Problème de connexion

salut :
virus.voir post dan le ng xp
"laurent" <zoom-zoom@wanadoo.fr> a écrit dans le message de
news:0b3501c36b1b$2721c740$a501280a@phx.gbl...
j'ai un ami qui a un problème de connexion à internet. En
effet, au bout de quelques minutes de navigation, sa
connexion se coupe et le message suivant s'affiche: "Cet
arrêt a été initié par AUTORITE NT/SYSTEM (BPC)".
Quelqu'un peut me dire ce qu'il faut faire pour résoudre
ce problème.

Merci

Bonjour,
C'est Blaster.
Alerte concernant le ver W32.Blaster.Worm
Les informations contenues dans cet article s'appliquent au(x)
produit(s) suivant(s) :
a.. Microsoft Windows XP Professional
b.. Microsoft Windows XP Home Edition
c.. Microsoft Windows XP Media Center Edition
d.. Microsoft Windows XP Tablet PC Edition
e.. Microsoft Windows Server 2003, Web Edition
f.. Microsoft Windows Server 2003, Standard Edition
g.. Microsoft Windows Server 2003, Enterprise Edition
h.. Microsoft Windows Server 2003, Datacenter Edition
i.. Microsoft Windows 2000 Server
j.. Microsoft Windows 2000 Professional
k.. Microsoft Windows 2000 Datacenter Server
l.. Microsoft Windows 2000 Advanced Server
m.. Microsoft Windows NT Server
n.. Microsoft Windows NT Advanced Server
o.. Microsoft Windows NT Server, Enterprise Edition
p.. Microsoft Windows NT Workstation 4.0
q.. Microsoft Windows NT Server 4.0 Terminal Server Edition
r.. Microsoft Windows XP 64-Bit Edition Version 2002
s.. Microsoft Windows XP 64-Bit Edition Version 2003
t.. Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Résumé
L'équipe de sécurité du Support technique Microsoft publie cette
alerte pour informer ses clients au sujet d'un nouveau ver nommé
W32.Blaster.Worm. Cet article contient des informations sur les procédures à
suivre pour éviter ce ver et récupérer le système d'une infection par ce
ver. Ce ver se propage par Internet, il est connu sous les noms
W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro) et Win32.Posa.Worm
(Computer Associates). Pour plus d'informations sur la récupération d'un
système infecté par ce ver, contactez votre fournisseur de logiciel
antivirus. Pour plus d'informations sur les fournisseurs de logiciels
antivirus, cliquez sur le numéro ci-dessous pour afficher l'article
correspondant dans la Base de connaissances Microsoft :
49500 Liste des fournisseurs de logiciels antivirus

Les procédures recommandées, notamment l'installation du correctif de
sécurité 823980 (MS03-026), doivent empêcher toute infection par ce ver. Les
ordinateurs sur lesquels le correctif de sécurité 823980 (MS03-026) a été
installé avant le 10 août 2003 ne peuvent pas être infectés par ce ver et
aucune mesure supplémentaire n'est requise pour éviter l'infection. Pour
plus d'informations sur le correctif de sécurité 823980, cliquez sur le
numéro ci-dessous pour afficher l'article correspondant dans la Base de
connaissances Microsoft :
823980 MS03-026 : La saturation du tampon dans l'interface RPC peut
permettre l'exécution du code

Plus d'informations
Symptômes de l'infection
Si votre ordinateur est infecté par ce ver, il est possible que vous
n'en rencontriez aucun symptôme ou que vous connaissiez les symptômes
suivants :
a.. Les messages d'erreur suivants peuvent s'afficher :

Le service RPC (Remote Procedure Call) s'est arrêté de manière
inattendue.
Le système va s'arrêter. Enregistrez tous vos travaux en cours et
déconnectez-vous.
Toute information non enregistrée sera perdue.
Cet arrêt a été initié par NT AUTHORITYSYSTEM.
b.. L'ordinateur peut s'arrêter ou redémarrer de manière répétée, à
des intervalles aléatoires.
c.. Sur un ordinateur Windows XP ou Windows Server 2003, une boîte
de dialogue peut apparaître et vous offrir la possibilité de signaler le
problème à Microsoft. Après avoir envoyé le rapport d'erreur, la page Web
Microsoft suivante peut s'afficher sur votre ordinateur :
http://oca.microsoft.com/fr/Response.asp?SIDi9

d.. Si vous utilisez Windows 2000 ou Windows NT, vous recevez un
message d'erreur "Stop" sur fond bleu.
e.. Le fichier Msblast.exe peut être présent dans le dossier
WindowsSystem32.
f.. Des fichiers TFTP* inhabituels peuvent se trouver sur votre
ordinateur.
Remarque Les systèmes d'exploitation suivants ne sont pas concernés
par ce ver :
a.. Microsoft Windows Millennium Edition
b.. Microsoft Windows 98
c.. Microsoft Windows 95
Aucune mesure supplémentaire n'est requise si vous utilisez l'un de
ces systèmes d'exploitation.
Détails techniques
Ce ver se propage en utilisant les ports RPC (Remote Procedure Call)
ouverts. Le ver balaye une plage d'adresses IP aléatoire à la recherche de
systèmes vulnérables sur le port TCP 135. Il tente d'exploiter le problème
de sécurité RPC DCOM qui a été résolu par le correctif de sécurité 823980
(MS03-026).

Après l'envoi du code d'exploitation à un ordinateur, le code
télécharge et exécute le fichier Msblast.exe à partir d'un ordinateur
distant. Une fois Msblast.exe exécuté, le ver crée la clé de Registre
suivante :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Pour détecter ce virus, recherchez un fichier nommé Msblast.exe dans
le dossier WindowsSystem32 ou téléchargez la dernière signature de logiciel
antivirus auprès de votre fournisseur d'antivirus puis effectuez une analyse
de votre ordinateur.

Pour rechercher le fichier Msblast.exe :
1.. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone
Ouvrir, puis cliquez sur OK.
2.. À l'invite de commandes, tapez dir
%systemroot%system32msblast.exe /a /s, puis appuyez sur ENTRÉE.

Si le fichier Msblast.exe est détecté, votre ordinateur peut être
infecté par le ver. Si vous trouvez le fichier, supprimez-le puis suivez les
étapes fournies dans la section "Récupération" de cet article. Pour
supprimer le fichier Msblast.exe, tapez del
%systemroot%system32msblast.exe /a à une invite de commandes, puis appuyez
sur ENTRÉE.
Prévention
Pour éviter que ce ver n'infecte votre ordinateur, procédez comme suit
:
1.. Activez la fonctionnalité Pare-feu de connexion Internet (dans
Windows XP ou dans Windows Server 2003) ou utilisez un pare-feu d'un
fournisseur tiers pour bloquer les ports suivants :
a.. Ports TCP 135, 139, 445 et 593
b.. UDP 69 (TFTP) pour le téléchargement de bits zombie
c.. TCP 4444 pour l'invite de commande distante
Pour activer la fonctionnalité Pare-feu de connexion Internet dans
Windows XP ou Windows Server 2003, procédez comme suit :
1.. Cliquez sur Démarrer, puis sur Panneau de configuration.
2.. Dans le Panneau de configuration, double-cliquez sur
Connexions réseau et Internet, puis cliquez sur Connexions réseau.
3.. Cliquez avec le bouton droit sur la connexion pour laquelle
vous souhaitez activer le Pare-feu de connexion Internet, puis cliquez sur
Propriétés.
4.. Cliquez sur l'onglet Avancées et activez la case à cocher
Protéger mon ordinateur ou mon réseau.
Pour plus d'informations sur la procédure pour activer le Pare-feu
de connexion Internet dans Windows XP ou dans Windows Server 2003, cliquez
sur le numéro ci-dessous pour afficher l'article correspondant dans la Base
de connaissances Microsoft :
283673 COMMENT FAIRE : Activer ou désactiver la fonctionnalité
Pare-feu de connexion Internet dans Windows XP

2.. Ce ver utilise une faille de sécurité annoncée précédemment dans
sa méthode d'infection. Par conséquent, vous devez vérifier d'avoir installé
le correctif de sécurité 823980 sur tous vos ordinateurs pour éliminer le
problème de sécurité traité dans le Bulletin de sécurité Microsoft MS03-026.
Pour plus d'informations sur le correctif de sécurité 823980 et de la
configuration requise (notamment un Service Pack pour votre version de
Windows), cliquez sur le numéro ci-dessous pour afficher l'article
correspondant dans la Base de connaissances Microsoft :
823980 MS03-026 : La saturation du tampon dans l'interface RPC peut
permettre l'exécution du code

Pour télécharger le correctif de sécurité 823980, cliquez sur le
lien correspondant à votre système d'exploitation :
a.. Windows NT Server et Workstation 4.0

http://download.microsoft.com/download/0/a/6/0a650ec4-5936-4bdc-a333-4099f833a58d/fra_Q823980i.exe

b.. Windows NT Server 4.0, Édition Terminal Server

http://download.microsoft.com/download/4/4/b/44b337e5-cd90-4666-b445-0109f79db350/fra_q823980i.exe

c.. Windows 2000

http://download.microsoft.com/download/d/9/a/d9a3ee53-71cb-46d7-8310-6331368635ec/Windows2000-KB823980-x86-FRA.exe

d.. Windows XP (32 bits)

http://download.microsoft.com/download/d/7/9/d79802a1-909a-4806-8bfc-43254bd0cd8c/WindowsXP-KB823980-x86-FRA.exe

e.. Windows XP (64 bits)

http://download.microsoft.com/download/2/1/7/2170fd3c-ff45-4a52-91ed-8e6acdf67d5d/WindowsXP-KB823980-ia64-FRA.exe

f.. Windows Server 2003 (32 bits)

http://download.microsoft.com/download/9/1/e/91eee54a-9b68-49f6-aa45-b6cbd7fe5c4f/WindowsServer2003-KB823980-x86-FRA.exe

g.. Windows Server 2003 (64 bits)

http://download.microsoft.com/download/c/f/6/cf63408b-bbbf-425e-bc68-ae460cb84e2f/WindowsServer2003-KB823980-ia64-FRA.exe

3.. Utilisez la signature de détection de virus la plus récente de
votre fournisseur de logiciel antivirus pour détecter les nouveaux virus et
leurs variantes.
Récupération
Les méthodes recommandées en matière de sécurité vous incitent à
effectuer une installation complète sur un ordinateur auparavant compromis
pour supprimer toute possibilité inconnue d'exploitation pouvant conduire à
une mise en danger de votre ordinateur. Pour plus d'informations,
reportez-vous au site Web de Cert Advisory à l'adresse suivante (en anglais)
:
http://www.cert.org/tech_tips/win-unix-system_compromise.html

Cependant, toutes les sociétés de logiciels antivirus ont écrit des
outils permettant de supprimer la possibilité connue d'exploitation associée
à ce ver. Pour télécharger l'outil de suppression auprès de votre
fournisseur de logiciel antivirus, appliquez les procédures suivantes en
fonction de votre système d'exploitation
Récupération pour Windows XP
1.. Activez la fonctionnalité Pare-feu de connexion Internet dans
Windows XP ou Windows Server 2003 en procédant comme suit :
1.. Cliquez sur Démarrer, puis sur Panneau de configuration.
2.. dans le Panneau de configuration, double-cliquez sur
Connexions réseau et Internet, puis cliquez sur Connexions réseau.
3.. Cliquez avec le bouton droit sur la connexion pour laquelle
vous souhaitez activer le Pare-feu de connexion Internet, puis cliquez sur
Propriétés.
4.. Cliquez sur l'onglet Avancées et activez la case à cocher
Protéger mon ordinateur ou mon réseau.
Pour plus d'informations sur la procédure pour activer le Pare-feu
de connexion Internet dans Windows XP ou dans Windows Server 2003, cliquez
sur le numéro ci-dessous pour afficher l'article correspondant dans la Base
de connaissances Microsoft :
283673 COMMENT FAIRE : Activer ou désactiver la fonctionnalité
Pare-feu de connexion Internet dans Windows XP

2.. Téléchargez le correctif de sécurité 823980, puis installez-le
sur tous vos ordinateurs afin d'éliminer le problème de sécurité traité dans
le Bulletin de sécurité Microsoft MS03-026. Pour télécharger le correctif de
sécurité 823980, cliquez sur le lien approprié :

Windows XP Édition familiale, Windows XP Professionnel, Windows XP
Édition Tablet PC ou Windows XP Media Center Edition

http://download.microsoft.com/download/d/7/9/d79802a1-909a-4806-8bfc-43254bd0cd8c/WindowsXP-KB823980-x86-FRA.exe

Windows XP (64-bit)

http://download.microsoft.com/download/2/1/7/2170fd3c-ff45-4a52-91ed-8e6acdf67d5d/WindowsXP-KB823980-ia64-FRA.exe

Pour plus d'informations sur le correctif de sécurité 823980,
cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans
la Base de connaissances Microsoft :
823980 MS03-026 : La saturation du tampon dans l'interface RPC peut
permettre l'exécution du code

3.. Installez ou mettez à jour vos signatures d'antivirus, puis
procédez à une analyse complète du système.
4.. Téléchargez et exécutez l'outil de suppression de ver de votre
fournisseur de logiciel antivirus.
Récupération pour Windows 2000
La fonctionnalité Pare-feu de connexion Internet n'est pas disponible
dans Windows 2000. Procédez comme suit pour bloquer les ports concernés afin
de pouvoir appliquer le correctif de sécurité sur votre système. Ces étapes
se basent sur un extrait modifié de l'article 309798 de la Base de
connaissances Microsoft. Pour plus d'informations, cliquez sur le numéro
ci-dessous pour afficher l'article correspondant dans la Base de
connaissances Microsoft :
309798 COMMENT FAIRE : Configurer le filtrage TCP/IP dans Windows 2000

1.. Configurez la sécurité TCP/IP sous Windows 2000 en procédant
comme suit :
1.. Dans le Panneau de configuration, double-cliquez sur
Connexions réseau et accès à distance.
2.. Cliquez avec le bouton droit sur l'interface que vous utilisez
pour accéder à Internet, puis cliquez sur Propriétés.
3.. Sous Les composants sélectionnés sont utilisés par cette
connexion, cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
4.. Dans la boîte de dialogue Propriétés du protocole Internet
(TCP/IP), cliquez sur Avancé.
5.. Cliquez sur l'onglet Options.
6.. Cliquez sur Filtrage TCP/IP, puis sur Propriétés.
7.. Activez la case à cocher Activer le filtrage TCP/IP (pour
toutes les cartes), puis cliquez sur OK.
8.. Trois colonnes portent les mentions suivantes :
a.. Ports TCP
b.. Ports UDP
c.. Protocoles IP
Dans chaque colonne, cliquez sur l'option Autoriser seulement.
9.. Cliquez sur OK.
2.. Téléchargez le correctif de sécurité 823980, puis installez-le
sur tous vos ordinateurs afin d'éliminer le problème de sécurité traité dans
le Bulletin de sécurité Microsoft MS03-026. Pour télécharger le correctif de
sécurité 823980 pour un ordinateur Windows 2000, cliquez sur le lien suivant
:

http://download.microsoft.com/download/d/9/a/d9a3ee53-71cb-46d7-8310-6331368635ec/Windows2000-KB823980-x86-FRA.exe

Pour plus d'informations sur le correctif de sécurité 823980 et de
la configuration requise (notamment un Service Pack pour votre version de
Windows), cliquez sur le numéro ci-dessous pour afficher l'article
correspondant dans la Base de connaissances Microsoft :
823980 MS03-026 : La saturation du tampon dans l'interface RPC peut
permettre l'exécution du code

3.. Installez ou mettez à jour vos signatures d'antivirus, puis
procédez à une analyse complète du système.
4.. Téléchargez et exécutez l'outil de suppression de ver de votre
fournisseur de logiciel antivirus.
Pour obtenir un complément d'informations techniques sur ce ver auprès
des fournisseurs de logiciels antivirus participant à l'Alliance
d'information sur les virus (VIA) Microsoft, consultez les sites Web des
fournisseurs tiers aux adresses suivantes :
a.. Network Associates (en anglais) :
http://us.mcafee.com/virusinfo/default.asp?idÞscription&virus_k0547
b.. Trend Micro (en anglais) :
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=worm_msblast.a
c.. Symantec (en anglais) :
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
d.. Computer Associates (en anglais) :
http://www3.ca.com/virusinfo/virus.aspx?id6265
Pour plus d'informations sur l'Alliance d'information sur les virus
(VIA) Microsoft, reportez-vous au site Web de Microsoft à l'adresse suivante
(en anglais) :
http://www.microsoft.com/technet/security/virus/via.asp

Pour plus d'informations sur les procédures à suivre pour récupérer
d'une infection par ce ver, contactez votre fournisseur de logiciel
antivirus.

Microsoft fournit des informations relatives aux contacts tiers afin
de vous aider à trouver un support technique. Ces informations peuvent être
modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des
informations concernant les sociétés tierces.
Références
Pour plus d'informations sur ce ver, reportez-vous au site Web de
Microsoft à l'adresse suivante :
http://www.microsoft.com/france/securite/alertes/blaster.asp

Si vous avez des questions concernant cette alerte, contactez votre
représentant Microsoft ou appelez le 1-866-727-2338 (1-866-PCSafety) aux
États-Unis. Si vous n'habitez pas aux États-Unis, contactez votre
distributeur Microsoft local. Pour obtenir une aide sur les problèmes liés
aux virus, visitez le site Web Microsoft Virus Support Newsgroup à l'adresse
suivante (en anglais) :
news://msnews.microsoft.com/microsoft.public.security.virus

Pour plus d'information liées à la sécurité des produits Microsoft,
visitez le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/securite/

Pour plus d'information relatives à la sécurité concernant le Bulletin
de sécurité Microsoft MS03-026, visitez le site Web de Microsoft à l'adresse
suivante :

http://www.microsoft.com/france/securite/bulletins_securite/ms03-026.asp

Dernière modification le : 19/08/2003
Mot(s) clé(s) : kberrmsg KB826955 kbAudITPRO


L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS
GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE
RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE
REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Last reviewed mardi 19 août 2003
© 2003 Microsoft Corporation. All rights reserved. Terms of use Security &
Privacy Accessibility