Première publication le lundi 3 mai 2004Tous les spécialistes s’y attendaient : l’annonce il y a quinze jours de la découverte d’une vingtaine de failles au c?”ur de Windows ne pouvait qu’inspirer un auteur de virus. C’est aujourd’hui chose faite : le ver Sasser
se propage rapidement sur Internet, sans passer par la messagerie des ordinateurs, mais en profitant de la faille du processus lsass.exe présente dans Windows 2000, XP et Windows Server 2003.Apparu dans la nuit de vendredi à samedi, ce nouveau fléau semble s’étendre rapidement. Lundi matin, l’éditeur d’antivirus Symantec relevait son niveau d’alerte à 4 (sur un maximum de 5). De son côté, F-Secure le classe en
niveau 2, soit un cran au dessous du niveau d’alerte maximum.Sasser n’est heureusement pas destructif. Il se contente de provoquer le redémarrage intempestif des ordinateurs qu’il a infectés. Mais c’est bien souvent suffisant pour provoquer la panique dans les systèmes informatiques des
entreprises mal protégées. La banque finlandaise Sampo aurait ainsi été contrainte de fermer toutes ses agences ce lundi matin tandis que la compagnie aérienne Delta Airlines aurait retardé ses vols de dix heures.
Blocage du port 445 et mise à jour obligatoire
Les ordinateurs à jour des derniers correctifs de Microsoft et disposant d’un logiciel pare-feu bien paramétré sont à l’abri de ces attaques. Le ver infecte en effet les PC sous Windows par le biais du port 445. Il explore le réseau à
partir des machines infectées, à la recherche d’autres PC vulnérables.A l’image du ver Blaster, Sasser provoque un dépassement de mémoire tampon, cette fois non pas dans le service RPC mais dans lsass. Une fois ce dernier hors-service, Sasser est libre d’exécuter son propre code. Sa première action est de
se copier sur le disque dur et de modifier la base de registre afin de se lancer automatiquement à chaque démarrage du PC. Il procède ensuite à la récupération du reste de son programme sur Internet, puis il ouvre une porte dérobée sur le PC (via le
port 9996).
Une infection facile à détecter… et simple à traiter !
Bref, Sasser a un comportement de ver tout à fait typique. Mais il n’est cependant pas très discret. Le redémarrage brutal de l’ordinateur trahit sa présence. Pire, Sasser ne prend pas la peine de se cacher du système d’exploitation
puisqu’il apparaît dans la liste des processus. Un simple appel au gestionnaire des tâches de Windows (en appuyant sur les touches ctrl+alt+suppr) permettra de découvrir le processus du ver, appelé avserv.exe ou avserv2.exe. Un programme du même nom
sera placé dans le répertoire d’installation de Windows.Se débarrasser de Sasser n’est pas très compliqué. Il suffit de récupérer sur Internet l’un des outils de désinfection gratuits proposés par les éditeurs antivirus (voir ci-dessous) et, surtout, le correctif de Microsoft. Une fois ces
deux programmes lancés, le ver aura disparu et le PC sera protégé. La man?”uvre peut toutefois se révéler délicate. Pendant le téléchargement et l’installation des correctifs, le ver continue à sévir en provoquant le redémarrage brutal de
lordinateur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
