Sasser

Sasser
Wiktfavicon en.svg Pour une définition du mot « sasser », voir l’article sasser du Wiktionnaire.

Sasser est un ver informatique qui se propage de manière différente des classiques MyDoom.A et dérivés. Les premières infections ont eu lieu le 30 avril 2004 sur les machines sur lesquelles le correctif de sécurité fourni par Microsoft depuis le 13 avril 2004 n'avait pas été appliqué.

Fonctionnement

Ce ver se propage automatiquement par le port 445 sur toute machine connectée en réseau, si elle est équipée du système d'exploitation Microsoft Windows 2000, Windows XP ou Windows Server 2003 et sans le correctif nécessaire (ou si elle n'est pas protégée par un pare-feu correctement configuré).

Une machine infectée télécharge un programme qu'elle exécute automatiquement à l'insu de l'utilisateur. Ce programme cherche ensuite dans le réseau les machines susceptibles d'être contaminées et s'y propage si cela s'avère possible. Parmi les effets secondaires induits par l'exécution du virus, on note des redémarrages intempestifs de la machine ainsi que des messages d'erreurs.

D'une taille de 15 872 octets (pour la version initiale), il profite d'une faille LSASS de Windows pour télécharger sur la machine infectée un fichier nommé avserve.exe dans le répertoire Windows via FTP et le port TCP 5554 et lance son exécution à distance sans aucune intervention de l'utilisateur.

Ensuite, le ver se copie dans le répertoire System avec un nom aléatoire se terminant par _up.exe. Il modifie la base de registre pour se lancer à chaque démarrage. Il lance alors cent vingt-huit processus simultanés afin de balayer le réseau et trouver de nouveaux hôtes. Le système est enfin rendu instable, d'où un plantage de lsass.exe et un redémarrage automatique accompagné du message d'erreur : LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience. (en français : LSA Shell a rencontré un problème et doit fermer.)

Selon les premières estimations, ce sont plusieurs millions de machines qui ont été atteintes par Sasser dès les premiers jours.

Comme le Blaster (Lovesan), il est apparu peu de temps après la publication par Microsoft du correctif MS04-011 de la vulnérabilité qu'il exploite.

Les systèmes d'exploitation de type GNU/Linux, Mac OS, Unix ou autres ne sont pas sensibles à ce virus.

Un allemand de 18 ans, Sven Jaschan, auteur du ver, a été arrêté par la police de son pays le 7 mai 2004, soit quelques jours à peine après la sortie du ver. Malgré cette arrestation, la variante E de Sasser est apparue sur Internet. Il aurait avoué avoir également créé le ver Netsky pour s'opposer aux vers MyDoom et Bagle. Il a été condamné le 8 juillet 2005 à de la prison avec sursis mais travaille désormais dans une entreprise de sécurité informatique.

Variantes connues

En fonction des éditeurs d'antivirus, le nom d'identification du ver est différent : W32/Sasser.x@MM, W32.Sasser.X@mm, WORM_SASSER.X, W32/Sasser-X ou Win32.Sasser.X. « X » étant une nouvelle variante :

  • Sasser.A souche principale de l'infection.
  • Sasser.B identifiée le 1er mai 2004. Cette variante se distingue de Sasser.A par le nom du fichier exécutable viral (AVSERVE2.EXE au lieu de AVSERVE.EXE) et le nom du fichier log (WIN2.LOG au lieu de WIN.LOG).
  • Sasser.C identifiée le 2 mai 2004 cette variante se distingue de Sasser.B par le fait qu'elle lance 1024 processus simultanés au lieu de 128 pour exécuter la routine d'infection et favoriser la propagation du ver.
  • Sasser.D identifiée le 3 mai 2004, l'exécutable lancé se nomme SKYNETAVE.EXE et sa taille est de 16 384 octets
  • Sasser.E, identifiée le 9 mai 2004, l'exécutable lancé se nomme LSASSS.EXE (avec un S en plus du lsass.exe de Microsoft), il tente de modifier la base de registre pour désactiver le ver Bagle, puis affiche une fenêtre d'alerte préconisant l'installation du correctif MS04-011 de Microsoft
  • Sasser.F, identifiée le 11 mai 2004, soit 4 jours après l'arrestation de l'auteur présumé. L'exécutable lancé se nomme NAPATCH.EXE, sa taille est de 74 752 octets.

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Sasser de Wikipédia en français (auteurs)

Игры ⚽ Поможем решить контрольную работу

Regardez d'autres dictionnaires:

  • sasser — [ sase ] v. tr. <conjug. : 1> • 1362; saacier XIIe; de sas → ressasser 1 ♦ Passer au sas, au sasseur. Loc. Vx Sasser et ressasser une affaire, l examiner avec soin, à plusieurs reprises. 2 ♦ (1876) Mar. Faire passer par le sas d une écluse …   Encyclopédie Universelle

  • Sasser — is: *Sasser Pass (also Saser Pass, Saser la), on the old caravan route between Ladakh and Yarkand *Sasser (computer worm) *Jim Sasser, a Democrat who represented Tennessee in the senate from 1977 to 1995 *Sasser, Georgia *Sasser Cup …   Wikipedia

  • Sasser — Saltar a navegación, búsqueda Sasser es un gusano informático que se propaga a través de internet, explotando la vulnerabilidad LSASS en ordenadores remotos. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP y 2000 que no han… …   Wikipedia Español

  • Sasser — Sasser  компьютерный червь, обнаруженный в сети, эпидемия которого началась 30 апреля 2004 года. В течение нескольких дней червь «заразил» порядка 250 тысяч компьютеров по всему миру. Когда Sasser проникал в машину, он сканировал интернет… …   Википедия

  • Sasser — Sasser, GA U.S. town in Georgia Population (2000): 393 Housing Units (2000): 169 Land area (2000): 0.784557 sq. miles (2.031993 sq. km) Water area (2000): 0.000000 sq. miles (0.000000 sq. km) Total area (2000): 0.784557 sq. miles (2.031993 sq.… …   StarDict's U.S. Gazetteer Places

  • Sasser, GA — U.S. town in Georgia Population (2000): 393 Housing Units (2000): 169 Land area (2000): 0.784557 sq. miles (2.031993 sq. km) Water area (2000): 0.000000 sq. miles (0.000000 sq. km) Total area (2000): 0.784557 sq. miles (2.031993 sq. km) FIPS code …   StarDict's U.S. Gazetteer Places

  • sasser — Sasser. v. a. Passer au sas. Sasser de la farine, sasser du plastre. Il sign. fig. Discuter, examiner, rechercher avec exactitude. On a bien sassé cette affaire là …   Dictionnaire de l'Académie française

  • sasser — Sasser, Cernere, Excernere, Incernere …   Thresor de la langue françoyse

  • sasser — obs. form of saucer n …   Useful english dictionary

  • Sasser — Der Computerwurm Sasser (Der Name ist ein Wortspiel zusammengesetzt aus dem englischen Verb „to sass“ – „freche Antworten geben“ und der Tatsache, dass er den Dienst LSASS ausnutzt) verbreitete sich Anfang Mai 2004 in hoher Geschwindigkeit auf… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”