Blaster

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Blaster est un ver informatique qui s'est répandu en août 2003 parmi les ordinateurs tournant avec les systèmes d'exploitation Windows XP et Windows 2000. Il est également connu sous les noms Lovsan , Lovesan ou encore Nachi.

Description[modifier | modifier le code]

Il fut aperçu pour la première fois dans la nature le 11 août. Sa vitesse de propagation augmenta exponentiellement jusqu'à atteindre un pic le 13 août. Seule l'efficacité des filtrages effectués par les fournisseurs d'accès à Internet ainsi que la publicité qu'a entraîné sa rapide propagation ont permis de ralentir celle-ci.

Le but de ce ver était de lancer une attaque en déni de service de type SYN flood le 15 août. La cible étant, comme souvent, Microsoft et plus particulièrement le serveur de mises à jour windowsupdate.com. Les dégâts furent toutefois négligeables car windowsupdate.com n'était qu'une redirection du site principal windowsupdate.microsoft.com. Microsoft n'a eu qu'à fermer le site ciblé par l'attaque et d'en attendre la fin.

Pour se propager, le ver utilisait une faille de type dépassement de tampon dans le service DCOM RPC, affectant le système d'exploitation dans son intégralité.

Le ver contenait deux messages cachés. Le premier déclarait « I just want to say LOVE YOU SAN » (d'où son nom de ver Lovesan). Le second plus polémique était directement adressé à Bill Gates le cofondateur de Microsoft et cible du ver. Il y était écrit :

« Billy Gates why do you make this possible ? Stop making money and fix your software!! »
ou en français : « Billy Gates, pourquoi rends-tu cela possible ? Arrête de faire de l'argent et corrige tes logiciels !! »

Le 29 août 2003, Jeffrey Lee Parson, un jeune homme de 18 ans, fut arrêté pour avoir créé la variante B du ver Blaster. Il plaida coupable et fut condamné à 18 mois de prison.

Effets collatéraux[modifier | modifier le code]

Bien que le ver ne puisse affecter que les systèmes Windows 2000 et Windows XP (32 bits), il provoque également une instabilité dans tout le reste de la gamme Windows, c'est-à-dire Windows NT, Windows XP (64 bit) et Windows Server 2003. L'instabilité est telle qu'il peut arriver au système de redémarrer après avoir affiché le message suivant :

« Windows must now restart because the Remote Procedure Call (RPC) Service terminated unexpectedly. »

Ce message d'erreur ainsi que le redémarrage de Windows peuvent être évités en changeant les propriétés du service RPC (Remote Procedure Call), fournissant ainsi suffisamment de temps à l'utilisateur pour supprimer le virus de son système et pour neutraliser la vulnérabilité.

Une autre méthode consiste à arrêter la séquence de redémarrage en agissant comme suit :

  • Aller dans "Démarrer" et cliquer sur le bouton "Exécuter…"
  • Taper "shutdown -a" et presser "Entrée"

Si la session était ouverte en mode administrateur, cela aura pour effet d'arrêter le redémarrage (l'argument « -a » signifiant « abort » ou « annuler » en français). Le redémarrage est représenté par une information sur un instant donné (une date et une heure) et non un délai restant, ainsi retarder l'heure de l'ordinateur de quelques jours permet de retarder le redémarrage à l'infini.

Enfin, les systèmes fonctionnant sous Distributed Computing Environment de Open Software Foundation peuvent également être impactés par le trafic généré par le ver, ce dernier provoquant un déni de service.

Liens externes[modifier | modifier le code]