-->
http://www.symantec.fr/techsupp/ssi/vir ... _worm.html
W32.Blaster.Worm
Découvert le : 11/08/2003
Dernière mise à jour le : 13/08/2003
En raison du nombre de virus soumis par des clients, et en se basant sur les informations du service Deepsight Threat Management System de Symantec, Symantec Security Response a réévalué cette menace qui passe du Niveau 3 au Niveau 4.
W32.Blaster.Worm est un ver qui exploitera la vulnérabilité DCOM RPC (décrite dans le Bulletin de sécurité de Microsoft MS03-026 en utilisant le port TCP 135. Ce ver tentera de télécharger le fichier msblast.exe dans le répertoire %WinDir%\system32 puis essaiera de l'exécuter.
Bloquez l'accès au port TCP 4444 au niveau du firewall, puis bloquez les ports suivants, s'il n'utilisent pas les applications énumérées :
Port TCP 135, "DCOM RPC"
Port UDP 69, "TFTP"
Le ver tente également de réaliser une attaque de type déni de service (DoS) sur Windows Update. Cette attaque vise à vous empêcher d'appliquer un correctif sur votre ordinateur afin de vous protéger contre la vulnérabilité DCOM RPC.
Cliquez ici pour en savoir plus sur la vulnérabilité que ce ver exploite et pour connaître les produits Symantec qui peuvent vous aider à limiter les risques causés par cette vulnérabilité.
REMARQUE : Cette menace sera détectée par les définitions de virus avec :
Defs Version: 50811s
Sequence Number: 24254
Extended Version: 8/11/2003, rev. 19
Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Blaster.Worm.
Egalement connu comme : W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda]
Type: Worm
Etendue de l’infection: 6 176 octets
Systèmes affectés: Windows 2000, Windows XP
Systèmes non affectés: Linux, Macintosh, OS/2, UNIX
Références CVE : CAN-2003-0352
