Comment Ca Marche - Communauté informatique  
   
Accueil - Encyclopédie informatiqueTélécharger l'encyclopédieContribuer à cet article

Virus - Sasser

Le virus Sasser Encyclopédie

Présentation du virus Sasser

Apparu en mai 2004, le virus Sasser (connu également sous les noms W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) est un virus exploitant une faille du service LSASS (Local Security Authority Subsystem Service, correspondant à l'exécutable lsass.exe) de Windows. L'apparition du premier virus exploitant la faille du service LSASS de Windows a eu lieu à peine deux semaines après la publication de la faille et la mise à disposition des premiers correctifs. Les systèmes affectés sont les systèmes Windows NT 4.0, 2000, XP et en moindre proportion Windows Server 2003.

Les actions du virus

Le ver Sasser est programmé de telle façon à lancer 128 processus (1024 dans le cas de la variante SasserC) chargés de scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille LSASS sur le port 445/TCP.

Le virus installe un serveur FTP sur le port 5554 afin de se rendre disponible en téléchargement aux autres ordinateurs infectés,

Puis, lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur la machine (sur le port TCP 9996), et force la machine distante à télécharger une copie du ver (nommée avserve.exe ou avserve2.exe pour la variante Sasser.B) dans le répertoire de Windows.

Une fois le fichier téléchargé, il crée un fichier nommé win.log (ou win2.log pour la variante Sasser.B) dans le répertoire c:\ afin d'enregistrer le nombre de machines qu'il réussi à infecter. Puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage : 

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe
    ou 
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
		   avserve.exe -> C:\%WINDIR%\avserve.exe

Le virus appelle la fonction "AbortSystemShutdown" afin d'empêcher le redémarrage (ou sa désactivation) par l'utilisateur ou par d'autres virus,

Symptomes de l'infection

L'exploitation de la vulnérabilité LSASS provoque un certain nombre de dysfonctionnements sur les systèmes affectés, liés à l'arrêt du service LSASS (processus lsass.exe). Les systèmes vulnérables présentent les symptomes suivants :

  • Redémarrages intempestifs, le système affiche le message suivant : 
    Arrêt du système initié par Autorite/System
Le processus système: C:\WINDOWS\system32\Isass.exe
s'est terminé de manière innatendue avec le code d'état 128
  • Trafic réseau sur les ports TCP 445, 5554 et 9996,
  • arrêt brutal de 'LSASS.EXE' avec une fenêtre d'erreur affichant : 
    lsass.exe - application error

Eradiquer le virus

Pour éradiquer le ver Sasser, la meilleure méthode consiste en tout premier lieu à protéger le système en activant le pare-feu. Sous Windows XP il suffit d'aller dans 

Menu Démarrer > Panneau de configuration > Connexions réseau
Cliquez ensuite avec le bouton droit sur la connexion reliée à Internet, puis cliquez sur Propriétés. Sélectionnez l'onglet "Paramètres avancés", puis cochez la case "Protéger mon ordinateur et le réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet, validez en cliquant sur OK.

Il est ensuite indispensable de mettre à jour le système à l'aide du service Windows Update ou bien en mettant à jour votre système avec le patch suivant correspondant à votre système d'exploitation :

vous pouvez enfin désinfecter le système à l'aide du kit de désinfection suivant :
Télécharger le kit de désinfection

D'autre part, dans la mesure où le virus se propage par l'intermédiaire du réseau, il est fortement conseillé d'installer un pare-feu personnel sur vos machines connectées à internet et de filtrer les ports tcp/445, tcp/5554 et tcp/9996.

Plus d'informations sur le virus

Trucs & astuces pertinents trouvés dans la base de connaissances

30/08 17h56 Eviter le redémarrage intempestif (Virus)
Sasser Plus d'astuces sur « Sasser »

Discussions pertinentes trouvées dans le forum

17/08 18h37 virus sasser debarasser virus Sasser? impossible de s'en debarasser Virus/Sécurité 27/08 21h28->boulepate6241
02/11 10h24 virus infesté sasser croi (virus) infesté par sasser enfin je croi Virus/Sécurité 10/11 19h47->Regis5936
25/04 15h09 yv 239p variante sasser blaster YV-239P une variante de SASSER / BLASTER ? Virus/Sécurité 05/06 16h38->Ecirb25
28/02 11h53 faille rpc sasser blaster GROS SOUCIS faille RPC ni Sasser ni Blaster Virus/Sécurité 28/02 13h53->Teddy-Bear14
24/10 15h53 lsass exploit sasser Lsass Exploit (Sasser ?) Virus/Sécurité 27/10 12h48->ekra14
30/01 11h25 virulent virus pire que sasser virulent virus pire que que sasser! Virus/Sécurité 07/02 14h49->Stephan Koenig13
23/04 22h27 sasser résistant format sasser résistant au format? Windows 23/04 22h58->hb_crochetiere6
25/02 11h52 virus sasser Virus Sasser Virus/Sécurité 25/02 14h16->geolau5
04/03 12h35 sasser Sasser-A Virus/Sécurité 05/03 18h17->green day3
23/04 22h28 sasser résistant format sasser résistant au format? Virus/Sécurité 23/04 22h35->hb_crochetiere2
Discussion fermée Problème résolu Sasser Plus de discussions sur « Sasser »

Ce document intitulé « Virus - Sasser » issu de l'encyclopédie informatique Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.