vlan.org

Webzine des anciens étudiants de l’IUT Serecom St-Raphaël

Accueil > Actu > Le virus Sasser toucherait plusieurs millions de PC

Le virus Sasser toucherait plusieurs millions de PC

mardi 4 mai 2004

Sasser, la dernière des plaies informatiques modernes a commencé à se diffuser sur Internet infectant à tout va les PC Windows 2000 et Windows XP sur lesquels n’ont pas été appliqués les derniers correctifs de sécurité. A ce jour plusieurs centaines de milliers de machines auraient été infectées et le ver pourrait en fin de journée toucher plusieurs millions de machines dans le monde.

Selon Computer Associates, Sasser.A est un ver qui se propage en tirant partie de la faille détectée dans les services LSASS de Windows (Windows Local Security Authority Subsystem Service). Microsoft a publié un correctif pour cette faille à la mi-avril mais tous les systèmes qui n’ont pas reçu ce correctif et qui ne sont pas protégés par un pare-feu sont potentiellement vulnérables.

Sasser.A a un homologue, le ver Sasser.B qui se diffuse en testant aléatoirement des adresses IP sur le port TCP 455. Si le ver parvient à se connecter, il tente d’exploiter la faille LSASS. Il ouvre alors un remote shell sur le port 9996 qu’il utilise pour créer un script FTP dans le répertoire système de la machine attaquée. Sasser.B opère alors un serveur FTP sur la machine infectée sur le port 5554 et utilise ce serveur pour se diffuser vers d’autres machines. Sasser.B crée ainsi 128 threads pour scanner des PC vulnérables et peut ainsi scanner jusqu’à 200 adresses par seconde.

Les machines infectées présentent des symptômes tels que des plantages intempestifs ou des redémarrages aléatoires. Les versions actuelles du ver n’endommagent pas les fichiers présents sur le disque dur et ne s’attaquent pas aux fichiers systèmes. Mais les spécialistes n’excluent pas la possibilité d’apparition d’une version plus virulente et plus dangereuse. Déjà, Panda annonce avoir repéré une variante baptisée Sasser.C capable de lancer 1024 threads ce qui la rend bien plus virulente que Sasser.B.

Il est à noter que la plupart des grands éditeurs d’antivirus, ainsi que Microsoft, suggèrent sur leurs sites des procédures de déverminage pour Sasser. Le géant de Redmond propose ainsi une page Web en français listant les tâches à accomplir pour se débarrasser du fléau. Il recommande également à ceux qui ne l’auraient déjà fait, d’appliquer le correctif de sécurité MS04-011 en utilisant Windows Update ou l’adresse indiquée en lien en début d’article.

C. B.


Voir en ligne : Article du Monde Informatique - 04/05/2004

Messages

  • Le virus Sasser n’aurait pas (ou très peu) contaminé les systèmes d’information des grandes entreprises françaises.

    C’est du moins ce qu’indique Pascal Lointier, président du Clusif (Club de la sécurité des systèmes d’information français). Sasser aurait donc davantage causé de dégâts chez les particuliers. Pour Networks Associates, 3 % des ordinateurs des Français auraient été touchés par le virus. Mais, attention à ne pas baisser la garde trop vite, nuance Emmanuel Tonnelier, directeur du développement de Panda, qui redoute « une augmentation exponentielle des infections ».

    Son collègue Sébastien Talha, expert chez Networks Associates, craint à son tour que la souche du virus soit manipulée par des groupes de programmeurs, à la recherche de failles sur Windows.
    Pour l’heure, Microsoft enquête sur l’auteur de Sasser, en collaboration avec la justice américaine, et propose également une récompense en échange d’informations sur l’identité du responsable. Une coutume désormais classique chez l’éditeur qui avait déjà offert quelque 250 000 $ pour la capture du créateur de MyDoom. Par ailleurs, certains experts auraient constaté des similitudes dans les codes sources de Netsky et de Sasser. Mais plus encore, le site français K-Otik indique qu’une ligne de code commentée dans le source de NetSky.C - dernière version en date - indiquerait que The Skynet (l’équipe créatrice de NetSky) aurait développé Sasser.

    Enfin, Microsoft précise qu’il ajustera ses futures rustines aux nouvelles variantes du virus.

    Voir en ligne : Article du Monde Informatique - 04/05/2004

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.