Comment se débarrasser du virus W32/Blaster

En novembre 2003, Blaster continue encore à sevir. Nous vous présentons dans cet article le principe de fonctionnement du ver Blaster ainsi qu’une procédure qui fonctionne pour s’en débarrasser.

Comment ai-je été infecté ?

Le virus blaster fait un scan réseau à la recherche d’ordinateurs vulnerables à la faille MICROSOFT DCOM RPC. Remote Procedure Call (RPC) est un protocole utilisé par Windows, qui fournit un mécanisme de communication inter-processus permettant à un programme tournant sur un système d’exécuter du code sur un système distant.La faille concernant ce service résulte d’un traitement défectueux des messages malformés, et affectent l’interface DCOM à l’intérieur du service RPCSS, qui gère les requêtes d’activation d’objets DCOM envoyées d’une machine à une autre. Le virus exploite cette faille et utilise alors le programme tftp.exe pour se répandre sur les autres ordinateurs en se copiant dans les dossiers systèmes et en s’inscrivant dans la base de registre.

Comment fonctionne Blaster ?

Etape 1 : Contamination du poste de travail

Lorsqu’il se répand, Blaster va ajouter les clés suivantes au niveau de la base de registre :

Dans HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  • La variante A de Blaster va ajouter :”windows auto update” = MSBLAST.EXE
  • La variante B de Blaster va ajouter :”windows auto update” = PENIS32.EXE
  • La variante C de Blaster va ajouter :”Microsoft Inet xp..” = TEEKIDS.EXE
  • La variante E de Blaster va ajouter :”Nonton Antivirus=mspatch.exe”
  • La variante F de Blaster va ajouter :”Windows Automation” = “mslaugh.exe”
  • La variante G de Blaster va ajouter :”www.hidro.4t.com”=”enbiei.exe”

Et oui, il y’a hélas pour tous les administrateurs des variantes de Blaster…Maintenant qu’il est installé dans la base de registre et qu’il est positionné au niveau de la clé Run, il pourra se lancer à chaque démarrage.
Pour information voici les tailles des fichiers :

  • PENIS32.EXE : 7,2 Ko
  • TEEKIDS.EXE : 5,3 Ko
  • MSPATCH.EXE : 11,7 Ko
  • MSLAUGH.EXE : 6,1 Ko
  • ENBIEI.EXE : 11,8 Ko

Etape 2 : La propagation

Blaster va se propager à travers le réseau via le protocole TCP/IP. Il va utiliser l’algorithme suivant : 1er cas (probabilité de 0,4)Il va prendre l’adresse IP du poste : X.Y.Z.T On positionne T=0Si Z est supérieur à 20 alors l’on retire une valeur aléatoire comprise entre 0 et 20 Ensuite Blaster va incrémenter T et essayer de se connecter à tous les ordinateurs du réseau, puis il va incrémenter Z.2ème cas (probabilité de 0,6) Blaster va calculer des adresses IP aléatoires X, Y et Z seront des valeurs aléatoires (comprises entre 0 et 255), il pourra ensuite incrémenter T pour atteindre les postes des réseaux.

Etape 3 : L’introduction de Blaster

Blaster va essayer de s’introduire sur toutes les adresses IP qu’il aura calculé. Pour cela, il va essayer d’envoyer des données sur le port 135 afin d’exploiter la vulnérabilité DCOM RPC. Si cela fonctionne, il va créer sur le poste distant un processus shell distant (cmd.exe) qui va écouter sur le port 4444.Il va lui même, à partir du poste qui est à la base de la contamination, écouter sur le port 69 en UDP. Dès qu’il reçoit une requête, il va retourner le fichier msblast.exe. Il va alors demander à l’ordinateur distant qu’il souhaite infecter de se connecter sur lui et de télécharger msblast.exe via tftp.

Comment éliminer Blaster sur mon ordinateur ?

Il est impératif d’installer le patch Microsoft MS03-026, pour cela il est impératif d’aller sur le site microsoft windows update (https://windowsupdate.microsoft.com/).Nous vous conseillons d’installer tous les patches recommandés par le site windowsupdate.

En tout cas, voici le lien direct vers

Sous Windows XP, je vous recommande de désactiver la restauration système avant de continuer.
Pour ce faire, faites un clic droit sur Poste de Travail puis propriétés, allez ensuite sur l’onglet Restauration système puis décochez la case “Désactiver la Restauration du système”
Blaster fonctionne très certainement sur votre ordinateur, il faut arrêter le processus avant d’aller sur le site Windows Update, pour ce faire, faites un CTRL – ALT- SUPPR puis cherchez un process nommé msblast.exe puis arrêtez ce processus.

Arrêtez aussi des processus qui se nommeraient PENIS32.EXE, TEEKIDS.EXE, MSPATCH.EXE, MSLAUGH.EXE, ENBIEI.EXE

Faites ensuite une recherche sur votre système de fichier pour trouver un fichier msblast.exe qui se trouverait dans les dossiers système et supprimez le. Procédez de la même façon pour les fichiers cités précédemment. Surtout vider la poubelle après l’opération.

Si vous êtes sous windows XP, Windows NT ou Windows 2000, alors il faudra éditer votre base de registre pour le supprimer:

Lancez un Regedit (Menu Démarrer – Exécuter – Regedit) Positionnez vous au niveau de l’entrée HKLM\Software\Microsoft\Windows\CurrentVersion\RunVous devriez trouver un lien Windows auto update = msblast.exe

Supprimez ce lien puis fermez l’éditeur. Le premier problème que vous pourriez rencontrer c’est que le PC redémarre en permanence en vous affichant un message du type “Windows doit redémarrer à cause d’un appel RPC”. Vous pouvez et devez bloquer ce redémarrage pour que vous puissiez mettre à jour votre ordinateur. Pour ce faire, cliquez sur le menu démarrer puis sur exécuter et tapez :shutdown -a Ceci va permettre d’arrêter le processus de redémarrage, du moins pour quelques minutes… Pour éviter le redémarrage intempestif de votre ordinateur, suivez la procédure suivante :

  • Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter apparaît.
  • Saisissez SERVICES.MSC dans la ligne Ouvrir et cliquez sur OK. La fenêtre Services s’ouvre alors.
  • Dans la liste des services, sélectionnez Appel de procédure distante (RPC).
  • Double-cliquez alors sur Appel de procédure distante (RPC).
  • Cliquez ensuite sur l’onglet Récupération.
  • Pour les options Première défaillance, Deuxième défaillance et Défaillances suivantes, choisissez Redémarrer le service.
  • Cliquez enfin sur Appliquer, puis sur OK.

Maintenant, il se peut que votre ordinateur soit encore infecté par une autre variante de Blaster ou par un Trojan. L’un des effet que l’on rencontre parfois est le suivant :

Vous lancez regedit et il se ferme automatiquement, idem pour l’antivirus etc.

Dans ce cas, il faut impérativement redémarrer votre ordinateur en mode sans échec puis lancer votre antivirus qui doit être à jour.

En mode sans échec, vous pouvez alors lancer regedit (menu démarrer, exécuter puis regedit),

Positionnez vous au niveau de l’entrée HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Vous devriez trouver un lien à droite vers “Service Controller” qui lance un process nommé CSRRS.EXE, il s’agit d’un trojan, supprimez le lien

Supprimez aussi le fichier qui se trouve dans c:\windows\system32\CSRRS.EXE (a ne pas confondre avec CSRSS.EXE)

Comment éliminer Blaster sur mon réseau ?

Les antivirus sur tous vos postes sont obligatoires, ils doivent aussi être mis à jour. Chaque poste sur le réseau doit avoir au moins le patch MS03-026 installé. Il est fortement recommandé d’installer tous les patches critiques disponibles sur le site windowsupdate. Pour simplifier vos mise à jour dans votre réseau, vous pouvez mettre en place un serveur SUS (cf /articles/win/sus/)Supprimez tftp.exe ou au moins renommez le si vous ne l’utilisez pas, cela réduira la contamination sur le réseau. Bloquez le traffic réseau sur votre firewall Bloquez le traffic udp en direction du port 69 , il est utilisé par le serveur TFTP pour répandre blaster

Bloquez le traffic tcp sur le port 135, il est utilisé par le processus RPC

Bloquez le traffic tcp sur le port 4444, il est utilisé par le ver pour se connecter

Ce que je conseille à tous les administrateurs réseau de faire est de télécharger un petit outil Microsoft qui permet de détecter les machines qui ne sont pas patchées correctement contre le ver Blaster, il ne nomme KB824146Scan.

Vous pouvez le télécharger ici : https://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=fr

Dès que vous l’avez installé, lancez le en spécifiant une plage d’adresses IP :

Par exemple, je veux détecter les machines “dangereuses” sur mon réseau 192.168.1.x :

KB824146Scan 192.169.1.1-192.168.1.254

Vous aurez ensuite les informations suivantes :

Statistics: Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) …. 10 Patched with only KB823980 (MS03-026) ………………………. 4 Unpatched ……………………………………………….. 0 TOTAL HOSTS SCANNED ………………………………………. 14 DCOM Disabled ……………………………………………. 0 Needs Investigation ………………………………………. 0 Connection refused ……………………………………….. 6 Host unreachable …………………………………………. 230 Other Errors …………………………………………….. 0 TOTAL HOSTS SKIPPED ………………………………………. TOTAL ADDRESSES SCANNED …………………………………… 250