Flux rss
Dossiers
Ils ont besoin de votre aide
Collection CommentCaMarche.net

Le ver Sasser

Présentation du virus Sasser

Apparu en mai 2004, le virus Sasser (connu également sous les noms W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) est un virus exploitant une faille du service LSASS (Local Security Authority Subsystem Service, correspondant à l'exécutable lsass.exe) de Windows. L'apparition du premier virus exploitant la faille du service LSASS de Windows a eu lieu à peine deux semaines après la publication de la faille et la mise à disposition des premiers correctifs. Les systèmes affectés sont les systèmes Windows NT 4.0, 2000, XP et en moindre proportion Windows Server 2003.

Les actions du virus

Le ver Sasser est programmé de telle façon à lancer 128 processus (1024 dans le cas de la variante SasserC) chargés de scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille LSASS sur le port 445/TCP.

Le virus installe un serveur FTP sur le port 5554 afin de se rendre disponible en téléchargement aux autres ordinateurs infectés,

Puis, lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur la machine (sur le port TCP 9996), et force la machine distante à télécharger une copie du ver (nommée avserve.exe ou avserve2.exe pour la variante Sasser.B) dans le répertoire de Windows.

Une fois le fichier téléchargé, il crée un fichier nommé win.log (ou win2.log pour la variante Sasser.B) dans le répertoire c:\ afin d'enregistrer le nombre de machines qu'il réussi à infecter. Puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage : 

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe
    ou 
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
		   avserve.exe -> C:\%WINDIR%\avserve.exe

Le virus appelle la fonction "AbortSystemShutdown" afin d'empêcher le redémarrage (ou sa désactivation) par l'utilisateur ou par d'autres virus,

Symptomes de l'infection

L'exploitation de la vulnérabilité LSASS provoque un certain nombre de dysfonctionnements sur les systèmes affectés, liés à l'arrêt du service LSASS (processus lsass.exe). Les systèmes vulnérables présentent les symptomes suivants :

  • Redémarrages intempestifs, le système affiche le message suivant : 
    Arrêt du système initié par Autorite/System
Le processus système: C:\WINDOWS\system32\Isass.exe
s'est terminé de manière innatendue avec le code d'état 128
  • Trafic réseau sur les ports TCP 445, 5554 et 9996,
  • arrêt brutal de 'LSASS.EXE' avec une fenêtre d'erreur affichant : 
    lsass.exe - application error

Eradiquer le virus

Pour éradiquer le ver Sasser, la meilleure méthode consiste en tout premier lieu à protéger le système en activant le pare-feu. Sous Windows XP il suffit d'aller dans 

Menu Démarrer > Panneau de configuration > Connexions réseau
Cliquez ensuite avec le bouton droit sur la connexion reliée à Internet, puis cliquez sur Propriétés. Sélectionnez l'onglet "Paramètres avancés", puis cochez la case "Protéger mon ordinateur et le réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet, validez en cliquant sur OK.

Il est ensuite indispensable de mettre à jour le système à l'aide du service Windows Update ou bien en mettant à jour votre système avec le patch suivant correspondant à votre système d'exploitation :

vous pouvez enfin désinfecter le système à l'aide du kit de désinfection suivant :
Télécharger le kit de désinfection

D'autre part, dans la mesure où le virus se propage par l'intermédiaire du réseau, il est fortement conseillé d'installer un pare-feu personnel sur vos machines connectées à internet et de filtrer les ports tcp/445, tcp/5554 et tcp/9996.

Plus d'informations sur le virus



Dernière modification le mardi 14 octobre 2008 à 17:40:33.
Ce document intitulé « Le ver Sasser » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Résultats pour Le ver Sasser

Ver sasser (Résolu) Bonjour, il me semble étre infecter par le ver sasser. Symptome: redémarage de l'ordi dans 1 min, impossible de accéder au gestionnaire des taches, impossible de instaler le sp3 et le sp2 de windows xp avec un msg d'erreur ftp.exe est... www.commentcamarche.net/forum/affich-9139165-ver-sasser
Sasser-A (Résolu) Bonjour tout d'abords,Je suis infecté par le ver Sasser...Que faut il faire?Est ce que en lançant Resolve for W32/Sasser il l'élimine???Enfin bref ,j'ai pris un ver et je me demande comment l'éliminer???? Pouvez vous m'aider... www.commentcamarche.net/forum/affich-2128601-sasser-a
Isass - isass.exe isass - isass.exe La présence du processus isass.exe (isass) peut indiquer la présence du ver Sasser (W32.Sasser.Worm ou Win32/Sasser). Comment se débarasser de isass.exe ? Voici une liste de pointeurs pour vous aider à désinfecter votre machine... www.commentcamarche.net/contents/processus/isass-exe.php3

Résultats pour Le ver Sasser

Utiliser l'outil de suppression des logiciels malveillantsPrésentation de l'antimalware Windows : L'outil de suppression des logiciels malveillants de Microsoft aide à supprimer les logiciels malveillants (virus, vers, spywares et chevaux de Troie) les plus connus, notamment Blaster, Sasser et... www.commentcamarche.net/faq/sujet-2940-utiliser-l-outil-de-suppression-des-logiciels-malveillants
Virus/Ver MSN/WLM.Virus/Ver MSN/Windows Live Messenger Vous avez reçu via vos conversations MSN/Windows Live Messenger un fichier ou un message accompagné d’un lien du style : "Album photo.zip" "t'es tres jolie sur cet tof..." "ta tof fait quoi sur ce... www.commentcamarche.net/faq/sujet-6781-virus-ver-msn-wlm
Verrouillage automatique du pavé numériqueProblématique Quoi de plus agaçant que d'être obligé d'activer manuellement le pavé numérique à chaque démarrage de Windows !!! Cette astuce permet d'effectuer ce verrouillage automatiquement à chaque démarrage. Attention, il faut suivre la... www.commentcamarche.net/faq/sujet-5367-verrouillage-automatique-du-pave-numerique
Réponses suivantes

Résultats pour Le ver Sasser

Mon ordi rame aprés formatage (Résolu)bonjour , voila il y a peu de temp jai formater mon ordinateur parce qu'il avait des spam, spy, ver sasser et autre... depuis mon pc rame malgré que je; soit en 2048, cela se produit surtout aprés un certain temp de connection. serait-ce un autre... www.commentcamarche.net/forum/affich-1984793-mon-ordi-rame-apres-formatage
Isass.exe (Résolu)Bonjour, j'ai un processus du nom isass.exe et je suis renseigné à son sujet, et j'ai trouvé qu'il pourrai indiquer la présence d'un vers sur mon ordinateur : le ver Sasser. Je voudrai savoir comment peut-on l'éradiquer, et... www.commentcamarche.net/forum/affich-7371094-isass-exe
Piratage sur MSN ! Est ce Possible ? (Résolu)Bonsoir a tous ! En faite Je pense que je me suis fait piraté par quel qu'un via MSN car j'ai eu des problem un peu similare a sasser mais le truc c'est que moi ça a commencé le jeudi 29 avril alors que le ver sasser et arrivé a partir... www.commentcamarche.net/forum/affich-722197-piratage-sur-msn-est-ce-possible
Réponses suivantes

Résultats pour Le ver Sasser

Télécharger Remover.exe GDataG remover.exe détecte et élimine les vers, trojans et backdoors: Mydoom, Beagle, Netsky, Sasser, Blaster Zafi, Mabutu, Startpage... www.commentcamarche.net/telecharger/telecharger-34055373-remover-exe-gdata
Télécharger Verbes forts L'apprentissage de l'anglais et de l'allemand commence parfois avec les fameux verbes irréguliers ou verbes forts Verbes Forts est un programme permettant l'apprentissage des verbes irréguliers dans la langue de Shakespeare ou de Goethe. Il propose... www.commentcamarche.net/telecharger/telecharger-34055949-verbes-forts
Réponses suivantes

Résultats pour Le ver Sasser

Microsoft sortirait une nouvelle version de la Xbox 360 en 2009(Paris - Relax news) - Microsoft aurait annoncé lors d'une conférence de presse à Dehli, en Inde, vouloir commercialiser l'année prochaine une version slim de sa Xbox 360, selon le site indien Split-Screen. Moins imposante et plus légère que son... www.commentcamarche.net/actualites/microsoft-sortirait-une-nouvelle-version-de-la-xbox-360-en-2009-5847443-actualite.php3
Réponses suivantes

Résultats pour Le ver Sasser

Skynetave - skynetave.exeskynetave - skynetave.exe La présence du processus skynetave.exe (skynetave) peut indiquer la présence du ver Sasser (W32.Sasser.Worm ou Win32/Sasser). Comment se débarasser de skynetave.exe ? Voici une liste de pointeurs pour vous aider à... www.commentcamarche.net/contents/processus/skynetave-exe.php3
Vers informatiquesLes vers Un ver informatique (en anglais worm) est un programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique (disque dur, programme... www.commentcamarche.net/contents/virus/worms.php3
Faire un lien vers CommentCaMarcheVous êtes le bienvenu pour faire un lien vers CommentCaMarche.net ! Vous avez l'autorisation de faire pointer un lien vers la page d'accueil de CommentCaMarche.net ou bien directement vers un des articles. Si vous voulez agrémenter le lien d'une... www.commentcamarche.net/contents/ccmguide/ccmlogos.php3
Réponses suivantes