Nom générique: "Lovsan" connu par Norton Antivirus comme "W32.Blaster.Worm" Principal signe avant-coureur : 
- sur Windows NT ou 2000 plantage du programme système "svchost.exe"
- sur XP arrêt et redémarrage du système dans les 60 secondes ... ! 

Différents alias :
Win32.Poza (CA)
W32/Lovsan@mm (F-Secure)
Worm.Win32.Lovesan (Kaspersky)
W32/Lovsan.worm (Mc Afee)
W32/Blaster (Panda Software)
W32/Blaster-A (Sophos)
W32.Blaster.Worm (Symantec)
WORM_MSBLAST.A (Trend Micro)

LOVSAN apparu en août 2003 exploite une vulnérabilité critique du protocole RPC (Remote Procedure Call) de Windows 2000, XP, NT 4.0 et Server 2003. Cette vulnérabilité peut permettre à une personne malveillante d'exécuter le code de son choix ou de prendre le contrôle à distance de l'ordinateur de sa victime en lançant une attaque via le réseau (port 135) à l'insu de l'utilisateur. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Lovsan l'infecte via le port 135 TCP puis scanne le réseau à la recherche de nouvelles machines vulnérables.

Il faudra faire très vite TROIS choses :

1. mettre à jour votre antivirus (qui ne sera réellement efficace qu'après l'item 2)
2. mettre à jour le système d'exploitation au moyen des Service Packs Microsoft 
3. exécuter un programme de détection/suppression du virus.

Description technique :  

Type       : worm (ver)
Taille       : 6176 octets
Nuisance : moyenne
Diffusion : très grande.

Il provoque le téléchargement d'un fichier MSBLAST.EXE dans le répertoire System32 de Windows via TFTP, puis son exécution à distance sans aucune intervention de l'utilisateur. Une fois l'ordinateur infecté, le virus modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis scanne ensuite continuellement le réseau à la recherche de nouvelles machines vulnérables.

Dommages engendrés : 

L'exploitation de la faille RPC par le virus rend souvent le système instable. Sous Windows 2000, cela se traduit par un plantage de l'ordinateur et/ou un message d'erreur impliquant le processus svchost.exe. Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes.

Selon le site http://www.secuser.com/alertes/2003/lovsan.htm  "Une propagation massive de Lovsan et d'éventuelles variantes pourrait causer des perturbations dans le fonctionnement d'Internet, en rendant notamment difficile voire impossible l'accès à certains sites web. Les ordinateurs sous Windows NT et 2003 Server ne peuvent pas être infectés à distance par le virus, mais ils peuvent "planter" au moment de l'exploitation de la faille RPC par Blaster et le virus peut être exécuté manuellement sur ces plateformes. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille RPC exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation".

Note IMPORTANTE pour les utilisateurs de Windows Millenium et XP Editions  

Pour que la désinfection soit complète, les utilisateurs de Windows Me ou XP doivent désactiver la restauration du système avant de scanner leur disque dur.

Ce qu'il faut faire : Se rendre sur le site http://www.secuser.com/communiques/2003/030717_winrpc.htm pour choisir le correctif à charger suivant votre système d'exploitation. Pour mettre en oeuvre ce correctif il vous faudra peut-être charger un Service Pack de mise à jour de votre système d'exploitation. C'est assez facile : se laisser guider par le lien  WindowsUpdate . Il m'a fallu personnellement charger le Service Pack niveau 4 de Windows2000 pour pouvoir appliquer le correctif. Exécuter le programme FixBlast.exe (à télécharger en cliquant sur le dessin ci-contre)

FixBlast.zip

Si vous avez été infectés nous vous conseillons d'utiliser une procédure comme suit :

• récupérez  le fichier antivirus ci-dessus sur votre disque et notez bien emplacement

• éteignez votre PC com-plè-te-ment et ATTENDEZ 30 secondes 

• redémarrez votre PC en "Safe mode" Tous les PC sous Windows versions 32 bits (excepté NT) peuvent être re-démarrés dans ce mode. Pour plus d'informations suivez ce lien "How to start the computer in Safe Mode." 

• exécutez le code antivirus à partir de son emplacement et re-démarrez normalement.

• à l'aide de votre antivirus procédez bien sûr à un contrôle au moyen d'un "scan" complet de votre disque.

Suggestion  :

... n'accédez pas au net sans disposer d'un antivirus à-jour