La faille de Windows découverte le mois dernier connaît aujourd’hui un franc succès avec le ver Blaster (alias MSBlast, LovSan). Au point qu’en exploitant cette vulnérabilité, le ver pourrait bien provoquer un bel embouteillage sur Internet le 16 aôut prochain !Concrètement, Blaster recherche actuellement à travers Internet des PC sous Windows 2000 et XP dont le port 135 est accessible (c’est à dire pas protégé par un pare-feu correctement configuré). Manifestement, il n’a pas de mal à en trouver, à écouter les récits des nombreux Internautes victimes depuis hier de ses sévices.Lorsqu’un PC vulnérable a été trouvé, le ver lui fait parvenir via le réseau des paquets de données malformés. Ils sont destinés à abuser les services de Windows qui écoutent à ce port 135, et leur faire exécuter un programme minimal sur le PC. Une fois ce véritable « éclaireur » dans la place, le ver pourra alors télécharger le reste du programme, qui se trouve sur n’importe quel PC déjà infecté, n’importe où sur Internet. Blaster utilise pour cela une connexion TFTP, en installant son propre serveur d’un côté et en utilisant de l’autre le client TFTP de Windows.Blaster étant un vrai ver (et non un virus), toute cette opération est invisible pour l’utilisateur du PC. Il n’y a aucun email piégé à recevoir, aucun fichier infecté à exécuter. Tout se passe via le réseau, tandis que l’ordinateur est connecté à Internet comme à son habitude, et que son utilisateur continue à surfer sans constater de ralentissement particulier. Seul symptôme éventuel : un bug dans le code de Blaster peut lui faire mélanger Windows 2000 et XP, et ainsi faire redémarrer l’un en pensant infecter l’autre. Mais pour la majorité des victimes du ver, l’attaque est totalement invisible.Les PC victimes de Blaster ne risquent cependant pas grand chose eux-même : le ver ne détruit rien, et seul le bug ci-dessus peut, au pire des cas, forcer le PC à redémarrer de façon périodique. Mais son dessein est ailleurs : Blaster veut lancer une attaque par déni de service contre le site de mise à jour de Windows, windowsupdate.com. A partir du 16 août, et ce jusqu’à la fin de l’année, les PC infectés par Blaster dirigeront un flot de données massif vers le site de Microsoft, dans l’idée de le neutraliser.Bien sûr, rien ne dit que cela se passera ainsi : l’épidémie est déjà entrain de régresser, la majorité des antivirus détectent désormais Blaster et Microsoft a probablement eu le temps de mettre à niveau son infrastructure dans l’éventualité d’une telle attaque. En outre, le ver ne se cache pas vraiment sur le PC (il apparaît dans la liste des processus actifs, sous le nom msblaster.exe. Il est visible en appuyant sur CTRLALTDEL et en choisissant l’option « Gestionnaire des Tâches » puis l’onglet « Processus »).Pour se protéger de Blaster, il est nécessaire d’appliquer le correctif publié par Microsoft. Il est aussi utile de fermer les ports 135 et consorts (137, 139, 445…), qui ne sont utilisés que par Netbios et n’ont aucune raison d’être accessibles depuis Internet. C’est ce que fait n’importe quel pare-feu (même personnel) correctement configuré.Enfin, certains éditeurs d’antivirus ont publié un outil d’éradication gratuit dédié à Blaster (F-Secure ou Symantec , par exemple) et McAfee a même inclu ce ver dans son désinfecteur générique Stinger.