Depuis quelques jours a commencé l'exploitation d'une faille de sécurité présente sur les systèmes Windows à base de noyau NT. La faille affecte le service lsass.exe (Security Accounts Manager) et permet au choix d'effectuer un Denial of Service (reboot de la machine) ou d'installer un programme en vue de prendre le controle de la machine distante.
 
Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de Sasser le correctif MS04-011 est impératif. Pour parer ce type d'attaques un pare-feu (firewall) est une bonne chose, celui intégré à Windows XP fait tout à fait l'affaire. Un anti-virus ne sera pas particulièrement efficace en vue de prévenir l'attaque, au mieux il pourra réparer les dégats la machine une fois infectée.  
 
 
Microsoft Security Bulletin MS04-011 :
Bulletin en français ou en anglais
 
 
Téléchargements du correctif pour :
 
Windows 2000 anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE
 
Windows 2000 français :
http://download.microsoft.com/down [...] 86-FRA.EXE
 
Windows XP anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE
 
Windows XP français :
http://download.microsoft.com/down [...] 86-FRA.EXE
 
Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
- MBSA Homepage
- Téléchargement MBSA 1.2 anglais
- Téléchargement MBSA 1.2 français
 
 
Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
 
Sous Windows 2000 :
- Télécharger shutdown.exe et l'enregistrer dans le répertoire d'installation de Windows.
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
 
Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.
 
Si vous n'arrivez pas à accéder aux sites d'éditeurs de logiciels anti-virus, ouvrez le fichier %WINDIR%\system32\etc\hosts à l'aide du Bloc-Note (Note : %WINDIR% indique le répertoire dans lequel Windows est installé). Ensuite repérez les entrées qui pointent sur 127.0.0.1, effacez les lignes correspondantes sauf "localhost". Enregistrez le fichier.
 
 
Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, quatre variantes du vers sont actuellement connues, les symptomes sont les suivants :
- un processus nommé  
   variante A : avserve.exe
   variante B : avserve2.exe
   variante C : avserve2.exe
   variante D : skynetave.exe
   variante E : lsasss.exe (note : ne pas confondre avec lsass.exe qui est un fichier Windows valide)
- un fichier dans le répertoire Windows :
   variante A : avserve.exe
   variante B : avserve2.exe
   variante C : avserve2.exe
   variante D : skynetave.exe
   variante E : lsasss.exe
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur. S'achève par _update.exe pour la variante E.
- la présence d'un fichier :
   variante A : C:\WIN.LOG
   variante B : C:\WIN2.LOG
   variante C : C:\WIN2.LOG
   variante D : C:\WIN2.LOG
   variante E : C:\ftplog.txt
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   variante A : avserve.exe = %Windir%\avserve.exe
   variante B : avserve2.exe = %Windir%\avserve2.exe
   variante C : avserve2.exe = %Windir%\avserve2.exe
   variante D : skynetave.exe = %Windir%\skynetave.exe
   variante E : lsasss.exe = %Windir%\lsasss.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996 (variante D port 9995, variante E ports 1022 et 1023).
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :
 

 

 
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
 
 
Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne ou un removal tool (voir ci-dessous), en voici quelques-uns :
- Symantec Security Check
- Trend Micro Scanning Housecall
- Panda Software ActiveScan
- BitDefender Free Online Virus Scan
- McAfee FreeScan
- RAV AntiVirus - Scan Online
- Kaspersky Labs Online Virus Scanner (permet uniquement l'envois d'un fichier suspecté d'être un virus)
 
Removal Tools pour Sasser (outils permettant d'éliminer le ver automatiquement) (03.05.2004 à 18h16) :
- McAfee AVERT Stinger
- Trend Micro Sysclean Package
- Symantec FxSasser.exe (W32.Sasser Removal Tool)
- Panda Software PQRemove for Sasser.A
- Microsoft Sasser.A and Sasser.B Worm Removal Tool (KB841720)
- avast! Virus Cleaner - free virus & worm removal tool (variantes A à D)
 
 
Dernières mises à jour chez les éditeurs de logiciels AV (04.05.2004 à 11h30) :
- Symantec Security Response : W32.Sasser.Worm, W32.Sasser.B.Worm, W32.Sasser.C.Worm, W32.Sasser.D.Worm, W32.Sasser.E.Worm, W32.Gaobot.AFW, W32.Gaobot.AFJ, W32.Gaobot.AFC
- McAfee Security : W32/Sasser.worm, W32/Sasser.worm.b, W32/Sasser.worm.c, W32/Sasser.worm.d, W32/Sasser.worm.eExploit-MS04-011, W32/Gaobot.worm.ali
- Trend Micro : WORM_SASSER.A, WORM_SASSER.B, WORM_SASSER.C, WORM_SASSER.D
- Sophos : W32/Sasser.worm, W32/Sasser-B
- Panda Software : Sasser.A, Sasser.B, Sasser.C, Sasser.D, DSScan.A
- Antivir : Worm/Sasser.A
- Computer Associates : W32/Sasser.A, W32/Sasser.B, W32/Sasser.C, W32/Sasser.D, Microsoft Windows LSASS buffer overflow vulnerability
- F-Secure : Sasser, Sasser.B, Sasser.C
- RAV Antivirus : Win32/Sasser.worm, Win32/Sasser.B.worm
- Norman : W32/Sasser.A, W32/Sasser.B
- F-Prot : W32/Sasser.A, W32/Sasser.B, W32/Sasser.C, W32/Sasser.D
- Kaspersky : Worm.Win32.Sasser.a, Worm.Win32.Sasser.b
- Avast : Win32:Sasser
- Hauri : Worm.Win32.Sasser.15872, Worm.Win32.Sasser.15872.B
- Grisoft AVG : I-Worm/Sasser
 
 
Microsoft à propos du vers Sasser :
- Ce que vous devez savoir sur le ver Sasser et ses variantes
- What You Should Know About the Sasser Worm and Its Variants
 
 
Quelques nouvelles :
L'adolescent arrêté avoue avoir créé le virus Sasser
 
 
Note :
Pour ceux qui souhaitent alerter sur d'autres forum, merci de mettre un lien vers cet article plutot que de copier-coller son contenu.

pas mal cette info pour le MBSA
je l'ai installé et il a trouvé quelques failles malgré que mes visites sur windows update soient fréquentes
cependant j'ai un souci avec une mise à jour: je la choppe en francais mais lors de l'installation ca me dit que le langage ne correspond pas au langage de mon systéme
il s'agit de cette update: Windows2000-KB329115-x86

sinon pour ceux qui sont déja infectés, faite : démarrer/executer/regedit/hkey_local_machine/software/microsoft/windows/current_version/run
et enlever la clé qui s'appelle P2P manager.
 
apres avoir fait ca, je n'ai plus eu le message d'erreur

Plein d'erreurs venant de Windows Xp ce matin en allumant le pc !
Ca vient donc de ça

Oui

Et bein, ça sert d'avoir un forum informatique sous la main
je viens d'avoir ça aussi ce matin, et je me suis dit, 1er mai, ça doit couver quelque chose
j'avais aussi le avserve dans windows system, now tout va bien
thanx pour le patch !
Edit: le patch français me dit que la langue n'est pas bonne, alors que mon XP est bien francais.... heu j'fais quoi ?

je n'ai pas cette cle moi.

Je n'ai pas mis tous les OS dans la liste, essayez de passer par le bulletin de sécurité qui donne la liste complète des OS, puis permet de choisir la langue :
 
http://www.microsoft.com/technet/s [...] 4-011.mspx

Bah je suis sous WinXP français tout simplement, et ni l'anglais ni le français ne marche
 
Etrange, je suis allé le retélécharger sur le site et ça marche..
Merci  

moi non plus
mais j'ai eu pire, un truc qui s'appelle aserve.exe et qui m'empechait d'afficher des pages web ce matin

Attention à "swchost.exe" dont le nom est ... "Wandows Sturtup" (?!)
 
 
à éliminer aussi
 
edit : pas sûr que ce soit lié à ce virus, ce n'est peut-être qu'un spyware.

Quand je kill avserve.exe, il revient parfois quelques temps après sous le nom de 15858up.exe. Ouala, ct juste pour l'info.

+1 pour l'infection ça devient lourd

Met le patch et fait un win update

c'est fait, j'ai suivi les conseils trouvés sur HFR et a priori ça roule. Ca me semble d'ailleurs un peu simple comme désinfection!

Oui je c'est on verra pas la suite!

Trendmicro m'indique que avserve.exe et ses copains sont infectés par WORM SASSER.A.

 
Pareil avec Trend Micro, il se contente de m'indiquer ces infections et échoue à faire quoique ce soit   ...  
 
d'ailleurs sur un autre pc (connecté à Internet bien sûr) avec Norton Internet Security (& Norton Antivirus), aucune infection (sans l'avoir mis à jour récemment en plus)
 
Deçu par l'"efficacité" du firewall de Trend Micro  

ben prend l'utilitaire de desifection sasser.a.

Merci les amis ! Un grand merci !
Cem atin je me connecte sous Windows XP et hop, comme par hasard ce fichu virus, depuis je ne peux PLUS ABSOLUMENT PLUS  
 me connecter au net avec WinXP. Heureusement j'ai  un PC avec W98 et les pros du software oujours là pour aider    
 
J'avoue cependant que je suis à bout. deux mois que j'ai de ces fichus virus qui transpercent mon firewall et se jouent deKaspersky... j'enrage !

l'antivirus en ligne de secuser.com c'est bien trend housecall? parce que je l'ai exécuté ce matin et il m'a rien trouvé!!!
 
 
edit : en fait il l'avait trouvé effectivement mais pas nettoyé:il m'a parlé d'un malware et non pas d'un virus.

Moi il me la trouvé nickel, mais en non cleanable, j'ai viré le tout
 
Cest bien Housecall donc je parlais oui.

à ce propos, quelqu'un a t il entendu parler d'un virus nommer dedler.G?

je vois ce topic, je d/l puis installe le patch en prevention... (j'avais encore rien eu...)
et 2minutes apres l'install du patch que vois je apparaitre ce put### de message a la con pour annoncer le reboot    
c koi ce patch de mer## y'a vraiment un truc que je pige plus la... on fout les patch pour eviter de se le prendre et en recompense on le choppe quand meme  

AVG vient de mettre à jour sa base antivirus pour intégrer SASSER . Mettez vos antivirus à jour

 
Lorsqu'on fait ça le message "le commande n'existe pas" apparait. "Shutdown", ce serait bien pour un windows US, non ? Le nom de la commande change peut-être pour les Windows (2000) Fr ?  
 

je sais pas pour win2000 mais sous XP pro fr shutdown est valide

 
Par défaut cette commande n'existe pas sous 2000... je n'arrive pas à me souvenir si je l'ai copiée d'un WinXP sur mon 2000 ou prise dans un resource kit.
 
Si jamais l'équivalent existe sur www.sysinternals.com et s'appelle psshutdown.exe

 
Ok, j'ai récupéré psshutdown.
 
Pour faire en sorte qu'il s'execute en faisant démarrer > executer > "psshutdown -a", je dois le mettre dans quel dossier de windows ?

pt1 j'ai le même genre de souci mes machines sont regulierement mise à jour sur windows update et bien que sans antivirus tout roule impec par contre je me monte un troisieme pc à base de nforce2 j'installe, j'applique le patch pour le blaster puis je vais sur windowsupdate alors là misere j'ai à peine commencé à installer que le net n'est plus accessible, je peux toujours faire des ping free.fr mais pour se connecter au net dans ton cul lulu !
 
je vais dl ce patch pour xp l'appliquer avec celui de blaster sur mon xp pro + sp1 fraichement installer et tenter un windows update !
 
Sincerement c'est de plus en plus emmerdant !

Heureusement qu'en allumant mon PC ce matin mon antivir s'est mis à jour ...
je viens d'installer les patchs donc j'espère que ça ira parce que le compte à rebourd ça me fait peur

c'est surtout le fait de ne plus pouvoir se connecter au net là c'est sincerement la misere je pense à ceux qui n'ont qu'un seul pc infecté dans connexion au net tu ne peux rien faire face à ce genre de souci ...

j'ai eu ca et suffisait de virer avserve.exe dans le gestionnaire des taches

 
bon je vais me fouetter moi ça m'apprendra à pas utiliser windows souvent    
 
bon merci du conseil j'espere pouvoir enfin mettre à jour ce nouveau pc et pouvoir lui permettre de surfer sur le nêteux

 
Perso je le met sous C:\WINNT\ mais n'importe quel dossier dans la varaiable d'environnement PATH permetterait de l'appeler sans avoir à entrer le chemin de l'exécutable.

Si vous utilisez windows update en mode auto le patch a été appliqué.

ça vous fait meme avec le firewall de winxp activé ????
 

ca sert a quoi un firewall

Je viens de rebooter et de remettre le firewall sur mon fixe, et tout roule. Je peux lancer un av online et cela m'a permis de me debarasser d'un cheval de troie qui me pourrissait la machine depuis qques temps.