Redémarrage RPC =/= MSBlaster !

Le reboot du PC par NTAUTHORITY/SYSTEM suite au crash du service RPC, ça commence à être connu... vous pensez que c'est dû à une infection par MSBlaster ?

C'est FAUX ! L'infection ne provoque pas le reboot !

Voilà ce qui se passe réellement :
Prenez un PC infecté (ou un pirate en mal d'exploit...), celui-ci tente d'accéder à la faille RPC/DCOM d'un PC accessible (Ex. : le port 135 est ouvert) ET vulnérable (la faille n'a pas été patchée par MS03-39).

Si la faille est incorrectement exploitée, le service RPC plante, le PC n'est pas infecté et redémarre. FIN jusqu'au prochain redémarrage !

Si la faille est correctement exploitée, l'attaquant obtient un accès root (il peut passer toutes les commandes qu'il veut sur la machine). Si c'est un virus, celui-ci lance son propre téléchargement et son exécution. Le PC est alors infecté mais ne reboote pas forcément.

Pour résumer, un plantage RPC signifie qu'une machine est vulnérable.
L'infection n'est pas forcément déjà effectuée !!!

En plus, d'autres virus et trojan exploitant cette faille ont vu le jour. Donc, si il y a infection, ce n'est pas forcément Blaster/Lovsan !!!

Donc, les bons conseils sont :
- Activer le pare-feu (au moins celui de XP)
- Passer le patch MS03-39 (quoique... )
- Vérifier une éventuelle infection par un virus (et non pas juste blaster !)

~Jean-Marc~