"TAILLE :
6.176 octets
DECOUVERTE :
11/08/2003
DESCRIPTION DETAILLEE :
Lovsan est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Lovsan l'infecte via le port TCP 135 en utilisant la faille RPC de Microsoft : il provoque le téléchargement d'un fichier MSBLAST.EXE dans le répertoire System32 de Windows via TFTP, puis son exécution à distance sans aucune intervention de l'utilisateur.
Une fois l'ordinateur infecté, le virus modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis scanne ensuite continuellement le réseau à la recherche de nouvelles machines vulnérables. Il est par ailleurs programmé pour lancer une attaque par déni de service contre le site WindowsUpdate à partir du 16/08/03, afin de tenter d'empêcher les retardataires de télécharger le correctif nécessaire à leur système.
L'exploitation de la faille RPC par le virus rend souvent le système instable. Sous Windows 2000, cela se traduit par un plantage de l'ordinateur et/ou un message d'erreur impliquant le processus svchost.exe. Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes :
Si ce délai de 60 secondes ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok". Cette opération n'est valable que pour Windows XP.
Une propagation massive de Lovsan et d'éventuelles variantes pourrait causer des perturbations dans le fonctionnement d'Internet, en rendant notamment difficile voire impossible l'accès à certains sites web. Les ordinateurs sous Windows NT et 2003 Server ne peuvent pas être infectés à distance par le virus, mais ils peuvent "planter" au moment de l'exploitation de la faille RPC par Blaster et le virus peut être exécuté manuellement sur ces plateformes. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille RPC exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.
13/08/03 : deux variantes Blaster.B et Blaster.C ont été identifiées. La principale différence est le nom du fichier infectant, respectivement penis32.exe (7.200 octets) et Teekids.exe (5.360 octets) au lieu de msblast.exe, ce qui ne change rien pour l'utilisateur puisque l'infection se déroule à son insu. Cela ne devrait pas non plus avoir d'influence significative sur la propagation du virus, les autres caractéristiques étant identiques.
18/08/03 : une nouvelle variante Blaster.D a été identifiée. La principale différence est le nom du fichier infectant, mspatch.exe (11.776 octets) au lieu de msblast.exe, ce qui ne change rien pour l'utilisateur puisque l'infection d'un ordinateur vulnérable se déroule à son insu."
:arrow:
https://www.gamerz.be/forum/viewtopic.php/p-1015853/highlight-blaster.html#1015853