Nouveau virus windows Sasser
Le 30.4.2004 est apparu un nouveau virus windows, Sasser, de type ver (worm) qui infecte les systèmes d'exploitation Windows 2000 et Windows XP. Il ne cause pas de dégat, mais redémarre la machine, et consomme tellement de ressources qu'il ralentit beaucoup l'ordinateur.
Bien qu'il n'infecte pas un ordinateur sous Windows 95 / 98 / Me, Sasser peut quand même être exécuté sur une telle machine pour infecter d'autres ordinateurs auxquels elle est connectée. Là aussi il consomme tellement de ressources qu'il ralentit beaucoup les applications.
Désinfection
Le virus Sasser exploite une faille de sécurité des systèmes d'exploitation windows 2000 et windows XP (LSASS) pour se reproduire d'un ordinateur à l'autre.Pour éviter d'être infecté à nouveau, il faut appliquer un correctif disponible sur le site Web de Microsoft : voir "En savoir plus (ailleurs)".
Même si vous êtes équipé d'un firewall qui empêche le virus de rentrer sur votre ordinateur, il est conseillé d'appliquer le correctif, qui corrige aussi d'autres failles de sécurité.
Comme d'habitude, il faut mettre à jour son antivirus avec la dernière base de signatures de virus.
Un outil de désinfection spécifique est téléchargeable sur le site Web de Symantec : voir "En savoir plus (ailleurs)".
Infection par le virus Sasser
Une fois entré sur la machine, son exécution effectue les opérations suivantes :- le virus se copie lui-même dans C:\Windows\avserve.exe ou C:\Winnt\avserve.exe
- il ajoute une valeur de clé dans la base de registres (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "avserve.exe"="%Windir%\avserve.exe" ) de façon à être éxécuté à chaque démarrage de la machine
- Sasser arrête ou redémarre l'ordinateur
- il essaye de se connecter à d'autres machines, en cherchant des adresses IP au hasard (sur Internet à priori), sur le port 445;
pour ça, il crée 128 "petits programmes", chacun cherchant des machines connectées : ce mécanisme consomme beaucoup de ressources sur l'ordinateur, d'où un ralentissement important de toutes les applications - dès qu'il trouve une machine vulnérable (à la faille LSASS), il lui fait télécharger (par FTP) et exécuter une copie de lui-même, sous le nom 12345_up.exe (ou n'importe quel nombre à 4 ou 5 chiffres).
Sasser est un ver (Worm)
Apparu le 30.4.2004, le nouveau virus windows existe déjà en 4 versions (A à D), dont la dernière a été identifiée aujourd'hui 3.5.2004. Pour l'essentiel, la version C de Sasser crée 1024 "petits programmes" au lieu de 128.
Il ne détruit pas de fichier, mais il ralentit fortement l'ordinateur infecté, il peut engorger un réseau local, et le redémarrage intempestif peut faire perdre les documents ouverts non sauvegardés.
Risques sur Internet
- Les types de virus informatiques
- Email indésirable
- Logiciel espion, social engineering ...
- Le maillon faible de la sécurité
- La pub agressive
- Les cookies confidentiels
- Différence entre un hacker et un pirate (cracker)
- Trojan - Cheval de Troie
- Failles de sécurité
- Le phishing pour piller votre compte bancaire
- La sécurité informatique pour Internet
- Nouveau Trojan Scob
- Nouveau virus Sasser
- Virus Welchi
En savoir plus (ici)
Connaître ses ennemis pour mieux s'en protéger : types et comportements des virus et troyen.
Un anti-virus n'est pas la panacée contre les virus.
Quelle différence entre un scanner et un moniteur anti-virus ?
En savoir plus (ailleurs)
Microsoft.com téléchargement du correctif de la faille de sécurité LSASS (anglais) Ainsi que les informations sur la vulnérabilité.
Symantec.com Outil de désinfection contre Sasser (anglais)
Symantec.com W32.Sasser.Worm (anglais) Les informations détaillées sur le virus Sasser.
