Sasser.A est un virus ciblant les ordinateurs vulnérables
à la faille Microsoft LSASS annoncée le 13/04/04. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs,
Sasser.A l'infecte via le port TCP 445 sans intervention de
l'utilisateur, puis scanne le réseau à la recherche de nouvelles
machines vulnérables. Le virus n'est pas destructif mais chaque
attaque peut provoquer un plantage ou redémarrage de
l'ordinateur. La mise à jour des ordinateurs sous Windows
NT, 2000, XP et 2003 est urgente et impérative.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. En
cas de doute, les utilisateurs de Windows NT, 2000, XP et
2003 doivent également mettre à jour leur système
via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille de sécurité LSASS
exploitée par le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'utilitaire
de désinfection FxSasser pour rechercher et éliminer
le virus.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 2000
Windows XP
ALIAS :
Sasser.A (CA)
Sasser (F-Secure)
W32/Sasser.worm (Mc Afee)
W32/Sasser-A (Sophos)
W32.Sasser.Worm (Symantec)
WORM_SASSER.A (Trend Micro)
Bat.Sasser.a
TAILLE :
15.872 octets
DECOUVERTE :
30/04/2004
DESCRIPTION DETAILLEE :
Sasser.A est un virus qui se propage via le réseau.
Si une machine connectée à Internet n'est pas
à jour dans ses correctifs ni protégée
par un pare-feu correctement configuré, Sasser l'infecte
via le port TCP 445 en utilisant la faille LSASS de Windows
: le virus provoque le téléchargement d'un fichier
AVSERVE.EXE dans le répertoire Windows via FTP et le
port TCP 5554, puis son exécution à distance
sans aucune intervention de l'utilisateur.
Une fois l'ordinateur infecté, le virus se copie dans
le répertoire Système sous des noms variables
([nombre aléatoire]_up.exe), modifie la base de registres
pour s'exécuter à chaque démarrage, puis
lance 128 processus simultanés afin de balayer le réseau
à la recherche de nouvelles machines vulnérables.
L'exploitation de la faille LSASS par le virus rend le système
instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE)
et un redémarrage automatique du système (message
d'erreur : "LSA Shell has encountered a problem and needs
to close. We are sorry for the inconvenience").
Sous Windows XP, un message d'erreur s'affiche à l'initiative
de Autorite NT\System, puis l'ordinateur redémarre
automatiquement après 60 secondes. Si ce délai
ne vous laisse pas le temps de télécharger le
correctif, il est possible de stopper le compte à rebours
et d'annuler le redémarrage automatique en procédant
de la manière suivante : cliquez sur le bouton "Démarrer",
sélectionnez "Exécuter...", entrez " shutdown -a
" puis cliquez "Ok" (cette opération n'est valable
que pour Windows XP). Le virus créé enfin un
fichier C:\WIN.LOG où il consigne l'adresse IP de la
dernière machine infectée ainsi que le nombre
total de machines contaminées.
Une propagation massive de Sasser et d'éventuelles
variantes pourrait causer des perturbations similaires à
celles engendrées par le virus Blaster
en août 2003, en rendant notamment difficile voire impossible
l'accès à certains sites web. La mise à
jour des machines sous Windows NT, 2000, XP et 2003 est donc
impérative pour combler la faille LSASS exploitée
par le virus, mais aussi par divers outils de piratage à
distance actuellement en circulation.
L'auteur présumé du virus Sasser aurait
été arrêté. Il s'agirait d'un
lycéen allemand de 18 ans, également impliqué
dans la série des virus Netsky.
01/05/04 : une variante mineure
Sasser.B (également nommée W32/Sasser.b@MM,
W32.Sasser.B@mm, WORM_SASSER.B, W32/Sasser-B ou Win32.Sasser.B)
a été identifiée. Elle se distingue de
Sasser.A par le nom du fichier exécutable viral (AVSERVE2.EXE
au lieu de AVSERVE.EXE) et le nom du fichier log (WIN2.LOG
au lieu de WIN.LOG). Un utilitaire de désinfection
gratuit est aussi disponible contre Sasser.B.
02/05/04 : une variante mineure
Sasser.C (également nommée W32/Sasser.c@MM,
W32.Sasser.C@mm, WORM_SASSER.C, W32/Sasser-C ou Win32.Sasser.C)
a été identifiée. Elle se distingue de
Sasser.B par le fait qu'elle lance 1024 processus simultanés
au lieu de 128 pour exécuter la routine d'infection
et favoriser la propagation du virus. Un utilitaire de désinfection
gratuit est aussi disponible contre Sasser.C.
03/05/04 : une variante mineure
Sasser.D (également nommée W32/Sasser.d@MM,
W32.Sasser.D@mm, WORM_SASSER.D, W32/Sasser-D ou Win32.Sasser.D)
a été identifiée. Elle se distingue de
Sasser.B par le nom du fichier exécutable viral (SKYNETAVE.EXE
au lieu de AVSERVE2.EXE) et sa taille (16.384 octets au lieu
de 15.872 octets). Un utilitaire de désinfection gratuit
est disponible contre Sasser.D.
09/05/04 : une variante mineure
Sasser.E (également nommée W32/Sasser.e@MM,
W32.Sasser.E@mm, WORM_SASSER.E, W32/Sasser-E ou Win32.Sasser.E)
a été identifiée. Elle se distingue essentiellement
de Sasser.A par le nom du fichier exécutable viral
(LSASSS.EXE au lieu de AVSERVE.EXE), le nom des fichiers copiés
sur le disque (_update.exe au lieu de _up.exe), le nom du
fichier log (C:\ftplog.txt au lieu de C:\win.log) et le fait
que le virus modifie la base de registres pour tenter de désactiver
Trojan.Mitglieder, Bagle.W et Bagle.X. Cette variante aurait
été diffusée par son auteur quelques
heures avant son arrestation. Un utilitaire de désinfection
gratuit est disponible contre Sasser.E.
11/05/04 : une variante mineure
Sasser.F (également nommée W32/Sasser.f@MM,
W32.Sasser.F@mm, WORM_SASSER.F, W32/Sasser-F ou Win32.Sasser.F)
a été identifiée. Elle se distingue essentiellement
de Sasser.A par le nom du fichier exécutable viral
(NAPATCH.EXE au lieu de AVSERVE.EXE) et sa taille (74.752
octets au lieu de 15.872 octets). L'auteur présumé
de Sasser a-t-il menti aux enquêteurs en affirmant avoir
travaillé seul? Un autre auteur de virus a-t-il voulu
créer une variante pour narguer les autorités
ou tenter de lui attirer de nouveaux ennuis judiciaires? L'enquête
devra le préciser, mais au vu de ses précédentes
déclarations il est d'ores et déjà clair
que l'auteur présumé de Sasser n'a pas dit toute
la vérité aux enquêteurs.
INFORMATIONS COMPLEMENTAIRES :
->
Vulnérabilités multiples dans Windows XP, 2000, NT 4.0 et
Server 2003 (13/04/04)
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|