Apparement c'est un sujet déjà bien couvert sur le net
J'ai trouvé ceci de la par de Symantec, même si je n'aime pas leur produit ce détail technique est bien fais pour ma part :
En raison du nombre décroissant de virus soumis, Symantec Security Response a réévalué cette menace qui passe du Niveau 4 au Niveau 3 à partir du 8 octobre 2003.
W32.Blaster.Worm est un ver qui exploite la vulnérabilité DCOM RPC (décrite dans le Bulletin de sécurité de Microsoft MS03-026 en utilisant le port TCP 135. Le ver ne vise que les machines exécutant Windows 2000 et Windows XP. Les machines Windows NT et Windows 2003 Server sont vulnérables à l'exploitation mentionnée plus haut (si le correctif n'a pas été appliqué aux machines), cependant, le ver n'est pas codé pour se dupliquer sur ces systèmes. Ce ver tente de télécharger le fichier msblast.exe dans le répertoire %WinDir%\system32 puis essaie de l'exécuter. Ce ver n'a pas de fonctionnalité d'envoi en masse de courrier électronique.
Des informations complémentaires, ainsi que l'adresse d'un site sur lequel vous pouvez télécharger le correctif Microsoft, sont disponibles dans l'article de Microsoft intitulé What You Should Know About the Blaster Worm and Its Variants.
Nous conseillons aux utilisateurs de bloquer l'accès au port TCP 4444 au niveau du firewall, puis de bloquer les ports suivants, s'ils n'utilisent pas les applications énumérées :
* Port TCP 135, "DCOM RPC"
* Port UDP 69, "TFTP"
Le ver tente également de réaliser une attaque de type déni de service (DoS) sur Windows Update. Cette attaque vise à vous empêcher d'appliquer un correctif sur votre ordinateur afin de vous protéger contre la vulnérabilité DCOM RPC.
Cliquez ici pour en savoir plus sur la vulnérabilité que ce ver exploite et pour connaître les produits Symantec qui peuvent vous aider à limiter les risques causés par cette vulnérabilité.
Remarque : Cette menace sera détectée par les définitions de virus avec :
* Defs Version: 50811s
* Sequence Number: 24254
* Extended Version: 8/11/2003, rev. 19
Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Blaster.Worm.
Webcast W32.Blaster.Worm
Ce webcast détaille les stratégies destinées à limiter et à remédier à l'attaque de déni de service et offre également une description complète de l'attaque.
http://enterprisesecurity.symantec.com/ ... bcastid=63
Security Response propose des informations complémentaires destinées aux administrateurs réseau, afin de les aider à détecter sur leur réseau les machines infectées par W32.Blaster.Worm. Pour en savoir plus, veuillez consulter le document intitulé Detecting traffic due to RPC worms.
Egalement appelé : W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
Type : Ver
Etendue de l’infection : 6 176 octets
Systèmes affectés : Windows 2000, Windows NT, Windows Server 2003, Windows XP
Systèmes non affectés : Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
Références CVE : CAN-2003-0352
Dommages
* Elément déclencheur : Si la date est le 16 du mois et ce jusqu'à la fin de ce mois si antérieur à août, et chaque jour à partir du 16 août jusqu'au 31 décembre.
* Charge utile : Réalise une attaque de type déni de service sur windowsupdate.com
o Provoque l’instabilité du système : Peut bloquer les machines.
o Compromet les paramètres de sécurité : Ouvre un shell distant cmd.exe caché.
Distribution
* Ports : TCP 135, TCP 4444, UDP 69
* Cible de l’infection : Machines exécutant des services DCOM RPC vulnérables.
détails techniques
Lorsque W32.Blaster.Worm s'exécute, il agit ainsi :
Il vérifie si un ordinateur est déjà infecté et si le ver s'exécute. Si c'est le cas, le ver n'infectera pas l'ordinateur une seconde fois.
Il ajoute la valeur :
"windows auto update"="msblast.exe"
à la clé de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
Il génère une adresse IP et tente d'infecter l'ordinateur possédant cette adresse. L'adresse IP est générée à partir des algorithmes suivants :
Dans 40% des cas, l'adresse IP générée prend la forme A.B.C.0, où A et B correspondent aux deux premières parties de l'adresse IP de l'ordinateur infecté.
C est également calculé en fonction de la troisième partie de l'adresse IP du système infecté ; cependant, dans 40% des cas, le ver vérifie si C est supérieur à 20. Si c'est le cas, une valeur aléatoire inférieure à 20 est soustraite à C. Une fois l'adresse IP calculée, le ver tentera de trouver et d'exploiter un ordinateur avec une adresse IP A.B.C.0.
Le ver incrémentera alors de 1 la partie 0 de l'adresse IP, et essaiera de trouver et d'exploiter d'autres ordinateurs en se basant sur la nouvelle adresse IP, et ce jusqu'à atteindre 254.
Avec une probabilité de 60%, l'adresse IP générée est entièrement aléatoire.
Il envoie des données sur le port TCP 135 pouvant exploiter la vulnérabilité DCOM RPC. Il envoie des données sur le port TCP 135 pouvant exploiter la vulnérabilité DCOM RPC. Le ver envoie un seul type de données sur deux pour exploiter soit Windows XP, soit Windows 2000.
Dans 80% des cas, il enverra des données pour Windows XP ; et dans 20% des cas, des données pour Windows 2000.