Du type "ver", le virus a un fichier d'une taille de 15.872 bytes et n'affecte pas les systèmes Linux, McIntosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT, ajoute Symantec sur son site.
Le ver tente d'exploiter un trou de sécurité (vulnerability) signalé par la société Microsoft, le géant de l'informatique, dans son bulletin numéro MS04-011, selon Symantec.
Sasser "s'introduit dans votre ordinateur et tente ensuite d'aller ailleurs. Il choisit ses victimes au hasard", a expliqué Alfred Huger, directeur technique de Symantec, basé à Cupertino (Californie, ouest).
Le virus s'attaque aux systèmes Microsoft et "tire avantage de la vulnérabilité de Microsoft. Contrairement à d'autres virus précédents, il ne semble pas causer de dommages à l'ordinateur", a-t-il ajouté.
Symantec a décrit samedi soir la propagation géographique de Sasser comme "basse" et a qualifié "d'aisée" la maîtrise et l'élimination de cette menace.
Le site anti-virus américain Panda Software a pour sa part indiqué que les pays actuellement les plus affectés étaient l'Estonie, Israël, Taïwan, l'Espagne et la France, selon un pointage à 21H25 GMT.
Le chef de la recherche anti-virus de la firme finnoise F-Secure, Mikko Hyppoenen, avait de son côté indiqué que le virus Sasser pouvait infecter n'importe quel ordinateur pourvu qu'il soit branché.
Contrairement aux autres virus, il ne se répand pas par la voie des courriels. Le virus ferme l'ordinateur, puis le redémarre automatiquement et répète la procédure plusieurs fois. "C'est l'un des rares virus qui se répande automatiquement: il suffit que votre PC soit branché", avait indiqué M. Hyppoenen.
Il a également indiqué que bien qu'empêchant l'usage de l'ordinateur, il était inoffensif, à la différence des virus Bagle et Sobig. "Ce virus n'a pas d'intentions criminelles, à la différence des virus Bagle et Sobig que nous avons vus dans le passé, qui prenaient le contrôle des ordinateurs en ouvrant des accès pour le spam. Sasser ne fait rien de tel", a-t-il déclaré.
Sasser a été observé pour la première fois samedi à 00h00 GMT, infectant les ordinateurs qui n'avaient pas installé le dernier patch (correctif) publié par Microsoft dans les 18 derniers jours.
Le porte-parole de Symantec, Mike Bradshaw, a de son côté indiqué que le ver avait été observé dès mercredi soir.
Sasser est la troisième vague importante de virus à être lancée cette année, après Mydoom.A, en janvier, et Bagle.B en février.
Sasser est le premier virus ciblant les ordinateurs vulnérables à la faille Microsoft LSASS annoncée le 13/04/04. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Sasser l'infecte via le port TCP 445 sans intervention de l'utilisateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables. Le virus n'est pas destructif mais chaque attaque peut provoquer un plantage de l'ordinateur. La mise à jour des ordinateurs sous Windows NT, 2000, XP et 2003 est urgente et impérative.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs de Windows NT, 2000, XP et 2003 doivent également mettre à jour leur système via le site de Microsoft ou le service WindowsUpdate afin de corriger la faille LSASS exploitée par le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FxSasser pour rechercher et éliminer le virus.
DESCRIPTION DETAILLEE :
Sasser est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.
Une fois l'ordinateur infecté, se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe), le virus modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur puis scanne continuellement le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend souvent le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience").
Si le délai de 60 secondes ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP). Le virus créé enfin un fichier C:\WIN.LOG où il consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées.
Sasser est moyennement virulent mais pourrait finir par causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.
01/05/04 : une variante mineure Sasser.B (également nommée W32/Sasser-B, W32/Sasser.b@MM, W32.Sasser.B@mm, PE_SASSER.B, ou Win32.Sasser.B) a été identifiée. Elle se distingue uniquement par le nom du fichier exécutable viral (AVSERVE2.EXE au lieu de AVSERVE.EXE) et le nom du fichier log (WIN2.LOG au lieu de WIN.LOG). Un utilitaire de désinfection gratuit est disponible contre Sasser.B.
INFORMATIONS COMPLEMENTAIRES :
-> Vulnérabilités multiples dans Windows XP, 2000, NT 4.0 et Server 2003 (13/04/04)
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alert pour être prévenu de l'apparition des nouveaux hoax et virus
Posté le: Mer Juil 06, 2005 3:27 am Sujet du message:
8) 8) 8) 8)
J'ai vue que le procès de l'homme qui a implanté le virus Sasser, débutait aujourd'hui, bonne nouvelle, comme quoi ils sont trouvés c'est virus à deux pattes. :P :P :P :P
:wink: bYe _________________ Si les yeux n'avaient pas de larmes,
l'âme n'aurait pas d'arc-en-ciel.
Inscrit le: 19 Mar 2004 Messages: 5231 Localisation: pas si loin que ça
Posté le: Mer Aoû 17, 2005 12:14 am Sujet du message:
lgrec a écrit:
8) 8) 8) 8)
J'ai vue que le procès de l'homme qui a implanté le virus Sasser, débutait aujourd'hui, bonne nouvelle, comme quoi ils sont trouvés c'est virus à deux pattes. :P :P :P :P
:wink: bYe
tu es bien sure de l'orthographe?c'est pas ça sert? :D _________________ toutes les meilleures choses ont une fin
Posté le: Mar Sep 20, 2005 9:43 am Sujet du message:
J'ai vue que le procès de l'homme qui a implanté le virus Sasser, débutait aujourd'hui, bonne nouvelle, comme quoi ils sont trouvés c'est virus à deux pattes. :P :P :P :P
: bYe tu es bien sure de l'orthographe?c'est pas ça sert?
pfffffffffff ce que le ricard peut faire parfois hin cloclo ????
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
8) 
