Sujet Win2000/XP : vers dangereux, faire gaffe !

Citation :
Lovsan est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Lovsan l'infecte via le port 135 TCP en utilisant la faille RPC de Microsoft : il provoque le téléchargement d'un fichier MSBLAST.EXE dans le répertoire System32 de Windows via TFTP, puis son exécution à distance sans aucune intervention de l'utilisateur.

Une fois l'ordinateur infecté, le virus modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis scanne ensuite continuellement le réseau à la recherche de nouvelles machines vulnérables. Il est par ailleurs programmé pour lancer une attaque par déni de service contre le site WindowsUpdate à partir du 15/08/03, afin de tenter d'empêcher les retardataires de télécharger le correctif nécessaire à leur système.

L'exploitation de la faille RPC rend le système instable. Sous Windows XP, elle provoque l'apparition d'un message d'erreur ("Windows must now restart because the Remote Procedure Call (RPC) service terminated unexpectedly") et un redémarrage automatique de l'ordinateur après 60 secondes. L'utilisateur doit alors télécharger le correctif Windows au plus vite dès sa connexion à internet, ou utiliser pour ce faire un autre ordinateur et installer le correctif sur le premier sans le connecter au réseau.
Une propagation massive de Lovsan et d'éventuelles variantes pourrait causer des perturbations dans le fonctionnement d'Internet, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative.

Citation : Le patch de Microsoft avait déjà été publié depuis le 18 Juillet...

Citation : Le vers a été détécté rapidement car il est bugué

Citation : ...mais le vers existe depuis bien avant cette date.