Nouveau virus Windows Sasser en 2004

Le 30 avril 2004 est apparu un nouveau virus Windows, Sasser, de type ver (worm) qui infecte les systèmes d’exploitation Windows 2000 et Windows XP. Ce logiciel malveillant ne cause pas de dégât, mais redémarre la machine, et consomme tellement de ressources qu’il ralentit beaucoup l’ordinateur. ( Voir la définition d’un logiciel malveillant )

Le virus Windows Sasser en pratique

Bien qu’il n’infecte pas un ordinateur sous Windows 95 / 98 / Me, le virus Sasser peut quand même être exécuté sur une telle machine pour infecter d’autres ordinateurs auxquels elle est connectée. Là aussi ce logiciel malveillant consomme tellement de ressources qu’il ralentit beaucoup les applications.

Désinfection du virus

Le virus Sasser exploite une faille de sécurité des systèmes d’exploitation Windows 2000 et Windows XP (LSASS) pour se reproduire d’un ordinateur à l’autre.

Pour éviter d’être infecté à nouveau, il faut appliquer un correctif disponible sur le site Web de Microsoft ( voir en fin de page les liens complémentaires ).

Même si vous êtes équipé d’un firewall qui empêche le virus de rentrer sur votre ordinateur, il est conseillé d’appliquer le correctif, qui corrige aussi d’autres failles de sécurité.

Comme d’habitude, il faut mettre à jour son antivirus avec la dernière base de signatures de virus.

Un outil de désinfection spécifique à ce logiciel malveillant est téléchargeable sur le site Web de Symantec ( voir le lien complémentaire en bas de page  ).

Mode d’infection du virus Sasser

Une fois entré sur la machine, son exécution effectue les opérations suivantes :

  1. le virus se copie lui-même dans C:Windowsavserve.exe ou C:Winntavserve.exe
  2. il ajoute une valeur de clé dans la base de registres (HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun « avserve.exe »= »%Windir%avserve.exe » ) de façon à être éxécuté à chaque démarrage de la machine
  3. Sasser arrête ou redémarre l’ordinateur
  4. il essaye de se connecter à d’autres machines, en cherchant des adresses IP au hasard (sur Internet à priori), sur le port 445;
    pour ça, il crée 128 « petits programmes », chacun cherchant des machines connectées : ce mécanisme consomme beaucoup de ressources sur l’ordinateur, d’où un ralentissement important de toutes les applications
  5. dès qu’il trouve une machine vulnérable (à la faille LSASS), il lui fait télécharger (par FTP) et exécuter une copie de lui-même, sous le nom 12345_up.exe (ou n’importe quel nombre à 4 ou 5 chiffres).
  6. Sasser est un virus de type ver (Worm)

Suivez ce lien pour voir les informations détaillées en anglais sur le virus Windows Sasser : Symantec.com W32.Sasser.Worm (anglais).

Apparu le 30 avril 2004, ce nouveau virus Windows existe déjà en 4 versions (A à D), dont la dernière a été identifiée aujourd’hui 3 mai 2004. Pour l’essentiel, la version C de Sasser crée 1024 « petits programmes » au lieu de 128.

Ce logiciel malveillant ne détruit pas de fichier, mais il ralentit fortement l’ordinateur infecté, il peut engorger un réseau local, et le redémarrage intempestif peut faire perdre les documents ouverts non sauvegardés.

Liens complémentaires

Laisser un commentaire

A hacker easily removes your link spam or thanks you for your contribution.

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *