Sasser, un ver qui passe son chemin

Les virus ne connaissent pas les jours fériés. Apparu le 30 avril 2004 au soir (en Europe), Sasser (W32.Sasser.worm) est un ver qui exploite la faille système présentée, et corrigée, par Microsoft à l’occasion de son dernier bulletin mensuel de sécurité 2004 (MS04-011, voir édition du 14 avril 2004). Sasser exploite la faille LSASS (Local Security Authority Subsystem Service) des systèmes Windows 2000, 2003 Server et XP.

A l’inverse de la majorité des virus actuels, Sasser ne se propage pas par des pièces jointes au courriers électroniques mais se répand sur le réseau mondial en infectant les ports TCP 445, 5554 et 9996. Dès que le vers rencontre une machine non protégée, il télécharge un fichier exécutable (nommé avserve.exe ou un nom proche) qui va s’installer sur la machine et lancer la recherche d’autres ordinateurs à infecter sur le réseau pour poursuivre sa propagation. Il modifie également la base de registre pour se charger à chaque démarrage de la machine. Les conséquences sur celle-ci sont diverses : redémarrage en boucle, fort ralentissement des performances, voire plantage.

Essentiellement intrusif

Tous les ordinateurs (sous Windows) branchés sur Internet qui ne bénéficient pas de la mise à jour du dernier patch de sécurité sont donc susceptibles d’être infectés. A condition par ailleurs de n’avoir aucun firewall ou que celui de Windows XP soit désactivé. D’où une propagation « significative », selon Eric Beaurepaire, directeur marketing chez Symantec, mais pas alarmante. « Nous recevons en moyenne 150 soumissions par heure », explique le porte-parole de l’éditeur, « à titre de comparaison, MyDoom en provoquait 600 par heure. » Symantec a cependant préféré relevé son niveau de dangerosité de 3, dimanche 2 mai 2004, à 4, lundi 3 mai au matin.

Sasser, et ses variantes (nous en sommes à Sasser.C), ne détruit rien et n’installe aucune porte dérobé. Il semble se limiter à une activité de nuisance. D’autant qu’il ne se réplique qu’une seule fois. « Une fois qu’il a trouvé une machine à infecter, il ne poursuit pas sa propagation », explique Eric Beaurepaire. L’origine de sa création semble donc plus se porter sur un pirate en mal d’exploit que sur une organisation malintentionnée. Mais il met en lumière les délais de plus en plus courts entre la divulgation d’un correctif de sécurité (et donc les failles qu’il doit combler) et les virus qui exploitent cette faille. Dans le cas de Sasser, seulement 17 jours séparent les deux événements.

Pour se prémunir de Sasser, il est indispensable de mettre à jour le patch de sécurité de Microsoft du 13 avril. Encore faut-il pouvoir garder le contrôle de la machine. En cas de fort ralentissement, ouvrez le Gestionnaire des tâches (Ctrl-Alt-Sup) puis terminez tous les processus de type « avserve.exe » et *_up.exe (où * est une variable à 5 chiffres). Ensuite téléchargez le patch de sécurité. En cas d’apparition d’une fenêtre d’alerte d’un décompte de 60 secondes avant d’éteindre l’ordinateur, il suffit de changer l’horloge système (en double-cliquant sur l’heure dans la barre des tâches) à une date antérieure avec un délai suffisant pour télécharger le correctif de Microsoft. « Nous l’avons testé en interne, ça marche », explique un porte-parole de Tegam, l’éditeur de la solution de sécurité Viguard (voir édition du 19 avril 2004) qui nous a fourni l’astuce. Evidemment, n’oubliez pas de désinfecter votre machine à l’aide d’un antivirus ou d’un outil dédié en ligne par les principaux éditeurs.