La chasse aux virus est ouverte...

Afin de prévenir de nouveaux problèmes sur vos ordinateurs Windows XP, voici la procédure pour corriger 2 failles du protocole RPC ( MS03-039 et MS03-026) et d'éviter le pire avec l'arrivée de nouveaux virus similaires.
Cet article montre une procédure pour régler les 2 derniers problèmes :
Pour celles et ceux qui n'ont pas pu éradiquer BLASTER / LOVSAN, télécharger et appliquer le patch KB823980 ci-dessous.

1. Pour éradiquer le virus Blaster / Lovsan : changer la date du système avec une inférieure au 10/08/2003. Cela après le démarrage de la machine pour éviter l'arrêt "AUTORITE NT / SYSTEME" ou le cas du redémarrage intempestif. Vous pouvez également exécuter la commande Shutdown -a pour ne pas avoir à changer la date (au choix) et procéder aux traitements sans redémarrer.
2. Activer le pare-feu internet.
3. Télécharger ces 1 ou 2 patches (au bas du message).
4. Installer le patch correctif Microsoft : KB824146 - MS03-039 ( Ceux qui n'ont rien fait pour Blaster / Lovsan : en plus, installer le patch KB823980 - MS03-026. Ne pas re-démarrer la machine tout de suite.
5. Retirer Blaster / Lovsan :
   1. Avec Norton         ==> http://securityresponse.symantec.com/avcenter/FixBlast.exe
   2. Avec McAfee        ==> http://vil.nai.com/vil/averttools.asp#stinger
   3. Avec Trend Micro ==> http://www.trendmicro.com/ftp/products/tsc/tsc.zip
   4. Avec F-Secure      ==> ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
   5. Avec Securitoo      ==> http://www.securitoo.com/top10/patches/patch_lovsan.exe
6. Mettre à jour l'anti-virus avec la dernière base de signature (comment faire avec McAfee)
7. Lancer une recherche de virus sur le poste de travail et sur tous les fichiers quels qu'ils soient en vue d'une désinfection. Comment désinfecter C:\Restore...
8. Eventuellement, vérifier le registre et retirer :

Effacer la chaîne "windows auto update=msblast.exe" ou "windows auto update=teekids.exe" ou encore "windows auto update=penis32.exe"

depuis la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

9. Remettre la date du système à jour si vous l'avez modifiée.
10. Redémarrer l'ordinateur pour que les changements soient pris en compte.

Ces 2 corrections ne règlent pas le problème de futures infections. Vous devez constamment mettre votre système d'exploitation à jour.
Vous avez fait l'acquisition d'un système d'exploitation pour lequel son éditeur livre des corrections régulières. Ne vous en privez pas, surtout si vous possédez une liaison haut débit !

                       
KB824146                        KB823980

Bien que les serveurs FREE soient nickels côté virus, 
passez tout de même ces fichiers à l'anti-virus pendant le téléchargement...  ;-)

RPC est un protocole utilisé par le système d’exploitation Windows. Il offre un mécanisme de communication inter-processus qui permet à un programme s’exécutant sur un ordinateur d'accéder de manière transparente à des services installés sur un autre ordinateur. Ce protocole est lui-même dérivé du protocole RPC OSF (Open Software Foundation), mais enrichi de quelques extensions spécifiques à Microsoft.

Trois vulnérabilités ont été identifiées dans la partie du service RPCSS qui a trait aux messages RPC pour l’activation de DCOM : deux d’entre elles pourraient permettre l’exécution d’un code arbitraire, la troisième provoquer un déni de service. Ces défauts sont dus à une mauvaise prise en charge des messages mal formés. Ces vulnérabilités spécifiques affectent l’interface DCOM (Distributed Component Object Model) au sein du service RPCSS. Cette interface traite les requêtes d’activation d’objets DCOM envoyées d’une machine vers une autre.

Un attaquant qui parviendrait à exploiter ces vulnérabilités serait en mesure d’exécuter un code sur un système affecté, avec des privilèges Système, ou de provoquer l’échec du service RPCSS. L’attaquant pourrait alors entreprendre sur ce système n’importe quelle action, notamment installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dotés de tous les privilèges.

Afin d’exploiter ces vulnérabilités, un attaquant pourrait créer un programme envoyant un message RPC mal formé à un système vulnérable en ciblant le Service RPCSS.

Enfin, je tiens à vous rappeler que Microsoft ne livre JAMAIS de correctifs
via le courrier électronique et qu'il s'agit en fait de logiciels dangereux
destinés à endommager vos fichiers : http://go.microsoft.com/?linkid=261036

Un conseil, mettez  à jour !

en mode Administrateur

Sober.F                                  --> Mettre à jour l'anti-virus ainsi qu'Internet Explorer
Se propage par email et se présente sous la forme d'un message au titre et corps de noms aléatoires. Le fichier joint a une extension en .EXE ou .ZIP (42 Ko), et tente de se faire passer notamment pour un message d'erreur ou d'un ami. Ce fichier exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque dur, puis tente de télécharger et d'exécuter un fichier situé sur un serveur distant.  Tous systèmes Windows concernés.

Netsky.Q                                --> Mettre à jour l'anti-virus ainsi qu'Internet Explorer
Se propage par email et se présente sous la forme d'un message dont le titre et le corps sont  aléatoires, accompagné d'un fichier joint dont l'extension est .SCR, .EXE, .PIF ou .ZIP, se faisant passer pour un message d'erreur en réponse à un email erroné ou endommagé. La simple prévisualisation du message provoque l'exécution du fichier joint. Tous systèmes Windows concernés.

Virus Netsky.P                       -- > Mettre à jour l'anti-virus
Se propage par email et via les dossiers partagés; se présente sous la forme d'un message au titre et corps aléatoires, accompagné d'un fichier joint avec les extensions .SCR, .EXE, .PIF ou .ZIP (29 Ko) et se fait passer pour un message d'erreur ou un message sécurisé. L'ouverture ou la prévisualisation du message provoque l'exécution du fichier joint. Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers, puis se copie dans les dossiers partagés. Tous systèmes Windows concernés.

Virus Bagle.Q                         -- > Mettre à jour l'anti-virus et Windows
Se propage par email et les dossiers partagés; se présente sous la forme d'un message au titre aléatoire, sans fichier joint. Une simple ouverture ou prévisualisation du message provoque l'exécution du script inclut qui télécharge et exécute le virus à l'insu de l'utilisateur depuis un serveur distant. Bagle.Q installe un serveur web sur l'ordinateur infecté, envoie un message piégé aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers, tente de désactiver un grand nombre de logiciels de sécurité, installe une porte dérobée, infecte les fichiers .EXE du disque puis se copie dans les dossiers partagés. Tous systèmes Windows concernés.

Virus Bagle.N                          -- > Mettre à jour l'anti-virus
Se propage par email et via les dossiers partagés. Titre et corps du message aléatoires, fichier joint avec extension .EXE, .PIF,.ZIP ou .RAR (21 à 22 Ko) éventuellement une image au format .BMP, .GIF ou .JPG. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows; tente de désactiver votre antivirus, votre pare-feux personnel et autres logiciels de sécurité. Installe une porte dérobée, puis essaie de se propager via KaZaA et les dossiers mis en partage. Tous systèmes Windows concernés.

Sober.D                                   -- > Mettre à jour l'anti-virus
Se propage par email. Prétendument envoyé par Microsoft, dont le titre est "Microsoft Alert: Please Read!" ou "[Microsoft] MS04-008 - MS04-007..." La pièce jointe comporte une extension en .EXE ou .ZIP (33 Ko), tentant de se faire passer pour un correctif de sécurité à installer pour se protéger contre le virus Mydoom.
C'est en fait une pure... guerre de gangs ! Si, si... Tous systèmes Windows concernés.

Virus Bagle.E, F et J              -- > Mettre à jour l'anti-virus pour ces 3 formes de virus
E. Accompagné d'un fichier joint (17 Ko) comportant une extension en .ZIP. Idem Bagle.C. Tous systèmes Windows concernés.
F. Message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .EXE, .SCR ou .ZIP (22 à 23 Ko) tentant de se faire passer pour des photos de jeunes
femmes. ;-) Oula, va y'avoir du dégât avec ça !! Tous systèmes Windows concernés.
J. Message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .EXE, .PIF ou .ZIP (12 à 13 Ko). Idem Bagle.F Tous systèmes Windows concernés.

Virus Netsky.D                     -- > Mettre à jour l'anti-virus
Se propage par email et se présente sous la forme d'un message dont le titre et le corps sont aléatoires, avec un fichier joint dont l'extension est .PIF (17 Ko). Idem Netsky.B. Tous systèmes Windows concernés.

Virus Bagle.C                       -- > Mettre à jour l'anti-virus
Se propage par email. Fichier joint (16 Ko) dont l'extension est .ZIP. S'il est exécuté, le virus s'envoie aux contacts présents dans le carnet d'adresses, tente de désactiver certains antivirus et pare-feux personnels, puis installe une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté. Tous systèmes Windows concernés.

Virus Netsky.C                       -- > Mettre à jour l'anti-virus
Se propage par email et via les dossiers partagés. Fichier joint (25 Ko) dont l'extension est .COM, .EXE, .PIF, .SCR ou .ZIP. S'il est exécuté, le virus s'envoie aux contacts présents dans le carnet d'adresses, puis peut tenter de se propager via KaZaA et les dossiers partagés. Tous systèmes Windows concernés.

Virus Mydoom.F                     -- > Mettre à jour l'anti-virus
titre de message aléatoire, avec un fichier joint (34 Ko) dont l'extension est .BAT, .CMD, .COM, .EXE, .PIF, .SCR ou .ZIP. L'exécution d'un de ces fichiers envoie le virus aux adresses figurant dans le carnet d'adresses, installe une porte dérobée autorisant le téléchargement et l'exécution de fichiers à l'insu de l'utilisateur, tente de désactiver certains antivirus et de supprimer certains fichiers en .AVI, .BMP, .DOC, .JPG, .MDB, .SAV et .XLS, puis selon la date lance une attaque contre les sites Microsoft.com et Riaa.com. Tous systèmes Windows concernés.

Virus Netsky.B                     -- > Mettre à jour l'anti-virus
Se propage par email. Incite le destinataire, en langue anglaise généralement, à ouvrir la pièce jointe. S'il le fait, le programme de ce ver utilise votre carnet d'adresse pour se propager à l'aide de vos contacts. Tous systèmes Windows concernés.

Virus Bagle.B                       -- > Mettre à jour l'anti-virus
Se propage par email. Se présente sous la forme d'un message dont le titre est "ID [lettres aléatoires]... thanks" et qui comporte un fichier joint dont le nom est aléatoire, une extension .EXE. Son exécution l'expédie aux adresses e-mail présentes dans le carnet d'adresses puis, installe une porte dérobée permettant de prendre le contrôle à distance de l'ordinateur infecté. Tous systèmes Windows concernés.

Virus Welchia.B                   -- > Mettre à jour l'OS via Windows Update
Cible les ordinateurs vulnérables à la faille RPC. Une fois la machine infectée, le ver scanne le réseau à la recherche d'autres machines vulnérables. Nom du fichier infectant :SVCHOT.EXE. A ne pas confondre avec le fichier système SVCHOST.EXE. Systèmes concernés : Windows NT, 2000, XP et 2003.

Doomjuice                            -- > Mettre à jour l'anti-virus
cible uniquement les ordinateurs infectés par le virus Mydoom.A/B. Programmé pour déposer le code source du virus Mydoom.A sur chaque ordinateur infecté et lancer une attaque contre le
site Microsoft.com. Ne représente pas une menace pour les ordinateurs sains. Tous systèmes Windows concernés.

Novarg/Mydoom/Mimail-R     -- > Mettre à jour l'anti-virus
Norvarg A et B sont des virus qui se propagent par email et KaZaA. Titre aléatoire, et pièce jointe contenant un fichier de 22.258 octets : .EXE, .PIF, .SCR ou .ZIP . S'il est exécuté, il installe une porte dérobée et se copie sous divers noms dans le répertoire partagé via le logiciel KaZaA. Tous systèmes Windows concernés.

Dumaru.Y                            -- > Mettre à jour l'anti-virus
est un virus qui se propage par email. Le titre du message "Important information for you.
Read it immediately !", comporte un fichier joint myphoto.zip. Ne pas exécuter la pièce jointe. Tous systèmes Windows concernés.

Bagle.A                                 -- > Mettre à jour l'anti-virus
est un virus qui se propage par email. Le titre du message "Hi", comporte un fichier joint dont l'extension est .EXE et l'icône celle de la calculatrice de Windows.
Ne pas exécuter la pièce jointe. Tous systèmes Windows concernés.

Sober.C                              -- > Mettre à jour l'anti-virus
est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre est aléatoire et d'un fichier joint dont l'extension est .BAT, .COM, .EXE, .PIF ou .SCR. Tous systèmes Windows concernés.

Virus Gaobot                   -- > Mettre à jour l'OS via Windows Update
Cible les ordinateurs vulnérables à la faille RPC. Le agit par le port 135, 445 ou 80 puis scanne le réseau à la recherche de nouvelles machines vulnérables. Tous systèmes Windows concernés.

Mimail.I                     --> Mettre à jour l'anti-virus ainsi qu'Internet Explorer
Il se présente sous la forme d'un message dont le titre est "YOUR PAYPAL.COM ACCOUNT EXPIRES", accompagné d'un fichier joint www.paypal.com.scr ou paypal.asp.scr, en se faisant passer pour un message de la société de paiement en ligne Paypal. Attention à vos informations bancaire...

Mimail.E                   --> Mettre à jour l'anti-virus
est un virus qui se propage par email. Pièces jointes READNOW.ZIP contenant un fichier .SCR

Klez.H (= Klez.G, Klez.I)  --> Mettre à jour anti-virus ainsi qu'Internet Explorer
est un virus qui se propage par email, par ICQ et via les dossiers partagés. Le site Windows Update pour mettre à jour Internet Explorer, ou sinon le télécharger le correctif français ici (Security Bulletin MS01-020)

Swen.A                    --> Mettre à jour anti-virusainsi qu'Internet Explorer
est un virus qui se propage par email. Se fait passer pour correctif Microsoft.

Sober.A                   --> Mettre à jour l'anti-virus
est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre est aléatoire et d'un fichier joint dont l'extension est .BAT, .COM, .EXE, .PIF ou .SCR.

Mimail.C             --> Mettre à jour l'anti-virus
est un virus qui se propage par email.

Bugbear.A et B   --> Mettre à jour anti-virus ainsi qu'Internet Explorer
est un virus qui se propage par email.