 Comment se débarrasser du
virus W32/Blaster
En novembre 2003, Blaster continue encore à sevir. Nous vous présentons dans cet
article le principe de fonctionnement du ver Blaster ainsi qu'une procédure qui
fonctionne pour s'en débarrasser.
Comment ai-je été infecté ?
Le virus blaster fait un scan réseau à la recherche d'ordinateurs vulnerables à
la faille MICROSOFT DCOM RPC.
Remote Procedure Call (RPC) est un protocole utilisé par Windows, qui fournit un
mécanisme de communication inter-processus permettant à un programme tournant
sur un système d’exécuter du code sur un système distant.
La faille concernant ce service résulte d’un traitement défectueux des messages
malformés, et affectent l’interface DCOM à l’intérieur du service RPCSS, qui
gère les requêtes d’activation d’objets DCOM envoyées d’une machine à une autre.
Le virus exploite cette faille et utilise alors le programme tftp.exe pour se
répandre sur les autres ordinateurs en se copiant dans les dossiers systèmes et
en s'inscrivant dans la base de registre.
Comment fonctionne Blaster ?
Etape 1 : Contamination du poste de travail
Lorsqu'il se répand, Blaster va ajouter les clés suivantes au niveau de la base
de registre :
Dans HKLM\Software\Microsoft\Windows\CurrentVersion\Run
La variante A de Blaster va ajouter :
"windows auto update" = MSBLAST.EXE
La variante B de Blaster va ajouter :
"windows auto update" = PENIS32.EXE
La variante C de Blaster va ajouter :
"Microsoft Inet xp.." = TEEKIDS.EXE
La variante E de Blaster va ajouter :
"Nonton Antivirus=mspatch.exe"
La variante F de Blaster va ajouter :
"Windows Automation" = "mslaugh.exe"
La variante G de Blaster va ajouter :
"www.hidro.4t.com"="enbiei.exe"
Et oui, il y'a hélas pour tous les administrateurs des variantes de Blaster...
Maintenant qu'il est installé dans la base de registre et qu'il est positionné
au niveau de la clé Run, il pourra se lancer à chaque démarrage.
Pour information voici les tailles des fichiers :
PENIS32.EXE : 7,2 Ko
TEEKIDS.EXE : 5,3 Ko
MSPATCH.EXE : 11,7 Ko
MSLAUGH.EXE : 6,1 Ko
ENBIEI.EXE : 11,8 Ko
Etape 2 : La propagation
Blaster va se propager à travers le réseau via le protocole TCP/IP. Il va
utiliser l'algorithme suivant :
1er cas (probabilité de 0,4)
Il va prendre l'adresse IP du poste : X.Y.Z.T
On positionne T=0
Si Z est supérieur à 20 alors l'on retire une valeur aléatoire comprise entre 0
et 20
Ensuite Blaster va incrémenter T et essayer de se connecter à tous les
ordinateurs du réseau, puis il va incrémenter Z.
2ème cas (probabilité de 0,6)
Blaster va calculer des adresses IP aléatoires
X, Y et Z seront des valeurs aléatoires (comprises entre 0 et 255), il pourra
ensuite incrémenter T pour atteindre les postes des réseaux.
Etape 3 : L'introduction de
Blaster
Blaster va essayer de s'introduire sur toutes les adresses IP qu'il aura
calculé. Pour cela, il va essayer d'envoyer des données sur le port 135 afin
d'exploiter la vulnérabilité DCOM RPC.
Si cela fonctionne, il va créer sur le poste distant un processus shell distant
(cmd.exe) qui va écouter sur le port 4444.
Il va lui même, à partir du poste qui est à la base de la contamination, écouter
sur le port 69 en UDP. Dès qu'il reçoit une requête, il va retourner le fichier
msblast.exe.
Il va alors demander à l'ordinateur distant qu'il souhaite infecter de se
connecter sur lui et de télécharger msblast.exe via tftp.
 Sommaire
1. Comment ça fonctionne ?
2. Comment le supprimer ?
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Comment éliminer le ver Blaster
