Virus Sasser : infos, outil d’élimination et patch windows

lundi 3 mai 2004
par  G a.k.a Gérard Milhaud
popularité : 16%

Cet article concerne avant tout les personnes qui disposent des droits administrateurs sur des PC connectés (en permanence ou non) aus réseaux de l’ESIL. Concrètement, il s’agit essentiellement des possesseurs de portables. Mais ceux qui utilisent un PC connecté à l’Internet à leur domicile, ainsi que les curieux, pourront également être intéressés.

Sasser est arrivé en force ce week-end

Systèmes touchés : Windows 2000, Windows XP, Windows 2003 Server.

Bien qu’on ait beaucoup entendu (radio et télé) qu’il n’était pas très méchant, la réalité est toute autre. Une fois le PC infecté, un attaquant peut en prendre le contrôle total, y compris installation de programmes, ajout/destruction de comptes, etc.

Ce qu’il est important de savoir, c’est que ce virus n’a pas besoin du mail pour se propager. Il suffit que le PC soit allumé et connecté au réseau pour qu’il puisse être infecté. Comme le tristement célèbre virus Blaster, Sasser utilise (encore) une faille de sécurité de Windows pour se propager.

Déjà (3/05/2004) 4 variantes de ce ver

Sasser/A

W32/Sasser-A est un ver Internet qui se propage en exploitant la faille de sécurité LSASS (Local Security Authority Subsystem Service) de Microsoft.

Le virus se copie dans le dossier Windows sous le nom avserve.exe et positionne la clé de registre suivante afin d’être lancé automatiquement au démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe

W32/Sasser-A tente de se connecter aux ports TCP/9996 et TCP/445 pour exploiter la faille LSASS. Un script FTP est alors téléchargé puis exécuté sur la machine attaquée : il se connecte sur la port 5554 pour télécharger une copie du virus par FTP.

Sasser/B

W32/Sasser-B est un ver Internet qui se propage en exploitant la faille de sécurité LSASS (Local Security Authority Subsystem Service) de Microsoft.

Le virus se copie dans le dossier Windows sous le nom avserve2.exe et positionne la clé de registre suivante afin d’être lancé automatiquement au démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
avserve2.exe = %WINDOWS%\avserve2.exe

De plus un fichier de nom win2.log est créé dans la répertoire C:\ .

Sasser/C

Apparu aujourd’hui, pas encore d’infos détaillées si ce n’est que l’antivirus SOPHOS protège contre la version C avec la même signature que pour la A.

Sasser/D

Apparu aujourd’hui, pas encore d’infos détaillées.

Comment savoir si on est infecté et comment s’en débarasser

Tout d’abord ne pas se connecter à l’Internet.
Ensuite passer administrateur, puis taper CTRL-ALT-SUPPR, ouvrez le gestionnaires de tâches, onglet processus : vous êtes infectés si des processus de noms avserve ou avserve2 sont listés.

Si vous êtes infectés, tuez les processus avserve ou avserve2. Ensuite téléchargez (idéalement depuis un autre ordinateur sur une clé USB ou une disquette) ce programme de désinfection et exécutez-le.

Si vous n’êtes pas infectés, ou une fois désinfectés, mettez à jour (encore une fois téléchargez idéalement ces programmes depuis un autre ordinateur) votre système Windows 2000 (langue française uniquement) avec ce patch
ou votre système Windows XP (langue française) avec ce patch
ou votre système Windows 2003 Server avec ce patch.

Si vous n’êtes pas en langue française, ou si vous voulez faire une mise à jour plus complète (prévoyez du temps si vous n’avez pas un gros débit réseau), utilisez Windows Update.

Qu’en est-il des machines de l’ESIL ?

Les machines dont nous sommes les administrateurs seront vérifiés et patchées par nos soins au plus tôt.

Plus d’infos sur le Net

L’alerte secuser.com

L’alerte K-Otik

L’alerte SOPHOS (en anglais)


Commentaires  (fermé)

Logo de Olivier
lundi 3 mai 2004 à 16h26 - par  Olivier

http://www.secuser.com/alertes/2004/sasser.htm

Sasser.C lance 1024 processus qui scannent le réseau au lieu des 128 de Sasser.A et Sasser.B.

En gros il infecte plus vite.

Logo de Pascal
lundi 3 mai 2004 à 16h11 - par  Pascal

Malheureux possesseurs de Win2000 en langue anglaise voici le lien pour le fameux patch qu’il faut appliquer : http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en