Jeffrey Lee Parson

Cet article fait partie de la série Programmes malveillants

Virus

Cabir - MyDoom.A Tchernobyl - Yamanner

Ver

Bagle - Blaster Code Red - I love you Melissa - Morris NetSky - Nimda SQL Slammer - Santy Sasser - Sobig

Cheval de Troie

Back Orifice - SubSeven ByteVerify - XXXDial

Logiciel espion

CoolWebSearch - Cydoor Gator - New.net SaveNow

Composeur d’attaque

ToneLoc

Voir aussi

Logiciel malveillant Sécurité informatique Programmation

Blaster est un ver informatique qui s'est répandu en août 2003 parmi les ordinateurs tournant avec les systèmes d'exploitation Windows XP et Windows 2000. Il est également connu sous les noms Lovsan ou Lovesan. Le ver a provoqué une des plus grande panne électrique aux états unis et au Canada le 14 août 2003.

Description

Il fut aperçu pour la première fois dans la nature le 11 août. Sa vitesse de propagation augmenta exponentiellement jusqu'à atteindre un pic le 13 août. Seule l'efficacité des filtrages effectués par les fournisseurs d'accès à Internet ainsi que la publicité qu'a entraîné sa rapide propagation ont permis de ralentir celle-ci.

Le but de ce ver était de lancer une attaque en déni de service de type SYN flood le 15 août. La cible étant, comme souvent, Microsoft et plus particulièrement le serveur de mises à jour windowsupdate.com. Les dégâts furent toutefois négligeables car windowsupdate.com n'était qu'une redirection du site principal windowsupdate.microsoft.com. Microsoft n'a eu qu'à fermer le site ciblé par l'attaque et d'en attendre la fin.

Le ver utilisait une faille de type dépassement de tampon dans le service DCOM RPC, affectant le système d'exploitation dans son intégralité.

Le ver contenait deux messages cachés. Le premier déclarait « I just want to say LOVE YOU SAN » (d'où son nom de ver Lovesan). Le second plus polémique était directement adressé à Bill Gates le co-fondateur de Microsoft et cible du ver. Il y était écrit :

« Billy Gates why do you make this possible ? Stop making money and fix your software!! »

ou en français : « Billy Gates, pourquoi rends-tu cela possible ? Arrête de faire de l'argent et corrige tes logiciels !! »

Le 29 août 2003, Jeffrey Lee Parson, un jeune homme de 18 ans, fut arrêté pour avoir créé la variante B du ver Blaster. Il plaida coupable et fut condamné à 18 mois de prison.

Effets collatéraux

Bien que le ver ne puisse affecter que les systèmes Windows 2000 et Windows XP (32 bits), il provoque également une instabilité dans tout le reste de la gamme Windows, c'est-à-dire Windows NT, Windows XP (64 bit) et Windows Server 2003. L'instabilité est telle qu'il peut arriver au système de redémarrer après avoir affiché le message suivant :

« Windows must now restart because the Remote Procedure Call (RPC) Service terminated unexpectedly. »

Ce message d'erreur ainsi que le redémarage de Windows peuvent être évités en changeant les propriétés du service RPC (Remote Procedure Call), fournissant ainsi suffisamment de temps à l'utilisateur pour supprimer le virus de son système et pour boucher la vulnérabilité.

Une autre méthode consiste à arrêter la séquence de redémarrage en agissant comme suit :

• Aller dans "Démarrer" et cliquer sur le bouton "Exécuter…"
• Taper "shutdown -a" et presser "Entrée"

Si la session était ouverte en mode administrateur, cela aura pour effet d'arrêter le redémarrage (l'argument « -a » signifiant « abort » ou « annuler » en français ). Le redémarrage est représenté par une information sur un instant donné (une date et une heure) et non un délai restant, ainsi retarder l'heure de l'ordinateur de quelques jours permet de retarder le redémarrage à l'infini.

Enfin, les systèmes fonctionnant sous Distributed Computing Environment de Open Software Foundation peuvent également être impactés par le trafic généré par le ver, ce dernier provoquant un déni de service.

Liens externes

• Description de la menace et réponse de Symantec
• Description détaillée du ver Blaster et la procédure de désinfection
• Article de la FAQ de Commentcamarche.net concernant Blaster

• Portail de la sécurité informatique