WORMBLASTER 32
DESCRIPTION DETAILLEE :
Blaster est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Blaster l'infecte via le port TCP 135 en utilisant la faille RPC de Microsoft : il provoque le téléchargement d'un fichier MSBLAST.EXE dans le répertoire System32 de Windows via TFTP, puis son exécution à distance sans aucune intervention de l'utilisateur.
Une fois l'ordinateur infecté, le virus modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis scanne ensuite continuellement le réseau à la recherche de nouvelles machines vulnérables. Il est par ailleurs programmé pour lancer une attaque par déni de service contre le site WindowsUpdate à partir du 16/08/03, afin de tenter d'empêcher les retardataires de télécharger le correctif nécessaire à leur système.
L'exploitation de la faille RPC par le virus rend souvent le système instable. Sous Windows 2000, cela se traduit par un plantage de l'ordinateur et/ou un message d'erreur impliquant le processus svchost.exe. Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes