||||
Symantec.com > Security Response > W32.Blaster.Worm
IMPRIMEZ CETTE PAGE

W32.Blaster.Worm - Suppression

Niveau de risque 2 : Faible

Version imprimable

Détecté : 11 Août 2003
Mis à jour : 13 Février 2007 12:08:57 PM
Egalement appelé : W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
Type : Ver
Etendue de l'infection : 6 176 octets
Systèmes affectés : Windows 2000, Windows NT, Windows Server 2003, Windows XP
Références CVE : CAN-2003-0352



Suppression à l'aide de l'outil de suppression de W32.Blaster.Worm
Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Blaster.Worm. Essayez cet outil, il constitue le moyen le plus simple pour éliminer cette menace. Pour obtenir l'outil de suppression de W32.Blaster.Worm, veuillez cliquer sur le lien suivant : Outil de suppression de W32.Blaster.Worm.

Suppression manuelle
Si vous n'utilisez pas l'outil de suppression, vous pouvez éradiquer cette menace manuellement. Les instructions suivantes sont valables pour tous les derniers produits anti-virus Symantec, y compris les gammes Symantec AntiVirus et Norton AntiVirus.
  1. Restaurer la connectivité Internet.
  2. Terminer le processus du ver.
  3. Obtenir les dernières définitions de virus.
  4. Rechercher et supprimer les fichiers infectés.
  5. Rétablir les modifications apportées au registre.
  6. Obtenir le HotFix de Microsoft afin de corriger la vulnérabilité DCOM RPC.

Pour des instructions détaillées, lisez les sections suivantes :

1. Pour restaurer la connectivité Internet
Dans de nombreux cas, sous Windows 2000 et XP, la modification des paramètres du service d'appel de procédure distante (RPC) peut vous permettre de vous connecter à Internet et éviter que l'ordinateur ne s'arrête. Pour restaurer la connectivité Internet sur votre PC, procédez comme suit :
    1. Cliquez sur Démarrer > Exécuter. La boîte de dialogue Exécuter apparaît.
    2. Saisissez :

      SERVICES.MSC /S

      dans le champ Ouvrir puis cliquez sur OK. La fenêtre Services apparaît.
    3. Dans le volet de droite, localisez le service Appel de procédure distante (RPC).
      ATTENTION : Il existe également un service nommé Localisateur d’appels de procédure distante (RPC). Ne confondez pas ces deux services.
    4. Cliquez avec le bouton droit de la souris sur le service Appel de procédure distante (RPC) puis cliquez sur Propriétés.
    5. Cliquez sur l'onglet Récupération.
    6. Dans les listes déroulantes des champs "Première défaillance", "Deuxième défaillance" et "Défaillances suivantes", sélectionnez "Redémarrer le service."
    7. Cliquez sur Appliquer puis sur OK.

      ATTENTION : Assurez-vous de rétablir les paramètres initiaux une fois que vous avez supprimé le ver.
2. Pour terminer le processus du ver
  1. Appuyez sur Ctrl+Alt+Suppr une seule fois.
  2. Cliquez sur Gestionnaire des tâches.
  3. Cliquez sur l'onglet Processus.
  4. Cliquez deux fois sur l'en-tête de colonne Nom de l'image pour trier les processus par ordre alphabétique.
  5. Faites défiler la liste jusqu'à trouver Msblast.exe.
  6. Si vous trouvez le fichier, sélectionnez-le puis cliquez sur le bouton Terminer le processus.
  7. Quittez le Gestionnaire des tâches.
    3. Pour obtenir les dernières définitions de virus
    Symantec Security Response réalise des tests complets de qualité pour toutes les définitions de virus avant leur publication sur nos serveurs. Il y a deux façons de se procurer les dernières définitions de virus :

      Pour les utilisateurs débutants
      La méthode la plus simple pour obtenir les dernières définitions de virus est d'exécuter LiveUpdate : Les définitions de virus pour W32.Blaster.worm sont disponibles sur le serveur LiveUpdate depuis le 11 août 2003. Pour obtenir les dernières définitions de virus, cliquez sur le bouton LiveUpdate qui se trouve sur l'interface utilisateur principale de votre produit Symantec. Lorsque vous exécutez LiveUpdate, assurez-vous que seules les "Définitions de virus de Norton AntiVirus" sont sélectionnées. Vous pourrez vous procurer les mises à jour des produits plus tard.

      Pour les administrateurs système et les utilisateurs avancés
      L'autre méthode consiste à télécharger les définitions de virus en utilisant Intelligent Updater. Les définitions de virus d'Intelligent Updater sont publiées les jours ouvrés aux Etats-Unis (du lundi au vendredi). Elles doivent être téléchargées à partir du site Web de Symantec Security Response puis installées manuellement. Pour savoir si des définitions d'Intelligent Updater sont disponibles pour cette menace, reportez-vous à la ligne Définitions de virus (Intelligent Updater) de l'encadré Protection de cet article.

      Les définitions de virus d'Intelligent Updater sont disponibles : Pour des instructions détaillées, consultez le document intitulé Comment mettre à jour les définitions de virus en utilisant l'Intelligent Updater.
      4. Pour rechercher les fichiers infectés et les supprimer
      1. Démarrez votre programme anti-virus Symantec et assurez-vous que ce dernier a été configuré pour analyser tous les fichiers.
      2. Exécutez une analyse complète du système.
      3. Si un fichier est détecté comme infecté par W32.Blaster.Worm, cliquez sur Supprimer.

      5. Pour rétablir les modifications apportées au registre
      ATTENTION : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les clés indiquées. Pour des instructions détaillées, consultez le document Comment sauvegarder le Registre de Windows.
      1. Cliquez sur Démarrer, puis sur Exécuter. (La boîte de dialogue Exécuter apparaît.)
      2. Tapez regedit

        Puis cliquez sur OK. (L’Editeur du Registre apparaît.)
      3. Naviguez vers la clé suivante :

        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      4. Dans le volet de droite, supprimez la valeur :

        "windows auto update"="msblast.exe"
      5. Quittez l’Editeur du Registre.


      6. Pour obtenir le HotFix de Microsoft afin de corriger la vulnérabilité DCOM RPC
      W32.Blaster.Worm est un ver qui exploite la vulnérabilité DCOM RPC en utilisant le port TCP 135 pour infecter votre PC. W32.Blaster.Worm tente également de réaliser une attaque de type déni de service sur le serveur Web Windows Update de Microsoft (windowsupdate.com) en utilisant votre PC. Pour remédier à cela, vous devez impérativement vous procurer le HotFix de Microsoft. Cliquez ici : Microsoft Security Bulletin MS03-026.

      Ecrit par : Douglas Knowles, Frederic Perr
      Economisez jusqu'à 20% avec un abonnement de 2 ans.
      ©1995 - 2009 Symantec Corporation
      Plan du site|
      Mentions légales|
      Politique de confidentialité|
      Nous contacter|
      Symantec dans le monde|
      Contrats de licences

      ** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.