Lovsan (ou Blaster, MSBlast) - explication pour les nuls...

Un problème avec Windows ?

Modérateurs : Gilbert, Diamond, Barbapapa

Lovsan (ou Blaster, MSBlast) - explication pour les nuls...

Message par Le Dam » 14 Août 2003 08:57

...ou comment le supprimer fastoche !

Voilà, j'ai adressé un mail à plusieurs potes et à quelques collègues qui ne s'y connaissent pas trop. Peut-être que cela pourra intéresser un membre ou deux.
Pas la peine de frapper ou d'être désagréable si j'ai oublié un détail ou commis une erreur :lol:

ONLY FOR 2000 and XP USERS


Salut,

Vous avez peut-être entendu parler ces deux derniers jours du virus Lovsan (ou Blaster, MSBlast)
Vous pouvez trouver de plus amples renseignements à propos de celui-ci sur la page :
http://www.secuser.com/alertes/2003/lovsan.htm
(Il redémarre, entre autres, votre PC sans qu’aucune sauvegarde ne soit possible…)

Un patch doit impérativement être installé sur votre PC si vous ne tenez pas à être infecté mais il est fort probable que cela soit déjà trop tard si vous surfez ou recevez des emails sur celui-ci.
Vous pouvez toujours suivre cette procédure même si vous êtes certain de ne pas être infecté.


Pour éradiquer définitivement ce satané virus :
- Téléchargez les correctifs avec les liens suivants (vérifiez votre version de Windows)
- Redémarrez votre PC sans vous connecter au Web (débranchez les fiches modem et/ou réseau)
- Lancez le fichier FixBlast.exe
- Lancez le patch correspondant à la version de votre Windows
- Relancez le fichier FixBlast.exe (simple vérification)
- Eteignez le PC et rebranchez les fiches modem et/ou réseau
- Redémarrez le PC

Voilà c’est terminé, vous l’avez eu !!!

Cela dit, n’oubliez pas de mettre votre Windows à jour chez Microsoft, c’est gratuit et aucune information sur la licence de votre système ne leur est envoyée ( http://v4.windowsupdate.microsoft.com/fr/default.asp ).

Un backup régulier de vos données évite, lui aussi, bien des désagréments.

Ci-dessous, les liens cités plus haut. N'hésitez pas à transférer ce mail.

@+
Damien


Pour éliminer le virus :
http://securityresponse.symantec.com/av ... xBlast.exe


Patch pour Windows XP Français :
http://download.microsoft.com/download/ ... 86-FRA.exe

Patch pour Windows XP Anglais :
http://download.microsoft.com/download/ ... 86-ENU.exe

Patch pour Windows 2000 Français :
http://download.microsoft.com/download/ ... 86-FRA.exe

Patch pour Windows 2000 Anglais :
http://download.microsoft.com/download/ ... 86-ENU.exe

Dernière édition par Le Dam le 14 Août 2003 09:46, édité 1 fois.
Avatar de l’utilisateur
Le Dam
Vieux Caillou
Vieux Caillou
 
Message(s) : 7534
Inscription : 14 Nov 2001 02:00

Message par Julien » 14 Août 2003 09:30

Thanks :)
Pas encore vu trainer cette chose sur mes pc.. mais si je le chope, je sais déjà par ou commencer pour le supprimer ...


:bier:
Avatar de l’utilisateur
Julien
Membre
Membre
 
Message(s) : 170
Inscription : 19 Fév 2002 02:00
Localisation : Namur

Message par RippeR » 14 Août 2003 10:40

Hello Damien,

Bonne idée mais qui appellle qq commentaires ;)

Affecte tous les OS NT et pas seulement Win2k/XP.

En cas d'infection ou simplement de tentative d'infection, ton PC non à jour rebootera à chaque nouveau probe
sur le port 135 avec un count down de 60 secondes : ça ne te laissera pas le temps d'aller d/l qq ch.

Si tu disposes d'un FW intégré à l'OS (ICF sur WinXP ou Win2K3S)l'activer et reboot : tu pourras aller télécharger le patch et mettre ton AV à jour tranquillement. Si pas de FW sur la machine : pendant le countdown entrez en ligne de commande shutdown -a : ça empêchera la fermeture et la déconnexion le temps de te mettre à jour.

Le fix signalé est insuffisant : il y a déjà plusieurs variantes non détectées (comme prévu, le worm a été décompacté/recompacté avec divers runtimepackers par des SK) et d'autres vers récents exploitent la même faille depuis et d'autres vont très certainement suivre dans les jours qui viennent.

Utiliser plutôt son AV habituel à jour qui contient déjà les nouvelles sig dans sa DB.

Le worm installe un trojan (msblaster.exe,et divers aliases) destiné à lancer un DoS sur Windows Update à partir du 16 août : les différents sites de MAJ risquent d'être down et impossible de d/l le hotfix (dispo depuis le 16 juillet), il y a donc intérêt à faire la MAJ le plus vite possible : WU est déjà surchargé avec tous les retardataires allant chercher les MAJ frénétiquement, certains ont dû attendre plusieurs heures avant de pouvoir aller le d/l
Avatar de l’utilisateur
RippeR
Vingt mille
Vingt mille
 
Message(s) : 21052
Inscription : 11 Nov 2001 02:00
Localisation : quelque part entre Montcuq et Cefes

Message par Le Dam » 14 Août 2003 13:23

Ah bon... :(

Soit, je l'ai tout de même supprimé sur deux bécanes mais il est vrai que j'avais mis ces fichiers sur un CD-Rom car je ne voulais pas perdre trop de temps de D/L avec leur ligne 56k.

Cela dit, le fix a bien trouvé et détruit le fichier et la patch s'est bien intallé. Mais a-t-il infecté d'autres fichiers ???
Tu dis sûrement vrai !
Les jours prochains nous le diront.

En ce qui concerne la version de Windows, tu as raison mais je ne voulais mettre les liens que des versions les plus courantes. Les personnes qui ont NT chez eux sont certainement assez douées que pour aller chercher les patches eux-mêmes :wink:


Maitenant, ma belle-mère me demande de lui installer NAV 2003 qu'elle a acheté il y a peu. NAV bloquera-t-il ce virus ainsi que ses petits frères ???
Avatar de l’utilisateur
Le Dam
Vieux Caillou
Vieux Caillou
 
Message(s) : 7534
Inscription : 14 Nov 2001 02:00

Message par RippeR » 14 Août 2003 13:51

Le Dam a écrit :Ah bon... :(

Soit, je l'ai tout de même supprimé sur deux bécanes mais il est vrai que j'avais mis ces fichiers sur un CD-Rom car je ne voulais pas perdre trop de temps de D/L avec leur ligne 56k.

Cela dit, le fix a bien trouvé et détruit le fichier et la patch s'est bien intallé. Mais a-t-il infecté d'autres fichiers ???
Non, c'est un ver simple, un petit programme en soi, il ne corrompt aucun fichier

Tu dis sûrement vrai !
Les jours prochains nous le diront.

En ce qui concerne la version de Windows, tu as raison mais je ne voulais mettre les liens que des versions les plus courantes. Les personnes qui ont NT chez eux sont certainement assez douées que pour aller chercher les patches eux-mêmes :wink:
[b]Détrompe-toi : des tas de grosses boîtes sont contaminées un peu partout :)
2 exemples : l'EDF : 2000 machines touchées le 11 - rezo interne paralysé
Une grosse banque au states, etc....
J'ai l'oreille pratiquement soudée au téléphone depuis deux jours pour dépanner mes clients infectés :evil:

Maitenant, ma belle-mère me demande de lui installer NAV 2003 qu'elle a acheté il y a peu. NAV bloquera-t-il ce virus ainsi que ses petits frères ???

Oui, n'importe quel AV à jour fera l'affaire, pas besoin spécialement de cette usine à gaz mais si elle a un OS NT, ça n'empêchera pas l'arrêt du service RPC et le reboot à chaque probe du port 135 :-D
Il faut impérativement appliquer le critical update ou a tout le moins activer un Firewall.

Pas oublier que des tas de variantes de ce worm vont voir le jour, sans compter de nouveaux exploitant la même faille et la latence entre l'émergence d'une variante ou d'un nouveau ver/virus et la MAJ des DB des antivirus....
Au moins 5 nouvelles variantes signalée depuis hier 17 heures ;(
Les plus réactifs les ont déjà inclus dans leur DB.
Avatar de l’utilisateur
RippeR
Vingt mille
Vingt mille
 
Message(s) : 21052
Inscription : 11 Nov 2001 02:00
Localisation : quelque part entre Montcuq et Cefes


Retour vers Windows

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit