Ver Sasser : où patcher ça sert
Par Mozinet, dimanche 2 mai 2004 à 01:07 :: Sécurité :: #160 ::
Depuis plusieurs jours les listes spécialisées signalaient une activité suspecte sur le port TCP 445, maintenant ça y est les éditeurs de solutions anti-virales en ont identifié et baptisé la cause. Il s'agit du virus Sasser qui s'attaque aux machines tournant sous Windows 2000, Windows XP et Server 2003. Il appartient à la famille des vers et possède la particularité de s'exécuter automatiquement sans intervention de l'utilisateur du système. A l'instar du virus Blaster qui a provoqué une épidémie de masse l'été dernier, il exploite une faille de Windows pourtant déjà colmatée par un patch de sécurité récemment publié par Microsoft (MS04-011 du 13/04/2004).
Sasser.A essaie de se connecter sur les ports TCP/9996 et TCP/445 et exploite la vulnérabilité LSASS. Un script FTP est ensuite téléchargé et exécuté avec rétroconnexion sur le port 5554 pour télécharger une copie du ver via FTP.
Le virus se recopie dans le dossier Windows sous le nom d'avserve.exe
et dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe
). Il installe une clé de démarrage automatique pour se lancer à chaque nouvelle session de Windows (HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe
).
Comme Blaster, il arrête et redémarre le PC et cela plusieurs fois de suite. Cela est dû au plantage de LSASS.EXE
, suivi d'un redémarrage automatique du système, avec le message d'erreur « LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience ». Le virus consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées dans le fichier C:\WIN.LOG
.
Selon l'AFP, « Sasser a été observé pour la première fois samedi à 00h00 GMT. Mikko Hyppoenen, chef de la recherche anti-virus de la firme finnoise F-Secure, a indiqué qu'il s'attendait à ce que le nombre d'ordinateurs affectés par le virus augmente de manière spectaculaire lundi, lorsque les employés qui auront travaillé chez eux sur des ordinateurs portables au cours du week-end retourneront au travail et relieront ces ordinateurs au système informatique de leur bureau. » L'ordinateur infecté scanne le réseau à la recherche de nouvelles machines vulnérable à infecter. Ce virus n'est pas très virulent ni destructif mais pourrait causer des perturbations du réseau comme cela avait été le cas pour Blaster en août.
Si vous ne l'avez déjà fait mettez à jour votre antivirus et Windows NT, 2000, XP et 2003. Face à cette situation un firewall s'avère bien utile. En cas d'infection, après mise à jour, l'utilitaire de McAfee Stinger, par exemple, permet de rechercher et détruire les traces du virus.
Ses différentes appellations : Sasser.A (CA), Sasser (F-Secure), W32/Sasser.worm (Mc Afee), W32/Sasser-A (Sophos), W32.Sasser.Worm (Symantec), WORM_SASSER.A (Trend Micro)
Pour plus de précisions sur la vulnérabilité LSASS (CAN-2003-0533) Bulletin de sécurité MS04-011 : mise à jour de sécurité pour Microsoft Windows, mise à jour de sécurité pour Microsoft Windows (835732), taux de sévérité critique, 13 avr. 2004
K-Otik, Le ver Sasser exploite la vulnérabilité Windows LSASS (MS04-011), 2 mai 2004
Futura-Sciences, Sasser, un ver de plus ? Nos explications et remèdes…, 3 mai 2004, Jean-Pierre Louvet
Secuser.com : Virus Sasser
Sophos virus analysis : W32/Sasser-A
L'Express.fr-AFP, Un nouveau virus a probablement infecté des millions d'ordinateurs, 1er mai 2004
Ce billet a été modifié en dernier le 03 May 2004 à 14:41:16.
Commentaires
1. Le lundi 3 mai 2004 à 11:46, par Philippe
2. Le lundi 3 mai 2004 à 14:42, par Mozinet
3. Le mercredi 27 octobre 2004 à 11:00, par boudaoud
4. Le mercredi 27 octobre 2004 à 11:00, par boudaoud
5. Le mercredi 27 octobre 2004 à 11:00, par boudaoud
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.