Nouveau virus windows Sasser

Le 30.4.2004 est apparu un nouveau virus windows, Sasser, de type ver (worm) qui infecte les systèmes d’exploitation Windows 2000 et Windows XP. Il ne cause pas de dégat, mais redémarre la machine, et consomme tellement de ressources qu’il ralentit beaucoup l’ordinateur.

Bien qu’il n’infecte pas un ordinateur sous Windows 95 / 98 / Me, Sasser peut quand même être exécuté sur une telle machine pour infecter d’autres ordinateurs auxquels elle est connectée. Là aussi il consomme tellement de ressources qu’il ralentit beaucoup les applications.

Désinfection


Le virus Sasser exploite une faille de sécurité des systèmes d’exploitation windows 2000 et windows XP (LSASS) pour se reproduire d’un ordinateur à l’autre.

Pour éviter d’être infecté à nouveau, il faut appliquer un correctif disponible sur le site Web de Microsoft : voir « En savoir plus (ailleurs) ».

Même si vous êtes équipé d’un firewall qui empêche le virus de rentrer sur votre ordinateur, il est conseillé d’appliquer le correctif, qui corrige aussi d’autres failles de sécurité.

Comme d’habitude, il faut mettre à jour son antivirus avec la dernière base de signatures de virus.

Un outil de désinfection spécifique est téléchargeable sur le site Web de Symantec : voir « En savoir plus (ailleurs) ».

Infection par le virus Sasser


Une fois entré sur la machine, son exécution effectue les opérations suivantes :

  1. le virus se copie lui-même dans C:Windowsavserve.exe ou C:Winntavserve.exe
  2. il ajoute une valeur de clé dans la base de registres (HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun « avserve.exe »= »%Windir%avserve.exe » ) de façon à être éxécuté à chaque démarrage de la machine
  3. Sasser arrête ou redémarre l’ordinateur
  4. il essaye de se connecter à d’autres machines, en cherchant des adresses IP au hasard (sur Internet à priori), sur le port 445;

    pour ça, il crée 128 « petits programmes », chacun cherchant des machines connectées : ce mécanisme consomme beaucoup de ressources sur l’ordinateur, d’où un ralentissement important de toutes les applications
  5. dès qu’il trouve une machine vulnérable (à la faille LSASS), il lui fait télécharger (par FTP) et exécuter une copie de lui-même, sous le nom 12345_up.exe (ou n’importe quel nombre à 4 ou 5 chiffres).

Sasser est un ver (Worm)

Apparu le 30.4.2004, le nouveau virus windows existe déjà en 4 versions (A à D), dont la dernière a été identifiée aujourd’hui 3.5.2004. Pour l’essentiel, la version C de Sasser crée 1024 « petits programmes » au lieu de 128.

Il ne détruit pas de fichier, mais il ralentit fortement l’ordinateur infecté, il peut engorger un réseau local, et le redémarrage intempestif peut faire perdre les documents ouverts non sauvegardés.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *