Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Virus
Sasser.A

Sasser.A est un virus ciblant les ordinateurs vulnérables à la faille Microsoft LSASS annoncée le 13/04/04. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Sasser.A l'infecte via le port TCP 445 sans intervention de l'utilisateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables. Le virus n'est pas destructif mais chaque attaque peut provoquer un plantage ou redémarrage de l'ordinateur. La mise à jour des ordinateurs sous Windows NT, 2000, XP et 2003 est urgente et impérative.
 

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs de Windows NT, 2000, XP et 2003 doivent également mettre à jour leur système via le site de Microsoft ou le service WindowsUpdate afin de corriger la faille de sécurité LSASS exploitée par le virus pour s'exécuter automatiquement.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter la réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'utilitaire de désinfection FxSasser pour rechercher et éliminer le virus.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 2000
Windows XP

ALIAS :
Sasser.A (CA)
Sasser (F-Secure)
W32/Sasser.worm (Mc Afee)
W32/Sasser-A (Sophos)
W32.Sasser.Worm (Symantec)
WORM_SASSER.A (Trend Micro)
Bat.Sasser.a

TAILLE :
15.872 octets

DECOUVERTE :
30/04/2004

DESCRIPTION DETAILLEE :
Sasser.A est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.

Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe), modifie la base de registres pour s'exécuter à chaque démarrage, puis lance 128 processus simultanés afin de balayer le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience").

Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes. Si ce délai ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP). Le virus créé enfin un fichier C:\WIN.LOG où il consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées.

Une propagation massive de Sasser et d'éventuelles variantes pourrait causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.

L'auteur présumé du virus Sasser aurait été arrêté. Il s'agirait d'un lycéen allemand de 18 ans, également impliqué dans la série des virus Netsky.

01/05/04 : une variante mineure Sasser.B (également nommée W32/Sasser.b@MM, W32.Sasser.B@mm, WORM_SASSER.B, W32/Sasser-B ou Win32.Sasser.B) a été identifiée. Elle se distingue de Sasser.A par le nom du fichier exécutable viral (AVSERVE2.EXE au lieu de AVSERVE.EXE) et le nom du fichier log (WIN2.LOG au lieu de WIN.LOG). Un utilitaire de désinfection gratuit est aussi disponible contre Sasser.B.

02/05/04 : une variante mineure Sasser.C (également nommée W32/Sasser.c@MM, W32.Sasser.C@mm, WORM_SASSER.C, W32/Sasser-C ou Win32.Sasser.C) a été identifiée. Elle se distingue de Sasser.B par le fait qu'elle lance 1024 processus simultanés au lieu de 128 pour exécuter la routine d'infection et favoriser la propagation du virus. Un utilitaire de désinfection gratuit est aussi disponible contre Sasser.C.

03/05/04 : une variante mineure Sasser.D (également nommée W32/Sasser.d@MM, W32.Sasser.D@mm, WORM_SASSER.D, W32/Sasser-D ou Win32.Sasser.D) a été identifiée. Elle se distingue de Sasser.B par le nom du fichier exécutable viral (SKYNETAVE.EXE au lieu de AVSERVE2.EXE) et sa taille (16.384 octets au lieu de 15.872 octets). Un utilitaire de désinfection gratuit est disponible contre Sasser.D.

09/05/04 : une variante mineure Sasser.E (également nommée W32/Sasser.e@MM, W32.Sasser.E@mm, WORM_SASSER.E, W32/Sasser-E ou Win32.Sasser.E) a été identifiée. Elle se distingue essentiellement de Sasser.A par le nom du fichier exécutable viral (LSASSS.EXE au lieu de AVSERVE.EXE), le nom des fichiers copiés sur le disque (_update.exe au lieu de _up.exe), le nom du fichier log (C:\ftplog.txt au lieu de C:\win.log) et le fait que le virus modifie la base de registres pour tenter de désactiver Trojan.Mitglieder, Bagle.W et Bagle.X. Cette variante aurait été diffusée par son auteur quelques heures avant son arrestation. Un utilitaire de désinfection gratuit est disponible contre Sasser.E.

11/05/04 : une variante mineure Sasser.F (également nommée W32/Sasser.f@MM, W32.Sasser.F@mm, WORM_SASSER.F, W32/Sasser-F ou Win32.Sasser.F) a été identifiée. Elle se distingue essentiellement de Sasser.A par le nom du fichier exécutable viral (NAPATCH.EXE au lieu de AVSERVE.EXE) et sa taille (74.752 octets au lieu de 15.872 octets). L'auteur présumé de Sasser a-t-il menti aux enquêteurs en affirmant avoir travaillé seul? Un autre auteur de virus a-t-il voulu créer une variante pour narguer les autorités ou tenter de lui attirer de nouveaux ennuis judiciaires? L'enquête devra le préciser, mais au vu de ses précédentes déclarations il est d'ores et déjà clair que l'auteur présumé de Sasser n'a pas dit toute la vérité aux enquêteurs.

INFORMATIONS COMPLEMENTAIRES :
-> Vulnérabilités multiples dans Windows XP, 2000, NT 4.0 et Server 2003 (13/04/04)
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2016 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons