Blaster
Blaster est un ver informatique qui s'est répandu en août 2003 parmi les ordinateurs tournant avec les systèmes d'exploitation Windows XP et Windows 2000. Il est également connu sous les noms Nachi, Lovsan et Lovesan car il contient ces deux chaînes de caractères au sein de son code (laissées délibérément par son auteur) :
Modèle:Citation étrangère (Modèle:Citation) Modèle:Citation étrangère (Modèle:Citation)
Blaster a exploité une vulnérabilité de type dépassement de tampon qui était présente dans le service DCOM RPC de Windows XP/2000. Il se propageait rapidement vers des adresses IP générées aléatoirement. Une fois infecté, l’ordinateur s’éteignait après 60 secondes. Le ver était programmé pour commencer une attaque (quatre jours après son apparition) de type SYN flood sur le site des mises à jour Windows (windowsupdate.com), ce qui a forcé Microsoft à rediriger le site vers un autre nom de domaine.
Description
Il fut aperçu pour la première fois dans la nature le Modèle:Date-. Sa vitesse de propagation augmenta exponentiellement jusqu'à atteindre un pic le Modèle:Date-. Seule l'efficacité des filtrages effectués par les fournisseurs d'accès à Internet ainsi que la publicité qu'a entraîné sa rapide propagation ont permis de ralentir celle-ci.
Le but de ce ver était de lancer une attaque en déni de service de type SYN flood le Modèle:Date-. La cible étant, comme souvent, Microsoft, et plus particulièrement le serveur de mises à jour windowsupdate.com. Les dégâts furent toutefois négligeables car windowsupdate.com n'était qu'une redirection du site principal windowsupdate.microsoft.com. Microsoft n'a eu qu'à fermer le site ciblé par l'attaque et à attendre la fin de celle-ci.
Pour se propager, le ver utilisait une faille de type dépassement de tampon dans le service DCOM RPC, affectant le système d'exploitation dans son intégralité.
Le ver contenait deux messages cachés. Le premier déclarait Modèle:Citation étrangère (d'où son nom de ver Lovesan). Le second plus polémique était directement adressé à Bill Gates le cofondateur de Microsoft et cible du ver. Il y était écrit :
- Modèle:Citation étrangère
- ou en français : Modèle:Citation
Le Modèle:Date-, Jeffrey Lee Parson, un jeune homme de 18 ans, fut arrêté pour avoir créé la variante B du ver Blaster. Il plaida coupable et fut condamné à 18 mois de prison.
Dommages estimés
Plus de 2 milliards de dollars, des centaines de milliers d’ordinateurs infectés.
Effets collatéraux
Bien que le ver ne puisse affecter que les systèmes Windows 2000 et Windows XP (32 bits), il provoque également une instabilité dans tout le reste de la gamme Windows, c'est-à-dire Windows NT, Windows XP (64 bit) et Windows Server 2003. L'instabilité est telle qu'il peut arriver au système de redémarrer après avoir affiché le message suivant : Modèle:Citation étrangère bloc Ce message d'erreur ainsi que le redémarrage de Windows peuvent être évités en changeant les propriétés du service RPC (Remote Procedure Call), fournissant ainsi suffisamment de temps à l'utilisateur pour supprimer le virus de son système et pour neutraliser la vulnérabilité.
Une autre méthode consiste à arrêter la séquence de redémarrage en agissant comme suit :
- Aller dans "Démarrer" et cliquer sur le bouton "Exécuter…"
- Taper "shutdown -a" et presser "Entrée"
Si la session était ouverte en mode administrateur, cela aura pour effet d'arrêter le redémarrage (l'argument « -a » signifiant « abort » ou « annuler » en français). Le redémarrage est représenté par une information sur un instant donné (une date et une heure) et non un délai restant, ainsi retarder l'heure de l'ordinateur de quelques jours permet de retarder le redémarrage à l'infini.
Enfin, les systèmes fonctionnant sous Distributed Computing Environment de Open Software Foundation peuvent également être impactés par le trafic généré par le ver, ce dernier provoquant un déni de service.
