Ce ver se propage via une faille du système d’exploitation Windows, et non par le chemin classique du courrier électronique. Il n’est pas destructif mais provoque le redémarrage intempestif des machines infectées. L’ampleur de la propagation est encore incertaine.
Le virus-ver Sasser s’est déjà fait un nom en l’espace de deux jours, même si son mode de réplication original ne le désigne pas comme le virus le plus véloce, comparé à ses prédécesseurs MSBlast ou Code Red.
Il est encore trop tôt pour estimer avec certitude le nombre de machines contaminées, malgré les traditionnels chiffres époustoufflants cités depuis le 1er mai, sa date de naissance. Si vous êtes infecté, reportez vous aux patchs en fin de news (pour les produits avid, attention lire les precaunisatiuons en fin de news)
Le premier effet de ce virus-ver n’est pas de détruire ou de porter atteinte à certaines données. Il fait partie des virus qui s’activent par une action extérieure au comportement de l’utilisateur: il s’active dès que l’ordinateur est connecté à l’internet; 60 secondes après, il se contente d’effectuer un redémarrage automatique de la machine (« reboot ») et de se reproduire.
Comme cela devient une habitude, Sasser est absolument inactif sur les PC ayant au préalable colmaté les dernières failles de Windows, en installant les patchs rendus publics le 13 avril par Microsoft. Dans la matinée du 3 mai, Microsoft a diffusé en français une alerte spécifique sur Sasser, comprenant les premiers gestes manuels pour éradiquer la bestiole.
Ce week-end, les éditeurs n’étaient pas tous d’accord sur le degrè de dangerosité qu’il faut lui accorder. Symantec l’a noté 4 sur sur son échelle de 5 (très moyen), tandis que Network Associates (McAfee) lui accordait un risque « moyen », et que Trend Micro le plaçait en tête de ses critères d’alerte.
Pas de propagation par e-mail
En anglais, Sasser signifie « impertinent » mais ce surnom fait plutôt référence à un terme technique: la vulnérabilité qu’il exploite est présente sur un composant du système d’exploitation, « LSASS » (Local Seciruty Authority Subsystem Service). Cette faille a donc fait l’objet le 13 avril d’une description détaillée (lire en anglais ce document, mis à jour le 28 avril).
Contrairement à la plupart des autres virus-vers, il n’utilise donc pas le courrier électronique pour se propager. En revanche, une fois activé lorsque le PC est mis sous tension et connecté, il scanne les autres ordinateurs connectés en permanence à l’internet et les machines équipées d’OS non mis à jour à la recherche du port TCP 445.
Il tente de provoquer un dépassement de mémoire (buffer overflow), via le fichier LSASS.exe. Cette défaillance advient lorsqu’un programme s’emballe, et demande davantage de mémoire qu’il ne lui a été attribué à l’origine. Résultat, il accède à des zones mémoires qui ne lui sont pas destinées, ce qui permet d’exécuter du code et d’ouvrir une brèche dans les dispositifs de sécurité de l’ordinateur.
Sasser ouvre le port TCP 9996, pour permettre la prise de contrôle de la machine, puis le port 5554, qui sera utilisé comme un serveur FTP pour communiquer avec les autres systèmes infectés. Le virus n’est donc pas dangereux, mais il a pour effet d’éteindre l’ordinateur et de le redémarrer en boucle, laissant en général moins d’une minute à l’utilisateur pour réagir.
Il existe à ce jour, selon les données des éditeurs, trois variantes de ce ver (Sasser.A, B et C). La dernière pourrait être la plus rapide à se multiplier, puisque Sasser.C scanne huit fois plus d’adresses IP que la version B.
Il faut ouvrir le gestionnaire des tâches, via les touches CTRL + ALT + SUPP. Et arrêter le fichier AVSERVE.EXE (ou AVSERVE2.EXE, selon les variantes) et tout autre processus dont le nom est composé de 4 ou 5 chiffres suivi de _UP.EXE (par exemple 74354_up.exe). F-Secure nous apprend que Sasser.C n’a pas été entièrement conçu à partir des deux premières variantes: il utilise par exemple le fichier WIN2.LOG en plus de AVSERVE2.EXE.
Comme l’explique l’éditeur Tegam International, au moment où se déclenche cette alerte, il suffit de cliquer sur l’icône de l’horloge de l’ordinateur et de configurer une date antérieure (par exemple retarder de plusieurs jours). «Ceci stoppe le décompte et indique un délai plus important avant l’extinction de l’ordinateur», affirme Tegam. Ce qui laisse suffisamment de temps pour télécharger le patch sur le site de Microsoft, puis de remettre ses pendules à l’heure.
En cas d’infection, des antidotes proposés par des éditeurs antivirus permettent également de s’en débarrasser.
Security Update for Microsoft Windows 835732 (freeware) Corriger la faille Windows exploitée par Sasser. Télécharger
Symantec W32.Sasser Removal Tool (freeware) Éradiquer Sasser de machines infectées. Télécharger
F-Secure Sasser removal tool (freeware) Pour en finir avec le ver Sasser. TéléchargerEngineering confirmed Freddies report that there is an issue with running the hotfix on Win2K FMs with version 3.3.4 or earlier.
« the MediaNetwork Win2K File Manager for version 3.3.4 fails to start up due to memory allocation errors when either MS04-011 or -012 are loaded. (These symptoms similar to those seen when installing Win2K SP4 or the MS03-045 (KB824141) hot fix on a 3.3.x Win2K FileManager: the File Manager
MediaNetwork installations older than v. 3.4 are at risk
As you are all now probably painfully aware, MS04-011 is an essential element in guarding against the new Sasser worm. Unfortunately, those customers with Unity installations older than v. 3.4 are not going to be able to protect their File Managers using the MS04-011 hot fix.
Windows NT File Managers are at further risk «
engineering is still trying to work out if there is a solution for all WinNT FileManagers.
Best recommandation at the moment seems to be to upgrade the FMs to Win2K – if the are on an SR2200 and fullfill the memory specs (and all the rest)
so obvioussly a bad thing for customers with ISP2150 FMs.
The best pratcice and security guide will be updated on the Knowledge Center Web Site.
CTM Solutions : Promotions – Avid NEXIS, faites évoluer votre ancien stockage collaboratif Avid
Faites évoluer votre ancien stockage collaboratif Avid avec un expert technique certifié] A l’occasion de l’arrivée du Printemps, CTM Solutions avec
CTM Solutions : Promotions – Avid NEXIS nouveaux équipements
Pour vos nouveaux projets d’équipements en Post-production, investissez dans un stockage collaboratif Avid à l’aide d’un expert technique certifié. A
[Event Post MIFA – Workstations Lenovo & AMD des atouts pour la Post-production]
Nous vous proposons un événement unique pour permettre à vos infrastructures techniques de prendre de l’avance, le Jeudi 30 Juin de
XenData (Solution HSM & Archivage)
CTM intégre est distribue les solutiosn de HSM de Xendata. XenData est un fournisseur mondial de solutions de stockage de
[Invitation – workshop « Audio » Mercredi 11 Mai CTM ] Monitoring
Parce qu’ il n’y a pas de studios sans écoute ! Mercredi 11 mai de 9h30 à 18h chez CTM Solutions. 7 fabricants d’écoutes
[Invitation – workshop « Audio » Jeudi 12 Mai CTM] Post-prod
Parce qu’il n’y a pas de studios sans stations de montage et mixage ! Jeudi 12 mai de 9h30 à 13h chez CTM
CTM nouveau workshop 2022 – Remote & Post-production le 28 Avril
Nous sommes heureux de vous présenter chez CTM Solutions notre premier Workshop de l’année, autour des dernières offres et innovations
Avid nouvelle version PRO TOOLS | 2020.11 >
[Avid offre à Pro Tools une mise à jour en version PRO TOOLS | 2020.11] Quelles sont toutes les nouveautés
Avid innove et propose une nouvelle interface Pro Tools | Carbon®
[Audio Studio – Avid propose une nouvelle série d’interface Audio Pro Tools | Carbon®] Dédiée aux artistes, groupes, producteurs et
Rétro-scoop
RME_FIREFACE_400
Fort du succès de la Fireface 800, RME présente sa toute dernière carte audionumérique : la Fireface 400. Avec 36 canaux en 24 bits/192 kHz, la Fireface 400 a tout
Annonce : Digidesign DigiDelivery™ disponible
. DigiDelivery permet d’échanger tous types de fichiers numériques de toutes tailles avec n’importe qui dans le monde. DigiDelivery combine un logiciel très simple d’utilisation et un serveur Ethernet 1U
Panasonic chez CTM Solutions – Séminaire de stockage
Gilles Bribant en pleine action et toujours de bonne humeur, nous présente toute les prochaines nouveautés du NAB 2007. Chez Panasonic un seul mot d'ordre : " En route vers