Le ver Sasser, nouvelle menace majeure pour Windows.

Par Jerome Saiz, le 02 mai 2004 à 12:56:00.

Le ver Sasser exploite l'une des dernières failles découvertes au coeur de Windows, il y a tout juste deux semaines. A l'image de Blaster, il se propage sur le réseau et infecte automatiquement les PC connectés s'ils ne sont protégés derrière un pare-feu, ou mis à jour. L'épidémie pourrait s'étendre rapidement.

Tous les spécialistes s'y attendaient : l'annonce il y a quinze jours de la découverte d'une vingtaine de failles au coeur de Windows ne pouvait qu'inspirer un auteur de virus. Et c'est aujourd'hui chose faite : le ver Sasser se propage rapidement sur Internet en profitant de la faille du processus lsass.exe présente dans Windows 2000, XP et 2003.
Le ver infecte les PC sous Windows par le biais du port 445. Il explore le réseau à partir des machines infectées, à la recherche d'autres PC dont ce port serait accessible (c'est à dire pas protégé par un pare-feu) et dont le service lsass serait vulnérable (c'est à dire chez qui l'utilisateur n'aurait pas appliqué le correctif de Microsoft paru à la mi-avril).

A l'image du ver Blaster, Sasser provoque un dépassement de mémoire tampon, cette fois non pas dans le service RPC mais, donc, dans lsass. Une fois ce dernier tombé, Sasser est libre d'exécuter son propre code. Sa première action est de se copier sur le disque dur et de modifier la base de registre afin de se lancer automatiquement à chaque démarrage du PC. Il procède ensuite à la récupération du reste de son "corps" par FTP, puis il ouvre une porte dérobée sur le PC en écoutant au port 9996. Bref, Sasser a un comportement de ver tout à fait typique ! Il pousse même le mimétisme de Blaster jusqu'à faire redémarrer l'ordinateur à intervalle régulier.

Une infection facile à détecter...

Sasser n'est cependant pas très discret. Outre le fait de redémarrer l'ordinateur (en donnant même le nom du composant mis en cause : lsass.exe), il ne se cache pas dans la liste des processus. Un simple appel au gestionnaire des tâches de Windows (ctrl+alt+suppr) permettra de découvrir le processus du ver, appelé avserv.exe ou avserv2.exe.
Enfin, un programme du même nom sera placé dans le répertoire d'installation de Windows.


... et simple à traiter !

Se débarrasser de Sasser n'est pas très compliqué. Il suffit de récupérer sur Internet l'un des outils de désinfection gratuits proposés par les éditeurs anti-virus (voir ci-dessous) et, surtout, le correctif de Microsoft qui permet d'empêcher une nouvelle infection. Une fois ces deux programmes lancés, le ver aura disparu et le PC sera protégé. Il serait bon, toutefois, de penser aussi à installer un pare-feu personnel, seul à même de filtrer les ports sensibles de Windows (137, 139, 445... toujours les mêmes).

Plus d'information

• Un désinfectant chez Symantec.
• Le désinfectant universel chez Network Associates - Mcafee
• La même chose chez Trend Micro
• Le correctif de la faille lsass.exe publié par Microsoft.

A voir aussi

• Une nouvelle faille majeure pour Windows. (14 juil 2004)
• Zero day, alerte majeure sur Windows (30 déc 2005)
• Une faille majeure pour Windows 2000 et IIS. (18 mars 2003)
• Une nouvelle faille incroyable pour Windows XP. (20 déc 2002)
• De nouvelles mesures de sécurité pour Windows XP. (29 oct 2003)