Versions d'essai gratuites piur particulliers
 Versions d'essai gratuites pour enterprise

Windows à nouveau attaqué

12 août 2003
Actualités Virus

Le ver "Lovesan" attaque par une faille de Windows (DCOM RPC).

Kaspersky Labs, concepteur de logiciels de sécurité informatique, a annoncé le début de l'épidémie à grande échelle causée par le nouveau ver de réseau "Lovesan". En quelques heures seulement, il a réussi à se placer au sommet de la liste des programmes malfaisants les plus dangereux et à contaminer un grand nombre d'ordinateurs.

Le danger de "Lovesan" vient du fait qu'il utilise la faille, récemment découverte, du service DCOM RPC du système d'exploitation Windows. Ainsi, le ver est capable de contaminer les ordinateurs de façon imperceptible et de les utiliser pour, théoriquement, effectuer n'importe quelles opérations. Cette faille a été découverte, il y a environ un mois, ce qui fait que tous les utilisateurs n'ont pas eu le temps de mettre à jour leur version de Windows. "Lovesan" est déjà le deuxième programme malfaisant qui contamine les ordinateurs par cette faille : il y a une semaine à peine, le ver "Autorooter" se propageait sur le Web. Cependant, à la différence de son prédécesseur, "Lovesan" dispose d'un système de diffusion complètement opérationnel qui donne une telle envergure à cette épidémie. Kaspersky Labs avait pronostiqué le développement de tels événements et recommandé aux utilisateurs de prendre leurs précautions.

"La faiblesse des auteurs de virus envers la faille dans DCOM RPC s'explique par le battage effectué autour d'elle, deux semaines en arrière et par la présence d'exemples, prêts à la tenue d'une attaque, accessibles sur plusieurs sites Internet marginaux" a commenté Eugène Kaspersky, le chef des études antivirales de Kaspersky Labs.

Pour procéder à sa diffusion, "Lovesan" recherche sur Internet les ordinateurs vulnérables. Pour cela il teste le port 135 des victimes potentielles, pour voir si une attaque est possible. Dans le cas positif (si on n'a pas établi la mise à jour de Windows correspondante), le ver envoie à la victime le paquet de données qui vont permettre l'installation du fichier porteur de "Lovesan" : MSBLAST.EXE. Ce fichier est enregistré dans la section de démarrage automatique du registre de Windows et se lance donc automatiquement au démarrage du système d'exploitation.

La plus grande menace de ce ver se situe dans le fait qu'il génère un énorme volume de trafic supplémentaire et donc, qu'il engorge les canaux de transmission de données d'Internet. ' Cette fois, Internet est sauvé grâce au délai de 1.8 secondes programmé dans ' Lovesan ' entre les tentatives de contamination des autres ordinateurs. ' Slammer ' qui avait causé un énorme ralentissement d'Internet, au mois de janvier 2003, n'avait pas ce type de délai dans sa transmission. ' a poursuivi Eugène Kaspersky.

"Lovesan" dispose aussi d'une fonction d'attaque DDos dirigée contre le site Windowsupdate, site sur lequel on trouve la mise à jour concernant le service DCOM RPC. Cette fonction sera activée le 16 août : ce jour là, ce site sera bombardé par les paquets de données provenant des ordinateurs infectés, à la suite de quoi il peut devenir inaccessible.

Pour se prémunir contre cette menace, Kaspersky Labs recommande d'établir immédiatement la mise à jour de Windows en question, ainsi que de bloquer, avec l'aide d'un pare-feu personnel,les ports 135, 69 et 4444 de votre connexion, dans la mesure où ils ne sont pas utilisés par d'autres applications.

La protection contre "Lovesan" a été ajoutée à la base de données de Kaspersky Anti-Virus.
Une description plus détaillée de "Lovesan" est disponible (en anglais) dans "l'Encyclopédie Antivirale de Kaspersky Labs".

  PARTAGER