SIGEST - Sasser

Espace libre > Info Sécurité

Accueil

Sasser 3/05/2004

C’était prévu, c’est arrivé …

Les premiers vers exploitant la vulnérabilité Windows LSASS (voir le n° de TechAlerte du 14 avril dernier http://www.communautech.com/newsletters/corlettre.cfm?id=474 sont entrés en
circulation.

Sasser.A et sa variante Sasser.B se disséminent en scannant de manière aléatoire les adresses IP, à la recherche de systèmes Windows vulnérables faute d’application du correctif MS04-011
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.

Ceux-ci sont alors infectés via le port 445, et les vers déclenchent le téléchargement des exécutables avserve.exe (pour Sasser.A) ou avserve2.exe (pour Sasser.B).

La base de registre est alors modifiée afin de forcer l’exécution de ces programmes à chaque démarrage des machines concernées, et celles-ci sont utilisées à leur tout pour scanner le réseau à la recherche de nouveaux systèmes vulnérables.

Sasser est heureusement peu virulent, puisqu’il n’a pas d’action destructive à proprement parler, mais il rend les systèmes infectés instables, et génère des plantages avec redémarrages automatiques.

De plus, si sa dissémination continue au rythme actuel, l’augmentation du trafic réseau engendrée par Sasser pourrait avoir des effets proches de ceux de Blaster en août dernier en causant d’importants ralentissements d’Internet …

Si ce n’est déjà fait, appliquez au plus vite le correctif MS04-011
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Ces informations sont diffusées par Communautech
www.communautech.com

Les clients de SIGEST sous contrat de maintenance trouveront le vaccin contre le Ver Sasser de Symantec dans les pages espace client.

Retour...