F.A.Q de "Lovesan"

15 août 2003
Actualités Virus

Diagnostic et traitement de "Lovesan"

  1. "Lovesan", "Lovsan", "Blaster", "Msblast", "Poza" sont-ils différents ?
    Toutes ces dénominations se rapportent à un même programme malfaisant, mais sont chacunes utilisées par les différentes compagnies antivirales. Dans la terminologie de Kaspersky Labs, ce ver est appelé "Lovesan". Pour le moment trois modifications ont été découvertes et ont été affublées, par certaines compagnies, des indices "a", "b" et "c".
  2. Comment savoir si mon ordinateur est infecté ?
    Les signes de la contamination sont :
    • la présence des fichiers "MSBLAST.EXE", "TEEKIDS.EXE" ou "PENIS32.EXE" dans le dossier du système d'exploitation Windows (en général WINDOWS\SYSTEM32\)
    • le redémarrage soudain de l'ordinateur après quelques minutes de connexion à Internet
    • de nombreuses défaillances dans le fonctionnement des programmes Word, Excel et Outlook
    • les messages d'erreur provoqués par le fichier "SVCHOST.EXE"
    • l'apparition sur l'écran d'une fenêtre avec le message d'erreur : RPC Service Failing

    rpc_err
  3. En quoi ce ver est-il dangereux pour mon ordinateur ?
    "Lovesan" n'est pas spécialement dangereux pour l'ordinateur infecté. Il ne supprime, ni ne modifie aucune donnée. Il est, par contre, dangereux pour Internet, car la diffusion de son code engorge les canaux de transmission de données. De plus, le 16 août, il va attaquer le site Internet WindowsUpdate, sur lequel se trouvent les mises à jour pour Windows. Ce site pourrait donc être complètement bloqué, et les utilisateurs de Windows coupés de cette importante source d'informations. C'est pourquoi Kaspersky Labs recommande d'effectuer immédiatement les mises à jour nécessaire, pour ne pas être tributaire d'une éventuelle fermeture du site.
  4. Quels sont les systèmes pouvant être contaminés par "Lovesan" ?
    • Windows NT 4.0 Server
    • Windows NT 4.0 Terminal Server Edition
    • Windows 2000
    • Windows XP 32 bit Edition
    • Windows XP 64 bit Edition
    • Windows Server 2003 32 bit Edition
    • Windows Server 2003 64 bit Edition
  5. Comment protéger mon ordinateur?
    Il y a plusieurs moyens de protection. Premièrement, il est nécessaire de mettre son antivirus à jour et de ne déconnecter en aucun cas le moniteur antiviral lors de connexions à Internet. Deuxièmement, il est possible d'utiliser un pare-feu (firewall) pour bloquer les ports 135, 69 et 4444. Enfin, il faut télécharger le correctif pour Windows, fermant la faille par laquelle ' Lovesan ' contamine les ordinateurs. Ce dernier moyen permet de se protéger non seulement de ' Lovesan ' mais aussi de tous les autres vers s'attaquant à cette même faille.
  6. Qu'est ce qu'un pare-feu ? et où s'en procurer un ?
    Un pare-feu (firewall) est un programme spécial qui contrôle les paquets de données échangées entre l'ordinateur et Internet, dans le but de se protéger contre les hackers. Il n'autorise que les liaisons sûres avec le réseau en bloquant les données malfaisantes et en refusant l'accès à Internet aux applications non autorisées. Il y a deux types de pare-feu : pour la protection des réseaux et pour la protection des postes de travail. Pour la protection des ordinateurs domestiques nous recommandons l'utilisation de Kaspersky R Anti-Hacker.
  7. Comment mettre à jour Windows ?
    Il est nécessaire de télécharger le correctif correspondant à votre version de Windows :

    Dès la fin du téléchargement, lancez le fichier, l'installation se fera de manière automatique. Il suffit de suivre les instructions données par l'assistant d'installation.

  8. Je n'arrive pas à télécharger le correctif car mon ordinateur redémarre sans cesse.
    Nous vous recommandons de trouver le fichier TFTP.EXE dans le répertoire Windows (généralement \WINDOWS\SYSTEM32 \) et dans le dossier caché \WINDOWS\SYSTEM32\DLLCACHE, puis le renommer. Après avoir installé le correctif, vous pouvez rendre son nom original à ce fichier.
  9. Que faire si mon ordinateur est déjà infecté ?
    Utilisez votre antivirus après vous être assuré qu'il est bien à jour. Vous pouvez aussi utiliser l'utilitaire gratuit de traitement de ' Lovesan ' mis à votre disposition par Kaspersky Labs. Cet utilitaire repère le ver dans la mémoire de l'ordinateur, le désactive, supprime les fichiers infectés sur le disque dur et les disques réseaux, et restaure la base du registre de Windows. Dès la fin de son travail, redémarrez l'ordinateur et lancer le scanner antiviral (obligatoirement mis à jour). Totalement gratuit, il est disponible en libre téléchargement aux adresses suivantes :
  10. J'ai utilisé l'utilitaire de traitement mais mon ordinateur est à nouveau infecté.
    L'utilitaire éloigne le ver et restaure l'ordinateur infecté. Il ne crée pas l'immunité contre "Lovesan". Pour cela il vous est nécessaire de télécharger le correctif pour Windows, décrit plus haut.
  11. Liens utiles
    "Informations techniques sur "Lovesan"."
    "Pare-feu Kaspersky Anti-Hacker."
    "Recommandations de Microsoft."
    "Recommandations de la CERT 1ère partie" et "2ème partie"

  PARTAGER