|
Tous les Articles du Laboratoire Microsoft
1. Qu'est ce que Sasser ?
Sasser (W32.Sasser.Worm) est un ver ressemblant étrangement à Blaster.
Ce virus apparu dans la nuit du 29 au 1er mai exploite une faille de sécurité récemment corrigée sous Windows.
Ce ver affecte le protocole PCT(Private Communications Transport) qui fait partie de la bibliothèque SSL(Secure Sockets Layer) de Microsoft.
Le ver attaque le service LSASS (Local Security Authority Subsystem Service).
Ce ver se propage rapidement sur le réseau Internet. Il ne se propage donc pas par courrier électronique mais directement sur le réseau. Ainsi toute machine non protégée et qui est connectée à Internet est vulnérable.
Une fois la machine infectée le vers effectue les actions suivantes :
- Ajoute une valeur au registre afin de se lancer automatiquement au démarrage de l'ordinateur
- Redémarre votre ordinateur en boucle
- Démarre un serveur FTP sur le port TCP 5554. Ceci afin de se propager à d'autres ordinateurs.
- Se connecte aléatoirement sur le port TCP 445. Puis peut ouvrir une connexion sur un PC distant afin de se copier sur la machine distante. Le ver se copie sous le nom de fichier suivant : xxxx_up.exe où x représente un chiffre.
- Le ver lance 128 processus afin de scanner des adresses IP ce qui entraîne une charge CPU importante.
2. Les signes d'infection de Sasser !
|
|
Fig2.1 - Le virus Sasser en action |
Fig2.2 - Un signe d'une machine infectée |
Pour ce protéger du ver il est indispensable d'appliquer la mise à jour de sécurité MS04-11 (KB 835732 du 13 Avril 2004).
Vous devez vous rendre sur le site de Windows Update afin de mettre à jour le correctif Windows Update
Vous pouvez aussi télécharger le KB835732
Il faut également installer ou activer un pare-feu sur votre ordinateur.
Windows XP contient un pare-feu que vous pouvez activer.
La procédure pour activer le pare-feu de Windows XP est décrite ci-dessous.
3. Comment supprimer le ver Sasser ?
Pour les utilisateurs de Windows XP il est fortement conseillé de désactiver la restauration système.
Sous Windows XP :
- Faites un clic droit sur Poste de travail
- Cliquer sur Propriétés.
- Cliquer ensuite sur l’onglet Restauration système
- Cocher la case Désactiver la restauration système sur tous les lecteurs.
- Cliquer ensuite sur OK
- Windows vous demande alors de confirmer la désactivation de la restauration système, cliquer sur Oui.
- Tout d'abord il est important d'activer le pare-feu sur l'ordinateur infecté
- Pour activer le pare-feu sous Windows XP :
- Cliquez sur Démarrer, Panneau de Configuration, Connexions Réseau
- Faites clic droit sur la connexion Internet, puis cliquer sur Propriétés
- Cliquez ensuite sur l'onglet Avancé
- Cocher la case Protéger mon ordinateur et le réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet
- Cliquez sur OK, puis redémarrer votre ordinateur
Le pare-feu de Windows XP protège votre ordinateur contre les virus Sasser et Blaster
Pour désactiver le ver Sasser
- Appuyez sur CTRL+ALT+SUPPR
- Ouvrez le Gestionnaire de tâches, s'il ne s'est pas ouvert
- Cliquez sur l'onglet Processus
Sélectionnez les processus suivant :
- avserve.exe Sasser.A
- avserve2.exe Sasser.B
- Tous les processus C:\WINDOWS\System32\Numéro_up.exe par exemple (74354_up.exe)
- Cliquez ensuite sur Terminer le processus puis confirmer en cliquant sur Oui
- Fermez ensuite le Gestionnaire de tâches
Supprimer le virus au démarrage de l'ordinateur
- Lancez l’éditeur de registre : Démarrer, Exécuter taper regedit
- Cherchez la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le volet de droite :
- Supprimez la valeur suivante : "avserve.exe="%Windir%\avserve.exe" Sasser.A
- Supprimez la valeur suivante : "avserve2.exe="%Windir%\avserve2.exe" Sasser.B
- Fermez ensuite l'éditeur de registre
Suppression des fichiers comportant le code viral
- Cliquez sur Démarrer, Rechercher
- Cherchez ensuite les fichiers suivants : C:\WINDOWS\avserve.exe, C:\WINDOWS\avserve2.exe et C:\WINDOWS\system32\*_up.exe
- Pour cela saisissez : avserve*.exe;*_up.exe et cliquez sur Rechercher
- Supprimez ensuite les fichiers trouvés
Liste des outils de suppression automatique
La plupart des éditeurs antivirus proposent un outil de suppression du ver W32.Sasser.A/B
Les outils de suppression sont en anglais.
Les outils de suppression permettent d'éradiquer le virus sur votre ordinateur.
Cependant, ils ne protégent pas la machine contre d'autres attaques potentiellement dangereuses du ver Sasser.
Il est donc indispensable de protéger votre PC avec un pare-feu.
Aussi il faut impérativement mettre votre PC à jour à l'aide de Windows Update ou encore en téléchargeant les mises à jour de sécurité relatives au bulletin MS04-11.
|
|
 |
Comment éliminer le ver Sasser (W32.Sasser.Worm)
Pour afficher ou poster un commentaire, cliquez sur ce lien : 
