(03/05/04) - Sasser, la dernière des plaies informatiques modernes a commencé à se diffuser sur Internet infectant à tout va les PC Windows 2000 et Windows XP sur lesquels n'ont pas été appliqués les derniers correctifs de sécurité. A ce jour plusieurs centaines de milliers de machines auraient été infectées et le ver pourrait en fin de journée toucher plusieurs millions de machines dans le monde. Selon Computer Associates, Sasser.A est un ver qui se propage en tirant partie de la faille détectée dans le services LSASS de Windows (Windows Local Security Authority Subsystem Service). Microsoft a publié un correctif pour cette faille à la mi-avril mais tous les systèmes qui n'ont pas reçu ce correctif et qui ne sont pas protégés par un pare-feu sont potentiellement vulnérables. Sasser.A a un homologue, le ver Sasser.qui se diffuse en testant aléatoirement des adresses IP sur le port TCP 455. Si le ver parvient à se connecter, il tente d'exploiter la faille LSASS. Il ouvre alors un remote shell sur le port 9996 qu'il utilise pour créer un script FTP dans le répertoire système de la machine attaquée. Sasser.B opère alors un serveur FTP sur la machine infectée sur le port 5554 et utilise ce serveur pour se diffuser vers d'autres machines. Sasser.B crée ainsi 128 threads pour scanner des PC vulnérables et peut ainsi scanner jusqu'à 200 adresses par seconde. Les machines infectées présentent des symptômes tels que des plantages intempestifs ou des redémarrages aléatoires. Les versions actuelles du ver n'endommagent pas les fichiers présents sur le disque dur et ne s'attaquent pas aux fichiers systèmes. Mais les spécialistes n'excluent pas la possibilité d'apparition d'une version plus virulente et plus dangereuse. Déjà, Panda annonce avoir repéré une variante baptisée Sasser.C capable de lancer 1024 threads ce qui la rend bien plus virulente que Sasser.B. Il est à noter que la plupart des grands éditeurs d'antivirus, ainsi que Microsoft, suggèrent sur leurs sites des procédures de déverminage pour Sasser. Le géant de Redmond propose ainsi une page web en français listant les tâches à accomplir pour se débarrasser du fléau.. Il recommande également à ceux qui ne l'aurait déjà fait, d'appliquer le correctif de sécurité MS04-011 en utilisant Windows Update ou l'adresse indiquée en lien en début d'article...
Suivez-nous