Site Sécurité - Ce que vous devez savoir sur le ver Blaster

Cliquez ici pour installer Silverlight

France

Modifier

Tous les sites Microsoft

Connexion

> Accueil Microsoft Sécurité

Plan de cet espace

FAQ

Lettres d'information et alertes

Contactez Microsoft

Informatique de Confiance

Bulletins de sécurité

Avis de sécurité

Historique des alertes de sécurité

Événements et Webcasts

Partenaires certifiés sécurité

Centres de Conseil sur la Sécurité

Grand Public (À la maison)

Informaticiens (TechNet)

Développeurs (MSDN)

Espaces dédiés

Entrepreneurs

Moyennes entreprises

Accueil du Site Sécurité > Alertes de sécurité

Alertes virus

Vous êtes infecté

Suivez la procédure pour le grand public

Téléchargez la procédure Windows 2000 et Windows XP

Téléchargez la procédure pour Windows XP uniquement

Suivez la procédure pour les administrateurs réseaux

Comment savoir si vous êtes infecté ?

Vous n'êtes pas infecté

Protégez votre système :

1.	Activez le pare-feu
2.	Mettez à jour Windows
3.	Utilisez un antivirus

Ce que vous devez savoir sur le ver Blaster

Dernière mise à jour : jeudi 11 septembre 2003

Le 11 août 2003, Microsoft a identifié un nouveau ver, connu sous le nom de W32.Blaster.worm. Un ver est un programme à fonctionnement et réplication autonomes, qui provoque généralement une surconsommation de mémoire et la cessation de réponse d'un ordinateur.
Nous vous conseillons plus que vivement de mener les actions présentées ci-dessous pour protéger votre système, et supprimer le ver si vous êtes contaminé.

Nouvelles informations importantes

Si vous êtes infecté : Suivez la procédure pour le grand public ou celle pour les administrateurs réseaux.
Un canular circule : Un message électronique, actuellement en circulation, propose un soi-disant correctif contre Blaster. Ceci ne provient en aucun cas de Microsoft. Attention, Il installe en fait un "cheval de Troie", un virus caché dans un autre programme. Microsoft vous rappelle qu'il ne distribue jamais par courrier électronique de logiciel à télécharger directement à partir d'une pièce jointe. Pour en savoir plus à ce sujet, consultez le document décrivant la politique Microsoft de distribution des logiciels.
Des variantes du ver sont apparues : le bulletin de sécurité Microsoft MS03-039 vous donne les informations nécessaires pour protéger votre système contre les variantes du ver Blaster.
Des questions-réponses ont été publiées : Microsoft a publié les réponses aux questions les plus fréquentes sur le ver baster et ses variantes. Cliquez ici pour les consulter.

Qu'est-ce que ce ver ?

Ce nouveau ver est connu sous le nom de W32.Blaster.Worm, mais aussi MBlaster, W32/Lovsan.worm, MSBlast, W32.blaster.worm, Win32.posa.worm, Win32.poza.worm. Il cherche à exploiter la vulnérabilité corrigée par les solutions mentionnées dans le bulletin de sécurité Microsoft MS03-039 et, notamment, à créer une porte dérobée et à permettre la propagation du ver. Blaster est conçu pour envoyer également une attaque par déni de service contre le site Web Windows Update de Microsoft (Cette attaque consiste donc à rendre ce site indisponible).

Qui est affecté par ce ver ?

Les possesseurs des produits suivants sont concernés :

Microsoft Windows NT 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

Ne sont pas concernés : les utilisateurs de Windows 95, Windows 98, Windows 98 Seconde Edition et Windows Millenium

Le ver a été découvert le 11 août.
Tous les clients qui avaient au préalable installé le correctif de sécurité du bulletin MS03-026, puis qui ont installé le correctif MS03-039 sont protégés.

Quels sont les symptômes de ce ver ?

Le symptôme typique de ce ver, pour les utilisateurs de Windows XP et de Windows Server 2003, est le redémarrage intempestif du système, sans aucune action de l'utilisateur.
Les utilisateurs de Windows NT 4.0 et de Windows 2000 peuvent avoir, quant à eux, un système qui se fige.
Cependant, il se peut que vous soyez infecté mais qu'il n'y ait aucun symptôme.
Que vous fassiez face à ces symptômes ou non, vous conseillons plus que vivement de mener les actions présentées ci-dessous.

Quelles sont les actions à mener immédiatement ?

Pour les administrateurs systèmes
et informaticiens

Pour le grand public

Consultez l'article technique "Comment supprimer le ver Blaster ?".
Outil de diagnostique pour les administrateurs réseau.

Si vous êtes infecté

En premier lieu, empêchez tout redémarrage intempestif de votre ordinateur :

Sous Windows XP et Windows Server 2003
Appuyez sur "Ctrl+Alt+Supp". Cliquez sur le bouton "Gestionnaire des tâches", sélectionnez l'onglet "Processus", puis sélectionnez le processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe". Cliquez sur "Terminer le processus". Validez en cliquant sur "Oui".
Sous Windows NT 4.0 et Windows 2000
Appuyez sur "Ctrl+Alt+Supp". Cliquez sur le bouton "Gestionnaire des tâches", sélectionnez l'onglet "Processus" puis le processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe". Cliquez sur "Terminer le processus". Validez en cliquant sur "Oui".

Puis suivez les étapes décrites dans la seconde partie de ce document.

Si vous n'êtes pas infecté

Veillez à procéder aux étapes suivantes pour protéger votre système :

activez le pare-feu
mettez à jour Windows
utilisez un antivirus

Téléchargez la procédure pour Windows 2000 et Windows XP

Téléchargez la procédure pour Windows XP uniquement

Étape 1 : empêchez tout redémarrage intempestif de votre ordinateur
(Windows XP uniquement. Si vous utilisez windows 2000, passez à l'étape 2)

En premier lieu, pour empêcher tout redémarrage intempestif de votre ordinateur, après votre identification (compte utilisateur et mot de passe) :

Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter apparaît.
Saisissez SERVICES.MSC dans la ligne Ouvrir et cliquez sur OK. La fenêtre Services s'ouvre alors.
Dans la liste des services, sélectionnez Appel de procédure distante (RPC).
Double-cliquez alors sur Appel de procédure distante (RPC).
Cliquez ensuite sur l'onglet Récupération.
Pour les options Première défaillance, Deuxième défaillance et Défaillances suivantes, choisissez Redémarrer le service.
Cliquez enfin sur Appliquer, puis sur OK.

Etape 2 : appliquez le correctif de sécurité MS03-039 (Windows 2000 et XP)

Mettez à jour Windows :

soit en vous connectant sur le site Windows Update, soit en appliquant directement le correctif de sécurité MS03-039 correspondant à votre version de Windows :

Pour WINDOWS XP édition professionnelle et familiale Version Française :

Cliquez sur http://download.microsoft.com/download/3/2/8/328f2dc9-c534-4178-b80a-dddeae128cab/WindowsXP-KB824146-x86-FRA.exe

Si le clic ne fonctionne pas, lancez votre navigateur Internet et tapez dans la barre d'adresse : http://download.microsoft.com/download/e/e/1/ee171b06-ef1f-4ac9-a0ab-485f252af8fb/Windows2000-KB824146-x86-FRA.exe

Pour WINDOWS 2000 édition professionnelle version francaise :

Cliquez sur http://download.microsoft.com/download/e/e/1/ee171b06-ef1f-4ac9-a0ab-485f252af8fb/Windows2000-KB824146-x86-FRA.exe

Si le clic ne fonctionne pas, lancer votre navigateur Internet et taper dans la barre d'adresse :

http://download.microsoft.com/download/e/e/1/ee171b06-ef1f-4ac9-a0ab-485f252af8fb/Windows2000-KB824146-x86-FRA.exe

Cliquez sur Ouvrir lorsque vous obtenez la boite de dialogue "Téléchargement de fichier"
A la fin de l'installation, acceptez le redémarrage de l'ordinateur.

Windows Update est l'extension en ligne de Windows qui vous permet de conserver à jour votre ordinateur. Utilisez Windows Update pour sélectionner les mises à jour nécessaires au système d'exploitation, au matériel et aux logiciels de votre ordinateur. Des nouveautés sont ajoutées au site régulièrement afin que vous puissiez toujours obtenir les mises à jour et les correctifs les plus récents pour protéger votre ordinateur et lui assurer un fonctionnement sans problème.

Étape 3 : supprimez le ver (Windows 2000 et Windows XP)

Pour éliminer le ver, utilisez l'outil de suppression de Microsoft

Rendez vous sur la page dédiée
Cliquez sur le lien Télécharger pour démarrer le téléchargement.
Effectuez l'une des actions suivantes :
- Pour démarrer l'installation immédiatement, cliquez sur Ouvrir ou sur Exécuter ce programme à partir de son emplacement actuel.
- Pour copier le fichier à télécharger sur votre ordinateur en vue de l'installer ultérieurement, cliquez sur Enregistrer ou sur Enregistrer ce programme sur le disque.

D'autres outils de suppression de ce ver sont disponibles auprès des éditeurs d'antivirus. Vous en trouverez ci-dessous une liste non exhaustive :

Symantec :
- http://securityresponse.symantec.com/avcenter/FixBlast.exe
McAfee :
- http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
Trend Micro :
- http://www.trendmicro.com/vinfo/verencyclo/default5.asp?VName=WORM_MSBLAST.A
F-Secure :
- http://www.f-secure.com/v-descs/msblast.shtml
Securitoo :
- http://www.securitoo.com/top10/patches/patch_lovsan.exe

Les coordonnées des Outils tiers mentionnés dans ce document vous aideront à obtenir le support technique dont vous avez besoin. Ces informations peuvent faire l'objet de modifications sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.
Les produits tiers mentionnés dans cet article proviennent de fournisseurs indépendants de Microsoft ; nous n'accordons aucune garantie, implicite ou autre, en ce qui concerne le fonctionnement ou la fiabilité de ces produits.

Étape 4 : rétablissez la machine dans son mode initial
(Windows XP uniquement. Si vous utilisez Windows 2000, passez à l'étape 6)

Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter apparaît.
Saisissez SERVICES.MSC dans la ligne Ouvrir et cliquez sur OK. La fenêtre Services s'ouvre alors.
Dans la liste des services, sélectionnez Appel de procédure distante (RPC).
Double-cliquez alors sur Appel de procédure distante (RPC).
Cliquez ensuite sur l'onglet Récupération.
Pour les options Première défaillance, Deuxième défaillance et Défaillances suivantes, choisissez Redémarrer l'ordinateur.
Cliquez enfin sur Appliquer, puis sur OK.

Étape 5 : activez votre pare-feu
(Windows XP uniquement. Si vous utilisez Windows 2000, passez à l'étape 6)

Vérifiez que vous disposez d'un pare-feu installé et activé, avant de procéder aux étapes suivantes. Si votre système a été infecté, le fait d'activer le pare-feu limitera les effets du ver sur votre machine. Si vous ne parvenez pas à activer le parefeu, vous pouvez tout de même réaliser les étapes suivantes de protection et de nettoyage.

Si vous avez Windows XP ou Windows Server 2003, activez le Pare-feu de connexion Internet (ICF)
Si vous avez Windows 2000 ou Windows NT, vous devez installer un pare-feu d'une société tierce. La plupart des pare-feux pour le grand public sont disponibles gratuitement ou en version d'évaluation. Consultez le Windows Catalog pour obtenir une liste des logiciels de pare-feu Internet.
Si vous utilisez Windows 2000, une autre solution possible est de bloquer les ports affectés. Ainsi votre système peut être mis à jour. Vous trouverez ci-dessous un extrait d'un article TechNet vous aidant à configurer TCP/IP pour utiliser le filtrage TCP/IP :

Dans le menu Démarrez, ouvrez le Panneau de configuration puis cliquez sur Connexions réseau et accès à distance.

Cliquez avec le bouton droit sur la connexion réseau à configurer, puis cliquez sur Propriétés.

Sous l'onglet Général (pour une connexion au réseau local) ou Gestion de réseau (pour toutes les autres connexions), cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.

Cliquez sur Avancé…

Cliquez, dans l'onglet Options, sur Filtrage TCP/IP, puis sur Propriétés.

Pour activer le filtrage TCP/IP pour toutes les cartes, activez la case à cocher Activer le filtrage TCP/IP (pour toutes les cartes).

Vous devez sélectionner l'option "Permission uniquement" pour les ports TCP, les ports UDP et les protocoles IP.

Cliquez sur OK.

Si vous utilisez un pare-feu donné par votre fournisseur d'accès (par ex, c'est le cas de Wanadoo) ou d'un autre éditeur de logiciels, veuillez vous reporter à la documentation de votre fournisseur, à son site web ou faire appel à son support technique.

Étape 6 : utilisez un antivirus

Utilisez un antivirus et assurez-vous que vous possédez sa toute dernière version.

Si vous avez bien un antivirus, connectez-vous sur le site de l'éditeur de votre anti-virus pour obtenir sa toute dernière version
Si vous n'avez pas installé de logiciel antivirus, procurez-vous en un.

Par exemple, auprès de :

Support Technique

Si vous avez besoin d'aide, contactez la hotline Sécurité de Microsoft en France au 0 825 827 829 code 55 (N° Indigo : 0,15 € TTC/min) ou bien le fournisseur de votre logiciel antivirus.

Ressources complémentaires

Gérez votre profil