Virus
Sasser.A  
 
Sasser.A est un virus ciblant les ordinateurs vulnérables à la faille Microsoft LSASS annoncée le 13/04/04. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Sasser.A l'infecte via le port TCP 445 sans intervention de l'utilisateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables. Le virus n'est pas destructif mais chaque attaque peut provoquer un plantage ou redémarrage de l'ordinateur. La mise à jour des ordinateurs sous Windows NT, 2000, XP et 2003 est urgente et impérative.
   
 
PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs de Windows NT, 2000, XP et 2003 doivent également mettre à jour leur système via le site de Microsoft ou le service WindowsUpdate afin de corriger la faille LSASS exploitée par le virus pour s'exécuter automatiquement.
 
DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FxSasser pour rechercher et éliminer le virus.
 
 
TYPE :
Ver  
 
SYSTEME(S) CONCERNE(S) :
Windows 2000
Windows XP
 
ALIAS :
Sasser.A (CA)
Sasser (F-Secure)
W32/Sasser.worm (Mc Afee)
W32/Sasser-A (Sophos)
W32.Sasser.Worm (Symantec)  
WORM_SASSER.A (Trend Micro)
Bat.Sasser.a  
 
 
TAILLE :
15.872 octets
 
DECOUVERTE :
30/04/2004
 
DESCRIPTION DETAILLEE :
Sasser.A est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.  
 
Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe), modifie la base de registres pour s'exécuter à chaque démarrage, puis lance 128 processus simultanés afin de balayer le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience" ).  
 
Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes. Si ce délai ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP). Le virus créé enfin un fichier C:\WIN.LOG où il consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées.
 
Une propagation massive de Sasser et d'éventuelles variantes pourrait causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.
 
01/05/04 : une variante mineure Sasser.B (également nommée W32/Sasser.b@MM, W32.Sasser.B@mm, WORM_SASSER.B, W32/Sasser-B ou Win32.Sasser.B) a été identifiée. Elle se distingue de Sasser.A par le nom du fichier exécutable viral (AVSERVE2.EXE au lieu de AVSERVE.EXE) et le nom du fichier log (WIN2.LOG au lieu de WIN.LOG). Un utilitaire de désinfection gratuit est aussi disponible contre Sasser.B.
 
02/05/04 : une variante mineure Sasser.C (également nommée W32/Sasser.c@MM, W32.Sasser.C@mm, WORM_SASSER.C, W32/Sasser-C ou Win32.Sasser.C) a été identifiée. Elle se distingue de Sasser.B par le fait qu'elle lance 1024 processus simultanés au lieu de 128 pour exécuter la routine d'infection et favoriser la propagation du virus. Un utilitaire de désinfection gratuit est aussi disponible contre Sasser.C.
 
info:secuser.com

fallait plutot poster ici : http://forum.hardware.fr/hardwaref [...] 5501-1.htm
 
topic en sticky !