applications des firewalls Symantec vous protège contre cette vulnérabilité de Microsoft, bloquant par défaut tous les ports TCP énumérés ici. Pour une sécurité optimale, la technologie de vérification d'applications de troisième génération bloque intelligemment la mise sous tunnel du trafic DCOM sur des canaux HTTP, fournissant ainsi une couche supplémentaire de protection qui n'est généralement pas disponible dans les firewalls de filtrage réseau les plus courants.
Symantec Host IDS
Le 12 août 2003, Symantec a publié une mise à jour pour Symantec Host IDS 4.1.

Intruder Alert
Le 12 août 2003, Symantec a publié une stratégie Intruder Alert 3.6 W32_Blaster_Worm Policy.

Symantec Enterprise Firewall
La technologie de vérification d'applications des firewalls Symantec vous protège contre le ver W32.Blaster.worm, bloquant par défaut tous les ports TCP énumérés ici.

Symantec ManHunt
  • Les technologies de détection des anomalies de protocole de Symantec ManHunt identifient l'activité générée par cette exploitation comme "Portsweep". Bien que ManHunt détecte l'activité générée par cette exploitation grâce à sa technologie de détection des anomalies de protocole, vous pouvez utiliser la signature personnalisée "Microsoft DCOM RPC Buffer Overflow", publiée dans la Mise à jour de sécurité 4, afin d'identifier précisément l'exploitation envoyée.
  • La Mise à jour de sécurité 5 a été publiée afin de fournir des signatures spécifiques à W32.Blaster.Worm, et permettre la détection de davantage d'attributs de W32.Blaster.Worm.
  • Les technologies de détection des anomalies de protocole de Symantec ManHunt détectent l'activité associée au flux SYN de l'attaque de déni de service. Security Response a créé une signature personnalisée pour ManHunt 3.0, publiée dans la Mise à jour de sécurité 6, afin de détecter cette attaque spécifique comme Blaster DDoS Request.

Enterprise Security Manager
Symantec Security Response a publié une Stratégie de réponse pour cette vulnérabilité le 17 juillet 2003.

Symantec Vulnerability Assessment
Symantec Security Response a publié le 17 juillet 2003 une version qui détecte et signale cette vulnérabilité. Cliquez ici pour plus d'informations.

Symantec NetRecon
Symantec NetRecon peut identifer les machines sensibles à W32.Blaster.Worm en identifiant la vulnérabilité "Microsoft DCOM RPC Buffer Overflow". Reportez-vous à SU6 de Symantec NetRecon pour des informations détaillées.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

  • Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
  • Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
  • Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
  • Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
  • Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
  • Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
  • Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Ecrit par : Douglas Knowles, Frederic Perr
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.