Sasser, le ver automate est en marche ! (risque élevé)

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Sasser, le ver automate est en marche ! (risque élevé)

Publié le 05 mai 2004 à 10:32 par N..E..O

Lire sur mobile

Sasser, un ver informatique qui a commencé à se propager sur Internet dans la nuit de vendredi à samedi, utilise une faille de Windows récemment corrigée par Microsoft pour se diffuser sans intervention humaine.

Sasser, un ver informatique qui a commencé à se propager sur Internet dans la nuit de vendredi à samedi, utilise une faille de Windows récemment corrigée par Microsoft pour se diffuser sans intervention humaine.

Comme ce fut le cas de Blaster au cours de l'été 2003, voici qu'un autre ver annoncé par les experts en sécurité informatique se propage de lui-même en exploitant une faille largement répandue de Windows. Sasser se diffuse sans intervention humaine en tirant profit de la faille du service LSASS (Windows 2000 et XP) annoncée dans le bulletin MS04-011 de Microsoft.

Pour l'instant, le ver informatique Sasser semble toutefois se distinguer par sa propagation beaucoup moins rapide que celle de Blaster et de son remède Welchia. Les experts n'en comprennent pas encore très bien les raisons mais la situation pourrait s'aggraver lundi matin lorsque des millions d'ordinateurs vulnérables se brancheront à Internet.

Les experts constatent aussi que son développement a été plus rapide que celui de Blaster: seulement 18 jours se sont écoulés entre l'annonce de la faille (avec la publication du correctif) et l'apparition de Sasser, contre 32 pour Blaster.

Pour être infecté par Sasser, nul besoin d'exécuter un fichier infecté joint à un courriel; le ver informatique se diffuse de proche en proche par les PC connectés à Internet sur lesquels le correctif de Microsoft n'a pas été appliqué. Une fois installé dans un PC, Sasser balaie des plages d'adresses IP, déterminées aléatoirement, à la recherche d'autres ordinateurs à infecter, vers lesquels il se transfert par FTP.

Indices d'infection: Sasser affiche une boîte de dialogue à propos d'une erreur de «LSASS.exe», s'installe dans le dossier de Windows sous le nom «avserve.exe» et pourrait ralentir considérablement le fonctionnement d'un PC à cause des 128 processus lancés lors du balayage des adresses IP afin de trouver d'autres victimes. L'ordinateur contaminé pourrait également redémarrer de lui-même.

Les principaux éditeurs de logiciel antivirus ont déjà publié des mises à jour qui permettent de détecter et supprimer Sasser. Microsoft a également mis en ligne, uniquement en anglais pour l'instant, la marche à suivre détaillée pour débarrasser un PC de Sasser.

Note importante: pour protéger un PC contre Sasser, il est indispensable d'installer le correctif d'avril du bulletin MS04-011 de Microsoft car, même après une désinfection, un ordinateur sur lequel la mise à jour n'a pas été appliquée pourrait rapidement se faire contaminer de nouveau.