Passer au contenu

Lovsan, le ver qui nous a pourri la vie

Windows XP a fait l’objet cet été d’une attaque massive du ver Lovsan. Découvrez comment il agit et comment s’en défaire. Et restez prudents : d’autres virus sont annoncés !

Mi-août, vous avez été très nombreux à nous informer de l’apparition d’un message désagréable et incompréhensible, lorsque vous vous êtes connectés à Internet, comme en témoignent ces deux courriels :Quand je surfe sur Internet, au bout de quelques instants, une fenêtre carrée apparaît avec un compte à rebours me laissant 59 secondes pour fermer toutes les applications en cours avant extinction du système. A la fin de ce délai, mon PC redémarre.
Christophe Berthion
Cette mauvaise surprise, qui peut encore frapper ceux dont les vacances ne sont pas terminées, est due à un virus de l’espèce des vers, surnommé Lovsan, et dont le vrai nom est ‘ W32.Blaster.Worm ‘. Il porte aussi d’autres surnoms comportant les mots ‘ blast ‘ ou ‘ blaster ‘, qui signifient explosion ou explosif. Ayant contaminé plusieurs centaines de milliers d’ordinateurs, il a comme particularité d’ignorer les PC équipés de Windows 95, 98 ou Millennium, réservant ses méfaits aux autres versions, et donc surtout à Windows XP. Il est aussi moins destructeur que d’autres virus, tel le célèbre ILOVEYOU. Epargnant vos fichiers, il se limite en effet à vous empêcher de surfer sur Internet et redémarre intempestivement le PC. Ce qui, malgré tout, est extrêmement gênant. Enfin, contrairement à la plupart de ses congénères, il ne se transmet ni par les courriers électroniques, ni par les fichiers joints aux messages.

Comment se transmet le virus ?

Commençons par un peu de technique, juste un petit peu… Pour s’insinuer dans votre ordinateur, Lovsan passe tout simplement par une ‘ porte ‘ de Windows que Microsoft a négligé de munir d’une ‘ serrure ‘. On appelle cela une faille de sécurité. Le message qui s’affiche, malgré son obscurité, en témoigne.Il mentionne en effet un service Appel de procédure distante qui se serait terminé de façon inattendue. Cet appel de procédure distante, en anglais Remote Procedure Call (RPC), est un mécanisme utilisé par les réseaux, et donc par Internet. Il permet à un programme fonctionnant sur un ordinateur de faire appel à des fonctions qui sont déjà présentes dans un autre ordinateur, en lui adressant un code simple. Pour les ordinateurs équipés de Windows, les fonctions auxquelles il est fait appel se nomment DCOM (Distributed Component Objet Model). C’est, en partie, grâce à ce principe qu’il est possible, par exemple, de jouer facilement en réseau ou via Internet. Ces appels sont transmis à votre ordinateur en utilisant le Protocole Internet (IP) et en passant par des ports TCP (Transmission Control Protocol). Windows possède plusieurs milliers de ces ports, chacun destiné à une fonction particulière. Ils s’ouvrent lorsqu’un appel RPC le demande. Normalement, à ce moment, ces ports TCP sont protégés contre les intrusions malignes des virus. Mais l’un d’entre eux, le port 135 TCP, resté sans protection, est une vraie passoire. C’est par là que se glisse Lovsan.Pour se propager, il scanne le Net à la recherche d’ordinateurs dont le port 135 TCP est ouvert, et, dès qu’il en trouve un, il s’engouffre dans la brèche pour aller installer un programme appelé blaster.exe. Il n’y parvient pas toujours, car il peut se heurter au pare-feu du PC. Mais s’il réussit, il va aussi cacher quelques éléments en divers endroits de Windows et il crée la clé de registre suivante :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunwindows autoupdate=msblast.exeUne fois infecté, c’est votre ordinateur qui, à son tour, va tenter d’infecter les autres.

Comment se protéger

Ce n’est que depuis le 16 juillet que Microsoft a mis à la disposition des internautes un ‘ patch ‘, c’est-à-dire un petit programme correctif qui bouche la faille. Comme ce patch a aussi été intégré à Windows Update, ceux qui ont pris soin d’effectuer une mise à jour après le 16 juillet sont à l’abri. S’il est déjà trop tard, il vous faut procéder en trois temps pour régler le problème.1 En premier lieu, bloquez le décompte du temps : cliquez sur Démarrer, puis sur Exécuter. Dans l’espace intitulé Ouvrir, tapez shutdown-a et cliquez sur OK. Au cas où cette procédure ne fonctionnerait pas, durant le décompte du temps, retardez l’horloge de votre PC d’une heure ou deux (s’il est 14 heures, réglez l’horloge sur 12 heures).2 Téléchargez ensuite le ‘ patch ‘ correctif que Microsoft a mis en ligne à la fin du mois de juillet. Il se trouve à l’adresse suivante :3 Une fois ce correctif téléchargé puis installé (il suffit de double-cliquer dessus), il vous restera à nettoyer Windows des traces du virus. Pour vous éviter de le faire manuellement, ce qui vous obligerait à intervenir dans le registre de Windows, vous pouvez télécharger un petit programme qui s’en chargera pour vous à l’adresse suivante :PS : si vous avez très récemment créé un point de restauration, le virus y dort peut-être. Pour éviter de le réveiller à la faveur d’une restauration ultérieure, supprimez ce point de restauration

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


La rédaction