Sasser, le ver automate est en marche ! (risque élevé)

Le par  |  17 commentaire(s)

Sasser, un ver informatique qui a commencé à se propager sur Internet dans la nuit de vendredi à samedi, utilise une faille de Windows récemment corrigée par Microsoft pour se diffuser sans intervention humaine.

Sasser, un ver informatique qui a commencé à se propager sur Internet dans la nuit de vendredi à samedi, utilise une faille de Windows récemment corrigée par Microsoft pour se diffuser sans intervention humaine.

Comme ce fut le cas de Blaster au cours de l'été 2003, voici qu'un autre ver annoncé par les experts en sécurité informatique se propage de lui-même en exploitant une faille largement répandue de Windows. Sasser se diffuse sans intervention humaine en tirant profit de la faille du service LSASS (Windows 2000 et XP) annoncée dans le bulletin MS04-011 de Microsoft.

Pour l'instant, le ver informatique Sasser semble toutefois se distinguer par sa propagation beaucoup moins rapide que celle de Blaster et de son remède Welchia. Les experts n'en comprennent pas encore très bien les raisons mais la situation pourrait s'aggraver lundi matin lorsque des millions d'ordinateurs vulnérables se brancheront à Internet.

Les experts constatent aussi que son développement a été plus rapide que celui de Blaster: seulement 18 jours se sont écoulés entre l'annonce de la faille (avec la publication du correctif) et l'apparition de Sasser, contre 32 pour Blaster.

Pour être infecté par Sasser, nul besoin d'exécuter un fichier infecté joint à un courriel; le ver informatique se diffuse de proche en proche par les PC connectés à Internet sur lesquels le correctif de Microsoft n'a pas été appliqué. Une fois installé dans un PC, Sasser balaie des plages d'adresses IP, déterminées aléatoirement, à la recherche d'autres ordinateurs à infecter, vers lesquels il se transfert par FTP.

Indices d'infection: Sasser affiche une boîte de dialogue à propos d'une erreur de «LSASS.exe», s'installe dans le dossier de Windows sous le nom «avserve.exe» et pourrait ralentir considérablement le fonctionnement d'un PC à cause des 128 processus lancés lors du balayage des adresses IP afin de trouver d'autres victimes. L'ordinateur contaminé pourrait également redémarrer de lui-même.

Les principaux éditeurs de logiciel antivirus ont déjà publié des mises à jour qui permettent de détecter et supprimer Sasser. Microsoft a également mis en ligne, uniquement en anglais pour l'instant, la marche à suivre détaillée pour débarrasser un PC de Sasser.

Note importante: pour protéger un PC contre Sasser, il est indispensable d'installer le correctif d'avril du bulletin MS04-011 de Microsoft car, même après une désinfection, un ordinateur sur lequel la mise à jour n'a pas été appliquée pourrait rapidement se faire contaminer de nouveau.

Source: branchez-vous.com

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #6791
Oki merci neo, mais j'ai remarquer que j'ai un anti-virus, anti-popup, antispyware, anti intrusion (par feu) et aucun problème, moi je ne vais pas dans des sites de pornographie ou ils me demande de dir oui au message qui va suivre (contrat d'install d'un fichier de style Démarrer>Programme>SexHARD.exe ! Punese proteger vous ! mince alors ! après on s'ettone ! le lundi soire chui rentréer pour faire une maj de Sasser ! et bien mon parfeu ma dit 14aintrusion ! donc ! c'est efficasse ! maintenant chui proteger et tout va bien
Faîtes le vous aussi ! proteger vous ! (ohlalah sa m'enerve!)
Le #6794
Bonjour,
Quelques recommandations quand meme. Ce virus n'est pas dangereux pour le pc. Et bien si, il peut etre dangereux. Pourquoi '
Sasser fait rebooter la machine, si pendant le reboot vous étiez en train d'installer le patch aie aie. L'os est a refaire (manque DLL). Je pense notamment au Admin qui deploierait le patch par script. Il y a une parade changer la date ou l'heure du pc, vous aurez ainsi tout le loisir de mettre a jour votre pc sans crainte.

Amicalement
deathscythe0666 Hors ligne VIP 5898 points
Le #6800
Sortez couverts
Faut pas oublier les màj de windowsupdate, ça fait du bien souvent.
Le #6810
ralala sa t'enerve mais lis un peu.
Ca aucun rapport avec des sites pornagraphiques.
No comment.....
Le #6811
bonjour
vous avez vu qu'il se propage par ftp en balayant les IP : un bon firewall et votre ordi est "invisible" sur internet donc pas de risque normalement. pas besoin d'aller chercher beaucoup plus loin je pense

Jerem
Le #6815
pour les versions A et B pas de bléme mais la version D permet au autre virus de pénétrer votre systeme en coupant laction de l'anti-virus alors mef......
Le #6823
on peut m'expliquer comment sasser coupe le firewall de l'exterieur '''''''''
de l'intérieur je veux bien ok mais de l'exterieur oulabete faudrait revoir quelques notions d'informatique!!!
Je me trompe ''''
@+
Le #6824
j'avais mal lu (action de l'anti virus)
...
Masi bon un bon firewall et il rentra jamais le mechant ;->
@++
Le #6825
Un bon firewall qui empeche tout....
Hmmm là j'suis pas convaincu vu toutes les merdes qu'il y a maintenant sur le net que ce soit virus, trojan, spy.
Si vous avez le firewall ideal ben j'veux bien savoir. Perso j'utilise look n' stop qui est noté 17 /20 contrairement a zone alarm qui est noté 10 / 20. Mais cà arrête pas tout.

Le meilleur moyen à mon sens reste un routeur. @plouche
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]