Le 11 août 2003, Microsoft a identifié un nouveau ver, connu sous le nom de W32.Blaster.worm. Un ver est un programme à fonctionnement et réplication autonomes, qui provoque généralement une surconsommation de mémoire et la cessation de réponse d'un ordinateur.
Nous vous conseillons plus que vivement de mener les actions présentées ci-dessous pour protéger votre système, et supprimer le ver si vous êtes contaminé.
Nouvelles informations importantes
Si vous êtes infecté : Suivez la procédure pour le grand public ou celle pour les administrateurs réseaux.
Un canular circule : Un message électronique, actuellement en circulation, propose un soi-disant correctif contre Blaster. Ceci ne provient en aucun cas de Microsoft. Attention, Il installe en fait un "cheval de Troie", un virus caché dans un autre programme. Microsoft vous rappelle qu'il ne distribue jamais par courrier électronique de logiciel à télécharger directement à partir d'une pièce jointe.
Des variantes du ver sont apparues : le bulletin de sécurité Microsoft MS03-026 vous donne les informations nécessaires pour protéger votre système contre les variantes du ver Blaster.
Des questions-réponses ont été publiées : Microsoft a publié les réponses aux questions les plus fréquentes sur le ver baster et ses variantes. Cliquez ici pour les consulter.
Un nouvel outil est disponible : Microsoft met à la disposition des administrateurs réseaux un outil de diagnostic (US), destiné à identifier les postes ayant le correctifs de sécurité et ceux qui ne l'ont pas encore (réseaux sous Windows 2000 ou Windows XP). Consultez le mode d'emploi (US) de cet outil.
Qu'est-ce que ce ver ?
Ce nouveau ver est connu sous le nom de W32.Blaster.Worm, mais aussi MBlaster, W32/Lovsan.worm, MSBlast, W32.blaster.worm, Win32.posa.worm, Win32.poza.worm. Il cherche à exploiter la vulnérabilité corrigée par les solutions mentionnées dans le bulletin de sécurité Microsoft MS03-026 et, notamment, à créer une porte dérobée et à permettre la propagation du ver. Blaster est conçu pour envoyer également une attaque par déni de service contre le site Web Windows Update de Microsoft (Cette attaque consiste donc à rendre ce site indisponible).
Qui est affecté par ce ver ?
Les possesseurs des produits suivants sont concernés :
Microsoft Windows NT 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Ne sont pas concernés : les utilisateurs de Windows 95, Windows 98, Windows 98 Seconde Edition et Windows Millenium
Quels sont les symptômes de ce ver ?
Le symptôme typique de ce ver, pour les utilisateurs de Windows XP et de Windows Server 2003, est le redémarrage intempestif du système, sans aucune action de l'utilisateur.
Les utilisateurs de Windows NT 4.0 et de Windows 2000 peuvent avoir, quant à eux, un système qui se fige.
Cependant, il se peut que vous soyez infecté mais qu'il n'y ait aucun symptôme.
Que vous fassiez face à ces symptômes ou non, vous conseillons plus que vivement de mener les actions présentées ci-dessous.
Quelles sont les actions à mener immédiatement ?
Si vous êtes infecté
En premier lieu, empêchez tout redémarrage intempestif de votre ordinateur :
Sous Windows XP et Windows Server 2003
Appuyez sur "Ctrl+Alt+Supp". Cliquez sur le bouton "Gestionnaire des tâches", sélectionnez l'onglet "Processus", puis sélectionnez le processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe". Cliquez sur "Terminer le processus". Validez en cliquant sur "Oui".
Sous Windows NT 4.0 et Windows 2000
Appuyez sur "Ctrl+Alt+Supp". Cliquez sur le bouton "Gestionnaire des tâches", sélectionnez l'onglet "Processus" puis le processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe". Cliquez sur "Terminer le processus". Validez en cliquant sur "Oui".
Puis suivez les étapes suivantes :
activez le pare-feu
mettez à jour Windows
utilisez un antivirus
supprimez le ver
Si vous n'êtes pas infecté
Veillez à procéder aux étapes suivantes pour protéger votre système :
activez le pare-feu
mettez à jour Windows
utilisez un antivirus