[Topic unique] Nouveau virus utilisant une faille de Windows : sasser
Dernière réponse : dans Le monde de Windows
Attention un nouveau virus de la Famille des Blaster arrive, et ne se propage pas par fichiers mais dirrectement de PC vers PC...
Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de ce type d'attaques un pare-feu (firewall) est nécessaire ; un anti-virus ne sera pas particulièrement efficace, au mieux il pourra réparer les dégats la machine une fois infectée.
Microsoft Security Bulletin MS04-11 :
http://www.microsoft.com/technet/security/bulletin/MS04...
Windows 2000 anglais :
http://download.microsoft.com/download/f/a/a/faa796aa-3...
Windows 2000 français :
http://download.microsoft.com/download/0/1/6/016bd08b-1...
Windows XP anglais :
http://download.microsoft.com/download/6/1/5/615a50e9-a...
Windows XP français :
http://download.microsoft.com/download/6/2/e/62e5a992-b...
Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
- MBSA Homepage
- Téléchargement MBSA 1.2 anglais
- Téléchargement MBSA 1.2 français
Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
Sous Windows 2000 :
- Télécharger shutdown.exe et l'enregistrer dans le répertoire d'installation de Windows.
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.
Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, les symptomes sont les suivants :
- un processus nommé "avserve.exe", ainsi qu'un fichier avserve.exe dans le dossier d'installation de Windows. MàJ : Apparition d'une variante B ou l'exécutable s'appelle "avserve2.exe"
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur
- la présence d'un fichier C:\WIN.LOG
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = %Windir%\avserve.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996.
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :
![]()
![]()
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne, en voici quelques-uns :
- Symantec Security Check
- Trend Micro Scanning Housecall
- Panda Software ActiveScan
- BitDefender Free Online Virus Scan
- McAfee FreeScan
- RAV AntiVirus - Scan Online
- Kaspersky Labs Online Virus Scanner (permet uniquement l'envois d'un fichier suspecté d'être un virus)
Removal Tools pour éliminer Sasser automatiquement (02.05.2004 à 7h50) :
- McAfee AVERT Stinger
- Trend Micro Sysclean Package
- Symantec FxSasser.exe (W32.Sasser Removal Tool)
- Panda Software QuickRemover (enregistrement obligatoire)
Dernières mises à jour chez les éditeurs de logiciels AV (01.05.2004 à 19h00) :
- Symantec Security Response : W32.Sasser.Worm, W32.Gaobot.AFW, W32.Gaobot.AFJ, W32.Gaobot.AFC
- McAfee Security : W32/Sasser.worm, Exploit-MS04-011, W32/Gaobot.worm.ali
- Trend Micro : WORM_SASSER.A
- Sophos : W32/Sasser.worm
- Panda Software : Sasser.A & DSScan.A
- Antivir : Worm/Sasser.A
- Computer Associates : W32/Sasser.A & Microsoft Windows LSASS buffer overflow vulnerability
- F-Secure : Sasser
- RAV Antivirus : Win32/Sasser.worm
- Norman : W32/Sasser.A
- F-Prot : W32/Sasser.A
- Kaspersky : Worm.Win32.Sasser.a, Worm.Win32.Sasser.b (pages en Russe !)
- Avast : pas d'infos...
- Grisoft AVG : pas d'infos...
(source HFR)
Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de ce type d'attaques un pare-feu (firewall) est nécessaire ; un anti-virus ne sera pas particulièrement efficace, au mieux il pourra réparer les dégats la machine une fois infectée.
Microsoft Security Bulletin MS04-11 :
http://www.microsoft.com/technet/security/bulletin/MS04...
Windows 2000 anglais :
http://download.microsoft.com/download/f/a/a/faa796aa-3...
Windows 2000 français :
http://download.microsoft.com/download/0/1/6/016bd08b-1...
Windows XP anglais :
http://download.microsoft.com/download/6/1/5/615a50e9-a...
Windows XP français :
http://download.microsoft.com/download/6/2/e/62e5a992-b...
Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
- MBSA Homepage
- Téléchargement MBSA 1.2 anglais
- Téléchargement MBSA 1.2 français
Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
Sous Windows 2000 :
- Télécharger shutdown.exe et l'enregistrer dans le répertoire d'installation de Windows.
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.
Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, les symptomes sont les suivants :
- un processus nommé "avserve.exe", ainsi qu'un fichier avserve.exe dans le dossier d'installation de Windows. MàJ : Apparition d'une variante B ou l'exécutable s'appelle "avserve2.exe"
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur
- la présence d'un fichier C:\WIN.LOG
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = %Windir%\avserve.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996.
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne, en voici quelques-uns :
- Symantec Security Check
- Trend Micro Scanning Housecall
- Panda Software ActiveScan
- BitDefender Free Online Virus Scan
- McAfee FreeScan
- RAV AntiVirus - Scan Online
- Kaspersky Labs Online Virus Scanner (permet uniquement l'envois d'un fichier suspecté d'être un virus)
Removal Tools pour éliminer Sasser automatiquement (02.05.2004 à 7h50) :
- McAfee AVERT Stinger
- Trend Micro Sysclean Package
- Symantec FxSasser.exe (W32.Sasser Removal Tool)
- Panda Software QuickRemover (enregistrement obligatoire)
Dernières mises à jour chez les éditeurs de logiciels AV (01.05.2004 à 19h00) :
- Symantec Security Response : W32.Sasser.Worm, W32.Gaobot.AFW, W32.Gaobot.AFJ, W32.Gaobot.AFC
- McAfee Security : W32/Sasser.worm, Exploit-MS04-011, W32/Gaobot.worm.ali
- Trend Micro : WORM_SASSER.A
- Sophos : W32/Sasser.worm
- Panda Software : Sasser.A & DSScan.A
- Antivir : Worm/Sasser.A
- Computer Associates : W32/Sasser.A & Microsoft Windows LSASS buffer overflow vulnerability
- F-Secure : Sasser
- RAV Antivirus : Win32/Sasser.worm
- Norman : W32/Sasser.A
- F-Prot : W32/Sasser.A
- Kaspersky : Worm.Win32.Sasser.a, Worm.Win32.Sasser.b (pages en Russe !)
- Avast : pas d'infos...
- Grisoft AVG : pas d'infos...
(source HFR)
Autres pages sur : topic unique nouveau virus utilisant faille windows sasser
Lassé par la pub ? Créez un compte
![[:wam]](http://m.bestofmedia.com/sfp/design/usr/fr/smilies/26/31/wam.gif "[:wam]")
Si jamais un lien vers mon topic original sur le forum hardware.fr, celui-ci n'étant pas tenu à jour et n'est qu'un simple copier-coller légèrement modifié :
http://forum.hardware.fr/hardwarefr/WindowsSoftwareRese...
Pour info sur le port 445 c'est le service lsass.exe qui écoute, et justement c'est ce service qui possède une faille exploitée par Sasser.
Le port 445 apparaît lors d'un "netstat -a" sous la dénomination microsoft-ds et est normalement en écoute.
Le DNS utilise le port 53, pour information la liste des ports assignés par l'IANA.
http://forum.hardware.fr/hardwarefr/WindowsSoftwareRese...
Pour info sur le port 445 c'est le service lsass.exe qui écoute, et justement c'est ce service qui possède une faille exploitée par Sasser.
Le port 445 apparaît lors d'un "netstat -a" sous la dénomination microsoft-ds et est normalement en écoute.
Le DNS utilise le port 53, pour information la liste des ports assignés par l'IANA.
orbitalcoil a écritdifficile de bloquer tous les ports dans un firewall surtout dans za, dans kerio je ne sais pas si c'est possible non plus
C très facile dans KERIO mais fô bien penser à le mettre en dernier dans les priorités sinon tu bloques tout
Protocoles (Tous) / Direction (Les deux) / Adresses distantes (toutes) / Refuser
Apres m'avoir bannit pour avoir dit que le gouvernement Bush censurait le rapport climatique, je suis banni car je n'ai pas cité mes sources depuis un autre Forum ...
Decidement j'ai l'impression d'être en Chine ou en Corée du Nord quand je vois ça ...
Ca me fait presque plaisir de voir qu'HFR est "indisponible..." ...![:(]( ":(")
Decidement j'ai l'impression d'être en Chine ou en Corée du Nord quand je vois ça ...
Ca me fait presque plaisir de voir qu'HFR est "indisponible..." ...
![[:rofl]](http://m.bestofmedia.com/sfp/design/usr/fr/smilies/7d/f9/rofl.gif "[:rofl]")
France2ils ont montré une société avec +sieurs 10zaines d'ordis (tous dans la même salle) qui se sont infectés en même temps à 19h20 hier, on voit l'efficacité de l'administrateur réseaux
et maintenant, ce sont les passionnés d'informatique et les hackers qui font les virus
les pauvres hackers, on leur fout tous les maux de l'informatique sur le dos, alors qu'ils n'y sont pour pas grand chose...
uisque Sasser est quand même bien passé chez moi et m'a bien emm...... 
king_ping a écritC'est clair que demain matin ça risque d'être folclo ! ![;)]( ";)")
Mais normalement en entreprise y a moins de risque car les proxy ont des firewall asser dure a percer ...
Le pbl sera + pour les PME ...
Mais normalement en entreprise y a moins de risque car les proxy ont des firewall asser dure a percer ...
Le pbl sera + pour les PME ...
et c'est là que le commercial revient avec son portable et le branche sur le reseau de l'entreprise......
Schéma qui c'est produit en aout 2003 et qui va recommencer lundi dans pas mal d'entreprise.
Neoryuki a écritTiens ca me rappelle que hier soir au JT de 20h de TF1 ils etaient en duplex avec les "laboratoires" de Symantec France
Et sans vouloir etre mechant, à voir la gueule des employés, on comprends mieux le manque d'efficacité de leurs softs![[:matleflou]]( "[:matleflou]")
Et sans vouloir etre mechant, à voir la gueule des employés, on comprends mieux le manque d'efficacité de leurs softs
![[:matleflou]](http://m.bestofmedia.com/sfp/design/usr/fr/smilies/1d/22/matleflou.gif "[:matleflou]")
tu les as déja eus au téléphone ?
perso, c'etait mémmorable... (y'avait le patron dans la meme piece que moi.. j'ai mis le haut parleur.. il etait plié de rire)
leur site n'etaint pas clair sur un point j'ai chérché a les joindre
on a été balancé de répondeur en répondeur pendant 30 min.. puis a force d'insister.. on est tombé sur quelqu'un...
on est tombé sur Mawie-tewese
qui nous a informé "qui non, elle ni s'occupe pas di ssa, jé souis la pour la permanance, pouw toutes les infos, il faut passer paw leu site"
je l'aurais pas vécu.. si on me le racontais.. je suis pas sur que j'y croirais ..
gambit a écrittu les as déja eus au téléphone ?
perso, c'etait mémmorable... (y'avait le patron dans la meme piece que moi.. j'ai mis le haut parleur.. il etait plié de rire)
leur site n'etaint pas clair sur un point j'ai chérché a les joindre
on a été balancé de répondeur en répondeur pendant 30 min.. puis a force d'insister.. on est tombé sur quelqu'un...
on est tombé sur Mawie-tewese![[:rofl]]( "[:rofl]")
qui nous a informé "qui non, elle ni s'occupe pas di ssa, jé souis la pour la permanance, pouw toutes les infos, il faut passer paw leu site"
je l'aurais pas vécu.. si on me le racontais.. je suis pas sur que j'y croirais ..![:/]( ":/")
On appelle ca un call center externalisé perso, c'etait mémmorable... (y'avait le patron dans la meme piece que moi.. j'ai mis le haut parleur.. il etait plié de rire)
leur site n'etaint pas clair sur un point j'ai chérché a les joindre
on a été balancé de répondeur en répondeur pendant 30 min.. puis a force d'insister.. on est tombé sur quelqu'un...
on est tombé sur Mawie-tewese
qui nous a informé "qui non, elle ni s'occupe pas di ssa, jé souis la pour la permanance, pouw toutes les infos, il faut passer paw leu site"
je l'aurais pas vécu.. si on me le racontais.. je suis pas sur que j'y croirais ..
si je te disais que Computer Associates tu tombes soit au Canada soit en Inde, tu me crois ?
Ca se fait de plus en plus de sous traiter la partie teelphonie/hotline
Dernier exemple en date : Free, qui sous-traite sa hotline dans une warp zone située à proximité d'un trou noir
J'ai les cooordonnées exactes : ICI
dans tes rêves
je ne clique plus sur un lien proposé par toi ou nbp
![[:edit]](http://m.bestofmedia.com/sfp/design/usr/fr/smilies/de/95/edit.gif "[:edit]")
surtout quand tu le presentes comme ça.. je t'ai connu, vachement plus subtil
par contre.. y'a un truc que j'ai âs compris avec ce virus (du moins je suppose que c'est lui)
en revenant chez moi dimanche soir, j'ai vu que sur mon routeur, kerio l'avait bloqué... mais d'une maniere ou d'une autre, il a reussi à remonter jusqu'a mon pc, car j'ai vu que le fw mcafee me l'a bloqué aussi...
j'ai pas tout compris![:/]( ":/")
en revenant chez moi dimanche soir, j'ai vu que sur mon routeur, kerio l'avait bloqué... mais d'une maniere ou d'une autre, il a reussi à remonter jusqu'a mon pc, car j'ai vu que le fw mcafee me l'a bloqué aussi...
j'ai pas tout compris
Lassé par la pub ? Créez un compte
