Trucs et Astuces wHo-et-Be cliquez pour ouvrir le menu
Virus > Sasser
W32.Sasser.B.Worm 4
Malgré les alertes à la télé, il a cartonné !

QUOI FAIRE en REGLE GENERALE :

- Avoir un ANTIVIRUS ACTIVE et A JOUR (mise à jour 1 x par jour)
- Avoir un SYSTEME A JOUR (windowsupdate 1 x par semaine)
- SURFER INTELLIGEMMENT (NE PAS OUVRIR les fichiers attachés des mails, NE PAS INSTALLER les BARRES que l'on vous propose (à part Google/Yahoo), NE PAS INSTALLER de logiciels avec pub intégrée, ...)

Symptômes

Vous vous connectez à internet et 1 minute après, une fenêtre apparait vous informant que votre ordinateur va s'éteindre... Votre ordinateur reboote tout seul.
DOMMAGE ! Vous êtes le malheureux propriétaire du virus Sasser !

SUPER-ASTUCE : quand le compte à rebours apparaît : modifiez immédiatement l'heure de votre ordinateur en ajoutant 1 heure ou 2, vous aurez alors le temps de vous connecter, mettre à jour votre antivirus et de virer la saloperie... (merci julien !)

Comment ?
Il se copie comme %Windir%\Avserve2.exe
(Remarque : %Windir% est une variable. Le ver détermine l'emplacement du dossier d'installation de Windows (C:\Windows ou C:\Winnt par défaut) et se copie à cet emplacement.)

Il ajoute la valeur : " avserve2.exe"="%Windir%\avserve2.exe" à la clé de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives d'arrêt ou de redémarrage de l'ordinateur.
Il démarre un serveur FTP sur le port TCP 5554.
Ce serveur sert à répandre le ver sur d'autres hôtes.

Il recherche dans toutes les adresses IP de l'hôte, une adresse qui ne contienne pas :
127.0.0.1 , 10.x.x.x , 172.16.x.x - 172.31.x.x (compris) , 192.168.x.x , 169.254.x.x

En utilisant l'une de ces adresses IP, le ver génère une adresse IP aléatoire.

Il se connecte à l'adresse IP générée de façon aléatoire sur le port TCP 445 afin de déterminer si un ordinateur distant est en ligne. Si une connexion est établie sur un ordinateur distant, le ver envoie un shellcode à cet ordinateur, pouvant ainsi ouvrir un shell distant sur le port TCP 9996. Il utilise le shell sur l'ordinateur distant pour se reconnecter au serveur FTP de l'ordinateur infecté, s'exécutant sur le port TCP 5554, et pour récupérer une copie du ver.
Cette copie portera un nom composé de quatre ou cinq chiffres suivis de _up.exe.
Par exemple, 74354_up.exe.

Le processus Lsass.exe se bloquera lorsque le ver aura exploité la vulnérabilité LSASS de Windows. Windows affichera une alerte et arrêtera le système en l'espace d'une minute.

Il crée un fichier sur C:\win2.log, contenant l'adresse IP de l'ordinateur que le ver a tenté d'infecter, ainsi que le nombre d'ordinateurs infectés.

Quoi faire ?
1 - Bloquer l'horloge !

- Double-cliquer sur l'heure en bas à droite
- Ajouter 2 heures ( au moins )
- Cliquez sur OK

> le compte à rebours doit avoir pris en compte ce changement (merci julien !)
2 - Supprimez le ver

Téléchargez l'utilitaire créé par Symantec (les créateurs de Norton Antivirus).
Il fera alors le ménage : http://securityresponse.symantec.com/avcenter/FxSasser.exe

Il est très léger (148 Ko) et pourra vous servir plus tard ou servir à un ami infecté.
3 - Mettez à jour votre ANTIVIRUS
4 - Mettez à jour WINDOWS

Allez sur le site WindowsUpdate.

Liens :

  visites   Yahoo Me!ICQ Me!Skype Me!MSN Live Messenger Me! swatch .beat internet time connecté de @ 333 à @ 750247 Accueil