Ce ver se propage via une faille du système d’exploitation Windows, et non par le chemin classique du courrier électronique. Il n’est pas destructif mais provoque le redémarrage intempestif des machines infectées. L'ampleur de la propagation est encore incertaine.
Le virus-ver Sasser s'est déjà fait un nom en l'espace de deux jours, même si son mode de réplication original ne le désigne pas comme le virus le plus véloce, comparé à ses prédécesseurs MSBlast ou Code Red.
Il est encore trop tôt pour estimer avec certitude le nombre de machines contaminées, malgré les traditionnels chiffres époustoufflants cités depuis le 1er mai, sa date de naissance. Si vous êtes infecté, reportez vous aux patchs en fin de news (pour les produits avid, attention lire les precaunisatiuons en fin de news)
Le premier effet de ce virus-ver n'est pas de détruire ou de porter atteinte à certaines données. Il fait partie des virus qui s'activent par une action extérieure au comportement de l'utilisateur: il s'active dès que l'ordinateur est connecté à l'internet; 60 secondes après, il se contente d'effectuer un redémarrage automatique de la machine ("reboot") et de se reproduire.
Comme cela devient une habitude, Sasser est absolument inactif sur les PC ayant au préalable colmaté les dernières failles de Windows, en installant les patchs rendus publics le 13 avril par Microsoft. Dans la matinée du 3 mai, Microsoft a diffusé en français une alerte spécifique sur Sasser, comprenant les premiers gestes manuels pour éradiquer la bestiole.
Ce week-end, les éditeurs n'étaient pas tous d'accord sur le degrè de dangerosité qu'il faut lui accorder. Symantec l'a noté 4 sur sur son échelle de 5 (très moyen), tandis que Network Associates (McAfee) lui accordait un risque "moyen", et que Trend Micro le plaçait en tête de ses critères d'alerte.
Pas de propagation par e-mail
En anglais, Sasser signifie "impertinent" mais ce surnom fait plutôt référence à un terme technique: la vulnérabilité qu'il exploite est présente sur un composant du système d'exploitation, "LSASS" (Local Seciruty Authority Subsystem Service). Cette faille a donc fait l'objet le 13 avril d'une description détaillée (lire en anglais ce document, mis à jour le 28 avril).
Contrairement à la plupart des autres virus-vers, il n’utilise donc pas le courrier électronique pour se propager. En revanche, une fois activé lorsque le PC est mis sous tension et connecté, il scanne les autres ordinateurs connectés en permanence à l’internet et les machines équipées d'OS non mis à jour à la recherche du port TCP 445.
Il tente de provoquer un dépassement de mémoire (buffer overflow), via le fichier LSASS.exe. Cette défaillance advient lorsqu’un programme s’emballe, et demande davantage de mémoire qu’il ne lui a été attribué à l’origine. Résultat, il accède à des zones mémoires qui ne lui sont pas destinées, ce qui permet d’exécuter du code et d’ouvrir une brèche dans les dispositifs de sécurité de l’ordinateur.
Sasser ouvre le port TCP 9996, pour permettre la prise de contrôle de la machine, puis le port 5554, qui sera utilisé comme un serveur FTP pour communiquer avec les autres systèmes infectés. Le virus n’est donc pas dangereux, mais il a pour effet d’éteindre l’ordinateur et de le redémarrer en boucle, laissant en général moins d’une minute à l’utilisateur pour réagir.
Il existe à ce jour, selon les données des éditeurs, trois variantes de ce ver (Sasser.A, B et C). La dernière pourrait être la plus rapide à se multiplier, puisque Sasser.C scanne huit fois plus d'adresses IP que la version B.
|
Comment désactiver Sasser manuellement | |
|
Soit passer par le gestionnaire des tâches de votre PC |
L’éditeur américain Symantec propose une méthode manuelle. Il faut ouvrir le gestionnaire des tâches, via les touches CTRL + ALT + SUPP. Et arrêter le fichier AVSERVE.EXE (ou AVSERVE2.EXE, selon les variantes) et tout autre processus dont le nom est composé de 4 ou 5 chiffres suivi de _UP.EXE (par exemple 74354_up.exe). F-Secure nous apprend que Sasser.C n'a pas été entièrement conçu à partir des deux premières variantes: il utilise par exemple le fichier WIN2.LOG en plus de AVSERVE2.EXE. |
|
Soit retarder l'horloge de votre PC |
Une autre manipulation permet de retarder le décompte qui se déclenche dès que le virus a atteint un ordinateur, ne laissant que 60 secondes à l’utilisateur pour réagir, avant que la machine ne redémarre automatiquement. Comme l’explique l’éditeur Tegam International, au moment où se déclenche cette alerte, il suffit de cliquer sur l’icône de l’horloge de l’ordinateur et de configurer une date antérieure (par exemple retarder de plusieurs jours). «Ceci stoppe le décompte et indique un délai plus important avant l’extinction de l’ordinateur», affirme Tegam. Ce qui laisse suffisamment de temps pour télécharger le patch sur le site de Microsoft, puis de remettre ses pendules à l’heure. |
|
Microsoft France a diffusé lundi midi une description des gestes simples pour un "nettoyage personnalisé". | |
En cas d’infection, des antidotes proposés par des éditeurs antivirus permettent également de s’en débarrasser.
Security Update for Microsoft Windows 835732 (freeware) Corriger la faille Windows exploitée par Sasser. Télécharger
Symantec W32.Sasser Removal Tool (freeware) Éradiquer Sasser de machines infectées. Télécharger
F-Secure Sasser removal tool (freeware) Pour en finir avec le ver Sasser. TéléchargerEngineering confirmed Freddies report that there is an issue with running the hotfix on Win2K FMs with version 3.3.4 or earlier.
"the MediaNetwork Win2K File Manager for version 3.3.4 fails to start up due to memory allocation errors when either MS04-011 or -012 are loaded. (These symptoms similar to those seen when installing Win2K SP4 or the MS03-045 (KB824141) hot fix on a 3.3.x Win2K FileManager: the File Manager
MediaNetwork installations older than v. 3.4 are at risk
As you are all now probably painfully aware, MS04-011 is an essential element in guarding against the new Sasser worm. Unfortunately, those customers with Unity installations older than v. 3.4 are not going to be able to protect their File Managers using the MS04-011 hot fix.
Windows NT File Managers are at further risk "
engineering is still trying to work out if there is a solution for all WinNT FileManagers.
Best recommandation at the moment seems to be to upgrade the FMs to Win2K - if the are on an SR2200 and fullfill the memory specs (and all the rest)
so obvioussly a bad thing for customers with ISP2150 FMs.
The best pratcice and security guide will be updated on the Knowledge Center Web Site.
Partager cette page
| < Précédent | Suivant > |
|---|