Loading AI tools
De Wikipédia, l'encyclopédie libre
Sasser est un ver informatique qui se propage de manière différente des classiques MyDoom.A et dérivés. Les premières infections ont eu lieu le sur les machines sur lesquelles le correctif de sécurité fourni par Microsoft depuis le n'avait pas été appliqué.
Contrairement à beaucoup d'autres vers, ce ver ne s’est pas répandu par courriel, mais a exploité une faille de sécurité. Son auteur, un Allemand âgé à l’époque de 18 ans, arrêté quelques jours à peine après la sortie du ver, a été condamné à de la prison avec sursis. Il travaille désormais pour une société de sécurité informatique.
Les dommages sont estimés à plusieurs dizaines de millions de dollars.
Ce ver se propage automatiquement par le port 445 sur toute machine connectée en réseau, si elle est équipée du système d'exploitation Microsoft Windows 2000, Windows XP ou Windows Server 2003 et sans le correctif nécessaire (ou si elle n'est pas protégée par un pare-feu correctement configuré).
Une machine infectée télécharge un programme qu'elle exécute automatiquement à l'insu de l'utilisateur. Ce programme cherche ensuite dans le réseau les machines susceptibles d'être contaminées et s'y propage si cela s'avère possible. Parmi les effets secondaires induits par l'exécution du virus, on note des redémarrages intempestifs de la machine ainsi que des messages d'erreurs.
D'une taille de 15 872 octets (pour la version initiale), il profite d'une faille LSASS de Windows pour télécharger sur la machine infectée un fichier nommé avserve.exe dans le répertoire Windows via FTP et le port TCP 5554 et lance son exécution à distance sans aucune intervention de l'utilisateur.
Ensuite, le ver se copie dans le répertoire System avec un nom aléatoire se terminant par _up.exe. Il modifie la base de registre pour se lancer à chaque démarrage. Il lance alors cent vingt-huit processus simultanés afin de balayer le réseau et trouver de nouveaux hôtes. Le système est enfin rendu instable, d'où un plantage de lsass.exe et un redémarrage automatique accompagné du message d'erreur : LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience. (en français : LSA Shell a rencontré un problème et doit fermer.)
Selon les premières estimations, ce sont plusieurs millions de machines qui ont été atteintes par Sasser dès les premiers jours.
Comme le Blaster (Lovesan), il est apparu peu de temps après la publication par Microsoft du correctif MS04-011 de la vulnérabilité qu'il exploite.
Les systèmes d'exploitation de type GNU/Linux, Mac OS, Unix ou autres ne sont pas sensibles à ce virus.
Un allemand de 18 ans, Sven Jaschan, auteur du ver, a été arrêté par la police de son pays le , soit quelques jours à peine après la sortie du ver. Malgré cette arrestation, la variante E de Sasser est apparue sur Internet. Il aurait avoué avoir également créé le ver NetSky pour s'opposer aux vers MyDoom et Bagle. Il a été condamné le à de la prison avec sursis mais travaille désormais dans une entreprise de sécurité informatique.
En fonction des éditeurs d'antivirus, le nom d'identification du ver est différent : W32/Sasser.x@MM, W32.Sasser.X@mm, WORM_SASSER.X, W32/Sasser-X ou Win32.Sasser.X. « X » étant une nouvelle variante :
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.