Le virus Sasser Page précédente Sites sur le même sujet Télécharger des documentations Page suivante Retour à la page d´accueil
Présentation du virus Sasser
Apparu en mai 2004, le virus Sasser ( connu également sous les noms W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) est un virus exploitant une faille du service LSASS ( Local Security Authority Subsystem Service, correspondant à l´exécutable lsass.exe) de Windows. L´apparition du premier virus exploitant la faille du service LSASS de Windows a eu lieu à peine deux semaines après la publication de la faille et la mise à disposition des premiers correctifs. Les systèmes affectés sont les systèmes Windows NT 4.0, 2000, XP et en moindre proportion Windows Server 2003.
Les actions du virus
Le ver Sasser est programmé de telle façon à lancer 128 processus ( 1024 dans le cas de la variante SasserC) chargés de scanner une plage d´adresses IP aléatoire à la recherche de systèmes vulnérables à la faille LSASS sur le port 445/TCP.
Le virus installe un serveur FTP sur le port 5554 afin de se rendre disponible en téléchargement aux autres ordinateurs infectés,
Puis, lorsqu´une machine vulnérable est trouvée, le ver ouvre un shell distant sur la machine ( sur le port TCP 9996), et force la machine distante à télécharger une copie du ver ( nommée avserve.exe ou avserve2.exe pour la variante Sasser.B) dans le répertoire de Windows.
Une fois le fichier téléchargé, il crée un fichier nommé win.log ( ou win2.log pour la variante Sasser.B) dans le répertoire c:\ afin d´enregistrer le nombre de machines qu´il réussi à infecter. Puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage :
*
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
\avserve = avserve.exe
ou
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve.exe -> C:\%WINDIR%\avserve.exe
Le virus appelle la fonction " AbortSystemShutdown" afin d´empêcher le redémarrage ( ou sa désactivation) par l´utilisateur ou par d´autres virus,
Symptomes de l´infection
L´exploitation de la vulnérabilité LSASS provoque un certain nombre de dysfonctionnements sur les systèmes affectés, liés à l´arrêt du service LSASS ( processus lsass.exe). Les systèmes vulnérables présentent les symptomes suivants :
* Redémarrages intempestifs, le système affiche le message suivant :
Arrêt du système initié par Autorite/System
Le processus système: C:\WINDOWS\system32\Isass.exe
s´est terminé de manière innatendue avec le code d´état 128
* Trafic réseau sur les ports TCP 445, 5554 et 9996,
* arrêt brutal de ´LSASS.EXE´ avec une fenêtre d´erreur affichant :
lsass.exe - application error
_____________________________________________
c´est possible, que j´ai eu le virus à cause d´un patch CONTRE ce virus? j´en avais dl un pour le pc d´un pote ( j´ai gravé le prog), mais quand je l´ai lancé, il m´a dit que c´était pas nécessaire de l´installer pasque j´avais le sp2 ! !!
PS: le truc au dessus ct le mess d´erreur que mon pote avait
de me répondre