Sasser est un ver informatique qui se propage de manière différente des classiques MyDoom.A et dérivés. Les premières infections ont eu lieu le 30 avril 2004 sur les machines sur lesquelles le correctif de sécurité fourni par Microsoft depuis le 13 avril 2004 n'avait pas été appliqué.

Présentation

Contrairement à beaucoup d'autres vers, ce ver ne s’est pas répandu par courriel, mais a exploité une faille de sécurité. Son auteur, un allemand âgé à l’époque de 18 ans, arrêté quelques jours à peine après la sortie du ver, a été condamné à de la prison avec sursis. Il travaille désormais pour une société de sécurité informatique.

Dommages estimés

Des dizaines de millions de dollars

Fonctionnement

Ce ver se propage automatiquement par le port 445 sur toute machine connectée en réseau, si elle est équipée du système d'exploitation Microsoft Windows 2000, Windows XP ou Windows Server 2003 et sans le correctif nécessaire (ou si elle n'est pas protégée par un pare-feu correctement configuré).

Une machine infectée télécharge un programme qu'elle exécute automatiquement à l'insu de l'utilisateur. Ce programme cherche ensuite dans le réseau les machines susceptibles d'être contaminées et s'y propage si cela s'avère possible. Parmi les effets secondaires induits par l'exécution du virus, on note des redémarrages intempestifs de la machine ainsi que des messages d'erreurs.

D'une taille de 15 872 octets (pour la version initiale), il profite d'une faille LSASS de Windows pour télécharger sur la machine infectée un fichier nommé avserve.exe dans le répertoire Windows via FTP et le port TCP 5554 et lance son exécution à distance sans aucune intervention de l'utilisateur.

Ensuite, le ver se copie dans le répertoire System avec un nom aléatoire se terminant par _up.exe. Il modifie la base de registre pour se lancer à chaque démarrage. Il lance alors cent vingt-huit processus simultanés afin de balayer le réseau et trouver de nouveaux hôtes. Le système est enfin rendu instable, d'où un plantage de lsass.exe et un redémarrage automatique accompagné du message d'erreur : LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience. (en français : LSA Shell a rencontré un problème et doit fermer.)

Selon les premières estimations, ce sont plusieurs millions de machines qui ont été atteintes par Sasser dès les premiers jours.

Comme le Blaster (Lovesan), il est apparu peu de temps après la publication par Microsoft du correctif MS04-011 de la vulnérabilité qu'il exploite.

Les systèmes d'exploitation de type GNU/Linux, Mac OS, Unix ou autres ne sont pas sensibles à ce virus.

Un allemand de 18 ans, Sven Jaschan, auteur du ver, a été arrêté par la police de son pays le 7 mai 2004, soit quelques jours à peine après la sortie du ver. Malgré cette arrestation, la variante E de Sasser est apparue sur Internet. Il aurait avoué avoir également créé le ver NetSky pour s'opposer aux vers MyDoom et Bagle. Il a été condamné le 8 juillet 2005 à de la prison avec sursis mais travaille désormais dans une entreprise de sécurité informatique.

Variantes connues

En fonction des éditeurs d'antivirus, le nom d'identification du ver est différent : W32/Sasser.x@MM, W32.Sasser.X@mm, WORM_SASSER.X, W32/Sasser-X ou Win32.Sasser.X. « X » étant une nouvelle variante :

Sasser.A souche principale de l'infection.

Sasser.B identifiée le 1 mai 2004. Cette variante se distingue de Sasser.A par le nom du fichier exécutable viral (AVSERVE2.EXE au lieu de AVSERVE.EXE) et le nom du fichier log (WIN2.LOG au lieu de WIN.LOG).

Sasser.C identifiée le 2 mai 2004 cette variante se distingue de Sasser.B par le fait qu'elle lance 1024 processus simultanés au lieu de 128 pour exécuter la routine d'infection et favoriser la propagation du ver.

Sasser.D identifiée le 3 mai 2004, l'exécutable lancé se nomme SKYNETAVE.EXE et sa taille est de 16 384 octets

Sasser.E, identifiée le 9 mai 2004, l'exécutable lancé se nomme LSASSS.EXE (avec un S en plus du lsass.exe de Microsoft), il tente de modifier la base de registre pour désactiver le ver Bagle, puis affiche une fenêtre d'alerte préconisant l'installation du correctif MS04-011 de Microsoft

Sasser.F, identifiée le 11 mai 2004, soit 4 jours après l'arrestation de l'auteur présumé. L'exécutable lancé se nomme NAPATCH.EXE, sa taille est de 74 752 octets.

Sasser蠕虫，中文名为“震荡波”蠕虫，也有人称之为「杀手」蠕虫。 Sasser蠕虫利用微软WindowsNT内核平台上的LSASS漏洞，随机的扫描其它网络中计算机的IP端口，然后进行传播。尽管可以利用防火墙阻止该电脑蠕虫的传播，但安全专家建议，给系统打上MS04-011补丁是最根本的解决措施。

尽管该蠕虫在Windows2000、WindowsXP上发作，不会感染安装Windows 95/98/Me操作系统的计算机，但可以在这些操作系统上运行，而成为传播源。

在该蠕虫传播的几天内，相继出现了Sasser.B，Sasser.C，Sasser.D，Sasser.E，Sasser.F等变种蠕虫。其中的变种E和变种F是编写者被逮捕之后出现的，因此，专家们普遍估计该蠕虫的源代码已经外泄。

2004年5月7日，一位来自德国下萨克森州罗滕堡的18岁少年Sven Jaschan因涉嫌编写该蠕虫而被捕。在接下来的讯问中，该少年已经承认此前的蠕虫是他编写的。2005年7月8日，德国Verden市法院认定他制造震荡波蠕虫，四次改变数据和三次对计算机实施破坏有罪，判处21个月的缓刑，在缓刑期间必须完成30个小时的感化工作。

受影响的操作系统

Microsoft Windows NT Workstation 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6

Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和 Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1

Microsoft Windows XP 64-Bit Edition Version 2003

Microsoft Windows Server 2003

Microsoft Windows Server 2003 64-Bit Edition

参阅

知名病毒及蠕虫的历史年表

电脑蠕虫