Le 30 avril 2004 est apparu un nouveau virus Windows, Sasser, de type ver (worm) qui infecte les systèmes d’exploitation Windows 2000 et Windows XP. Ce logiciel malveillant ne cause pas de dégât, mais redémarre la machine, et consomme tellement de ressources qu’il ralentit beaucoup l’ordinateur. Ce malware est cité dans un article où je présente trois logiciels malveillants en exemple d’agressivité croissante. Sasser est le premier d’entre eux.
Le virus Windows Sasser en pratique
Bien qu’il n’infecte pas un ordinateur sous Windows 95 / 98 / Me, le virus Sasser peut quand même être exécuté sur une telle machine pour infecter d’autres ordinateurs auxquels elle est connectée. Là aussi ce logiciel malveillant consomme tellement de ressources qu’il ralentit beaucoup les applications.
Désinfection du virus
Le virus Sasser exploite une faille de sécurité des systèmes d’exploitation Windows 2000 et Windows XP (LSASS) pour se reproduire d’un ordinateur à l’autre.
Pour éviter d’être infecté à nouveau, il faut appliquer un correctif disponible sur le site Web de Microsoft ( voir en fin de page les liens complémentaires ).
Même si vous êtes équipé d’un firewall qui empêche le virus de rentrer sur votre ordinateur, il est conseillé d’appliquer le correctif, qui corrige aussi d’autres failles de sécurité.
Comme d’habitude, il faut mettre à jour son antivirus avec la dernière base de signatures de virus.
Un outil de désinfection spécifique à ce logiciel malveillant est téléchargeable sur le site Web de Symantec ( voir le lien complémentaire en bas de page ).
Mode d’infection du virus Sasser
Une fois entré sur la machine, son exécution effectue les opérations suivantes :
- le virus se copie lui-même dans C:Windowsavserve.exe ou C:Winntavserve.exe
- il ajoute une valeur de clé dans la base de registres (HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun « avserve.exe »= »%Windir%avserve.exe » ) de façon à être éxécuté à chaque démarrage de la machine
- Sasser arrête ou redémarre l’ordinateur
- il essaye de se connecter à d’autres machines, en cherchant des adresses IP au hasard (sur Internet à priori), sur le port 445;
pour ça, il crée 128 « petits programmes », chacun cherchant des machines connectées : ce mécanisme consomme beaucoup de ressources sur l’ordinateur, d’où un ralentissement important de toutes les applications - dès qu’il trouve une machine vulnérable (à la faille LSASS), il lui fait télécharger (par FTP) et exécuter une copie de lui-même, sous le nom 12345_up.exe (ou n’importe quel nombre à 4 ou 5 chiffres).
- Sasser est un virus de type ver (Worm)
Suivez ce lien pour voir les informations détaillées en anglais sur le virus Windows Sasser : Symantec.com W32.Sasser.Worm (anglais).
Apparu le 30 avril 2004, ce nouveau virus Windows existe déjà en 4 versions (A à D), dont la dernière a été identifiée aujourd’hui 3 mai 2004. Pour l’essentiel, la version C de Sasser crée 1024 « petits programmes » au lieu de 128.
Ce logiciel malveillant ne détruit pas de fichier, mais il ralentit fortement l’ordinateur infecté, il peut engorger un réseau local, et le redémarrage intempestif peut faire perdre les documents ouverts non sauvegardés.
Liens complémentaires
- Microsoft.com téléchargement du correctif de la faille de sécurité LSASS (anglais) Ainsi que les informations sur la vulnérabilité.
- Symantec.com Outil de désinfection contre Sasser (anglais).
- Un spam diffuse un cheval de Troie déguisé en vidéo Youtube en 2007.
- Le virus informatique Stuxnet, un type de logiciel très malveillant en 2009.