Tech

Sasser, un ver de plus ? Nos explications et remèdes...

ActualitéClassé sous :Tech , faille , Windows

-

Conformément à la nomenclature, Sasser n'est pas un virus mais un ver, parce qu'il n'infecte pas les fichiers de l'ordinateur, mais mène une existence autonome.
Comme cela avait été dit dans le dossier dont le lien figure ci-dessous, il ne sert à rien pour un auteur de ver ou de virus de chercher une nouvelle faille de Windows, d'Internet Explorer ou Outlook Express pour infecter les ordinateurs. Il suffit d'exploiter les failles publiées et normalement corrigées. En effet un nombre considérable d'utilisateurs n'installent jamais les correctifs publiés par Microsoft et sont victimes de programmes malveillants qui n'ont aucun impact sur un ordinateur régulièrement mis à jour.

Sasser, un ver de plus ? Nos explications et remèdes...

Cette stratégie a donné naissance à un ver un peu original, qui nous change des multiples variantes répétitives de Netsky, Agobot (Goabot pour Symantec) ou Bagle qui ont fleuri au cours du premier trimestre.
Sasser est apparu le 30/04/2004 et une variante mineure Sasser.B a été mise en circulation le lendemain. Ce ver exploite la faille LSASS de Windows, publiée le 13/04 dans le Microsoft Security Bulletin MS04-011. En provoquant un dépassement de mémoire tampon dans LSASRV.DLL, une DLL du Local Security Authority Subsystem Service (LSASS), il est possible d'exécuter à distance un programme sur diverses versions de Windows (au moins W2000, XP, 2003 Serveur ; les opinions divergent entre Microsoft et d'autres sources pour les autres versions).

Mécanisme de contamination

Sasser n'est pas transmis par un mail contaminé : il s'introduit directement à partir de la connexion Internet par le port 445.
Ce port est utilisé par Windows 2000, XP et 2003 Serveur pour les échanges de fichiers par le protocole SMB. Par défaut ce port est ouvert, ce qu'on peut vérifier facilement sur la ligne de commande en tapant netstat -an. Vous trouverez par exemple la ligne :
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP est le protocole qui permet d'accéder à l'Internet, 0.0.0.0 est une adresse fictive qui signifie « tout l'Internet » et LISTENING, pour ceux qui ne connaissent pas l'anglais, signifie que l'ordinateur écoute tout ce qui peut arriver par ce port.

Le ver s'introduit dans le répertoire Windows sous la forme d'un fichier AVSERVE.EXE et se recopie dans le répertoire système sous un nom variable xxxx_up.exe, xxx étant un nombre aléatoire de 4 ou 5 chiffres. Il installe un serveur FTP communiquant par le port 5554 et se sert du port 445 pour rechercher des adresses IP correspondant à des ordinateurs vulnérables. S'il en trouve un, il force celui-ci à se connecter sur le port 5554 de la machine infectée pour télécharger une copie du ver sur l'ordinateur distant.

Effets du ver

Pour rechercher d'autres ordinateurs à infecter, Sasser lance 128 threads en parallèle pour scanner les adresses IP : ceci surcharge le processeur et on observe généralement un ralentissement important du fonctionnement qui rend l'ordinateur difficile à utiliser.

En exploitant la faille LSASS, il rend ce service instable, ce qui peut entraîner arrêt de l'ordinateur, généralement annoncé par une petite fenêtre signalant que LSA a rencontré un problème qui nécessite en arrêt dans 60 secondes.
Avec Windows XP (et lui seul) il est possible d'interrompre le compte à rebours en tapant shutdown -a après avoir sélectionné la commande Exécuter.
Le ver ne paraît entreprendre aucune action nocive envers l'ordinateur qui l'héberge. Il est donc totalement inutile de reformater et de réinstaller Windows, sous prétexte que le système est devenu instable (cette opération est d'ailleurs totalement inutile pour toute infection par un ver).

Remèdes

Avant toutes choses, on doit installer les derniers correctifs de Windows, par Windows Update. Ensuite, on peut éradiquer le ver avec un utilitaire spécifique qui peut être trouvé sur les sites des divers éditeurs d'antivirus (cf. liens ci-dessous).

Recommandations générales

Si votre ordinateur n'a pas été mis à jour depuis le 13/04/04, il faut impérativement installer toutes les mises à jour que proposera Windows update. Le plus sûr est d'ailleurs de configurer Windows XP pour que les mises à jour soient automatiques. Ceci se règle dans Panneau de configuration, Système. On sélectionne ensuite l'onglet Mises à jour automatiques et on choisit l'option qui paraît la mieux adaptée.

En ce qui concerne le port 445, son utilisation est indispensable dans le cadre d'un réseau local Microsoft. On séparera alors le réseau local d'Internet par un pare-feu qui fermera ce port afin qu'il ne soit pas accessible depuis l'extérieur.
L'usage du port 445 étant totalement inutile pour un ordinateur personnel, le plus sûr est de le verrouiller par une modification de la base de registre. En effet rien n'interdit que ce port puisse être utilisé par d'autres programmes malveillants, même avec un système à jour. Pour ce faire il faut sélectionner Exécuter, lancer Regedit et localiser la clé HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters, puis repérer TransportBindName dans la fenêtre de droite. On fait alors un double clic sur TransportBindName et on efface la valeur que cette clé contient.
Au redémarrage le port 445 sera définitivement fermé.

Cela vous intéressera aussi