1. /
  2. Security Response/
  3. W32.Sasser.D
  4. W32.Sasser.D
  • Ajouter

W32.Sasser.D

Niveau de risque2 : Faible

Découvert :
3 Mai 2004
Mis à jour :
13 Février 2007 12:24:08 PM
Egalement appelé :
W32/Sasser-D [Sophos], WORM_SASSER.D [Trend], W32/Sasser.worm.d [McAfee], Win32.Sasser.D [Computer Assoc, Worm.Win32.Sasser.d [Kaspersky
Type :
Worm
Etendue de l'infection :
16 384 octets
Systèmes affectés :
Windows 2000, Windows XP
Références CVE :
CAN-2003-0533

Le ver W32.Sasser.D :
  • Est une variante de W32.Sasser.Worm.
  • Tente d'exploiter la vulnérabilité LSASS (décrite dans le Bulletin de sécurité de Microsoft MS04-011)
  • Se propage en analysant des adresses IP aléatoirement sélectionnées pour les systèmes vulnérables.

W32.Sasser.D.Worm est différent de W32.Sasser.Worm :
  • Il utilise un mutex différent : SkynetSasserVersionWithPingFast.
  • Il utilise un nom de fichier différent : skynetave.exe.
  • A un fichier de taille différente : 16 384 octets
  • Son MD5 est différent.
  • Il crée dans le registre une valeur différente : "skynetave.exe."
  • Utilise un port différent pour le shell distant : 9995/tcp.
  • Se fermera sans exécuter de code avec une erreur sur certains systèmes Windows 2000.
  • A une routine mise à jour pour trouver les ordinateurs vulnérables. W32.Sasser.D envoie un écho ICMP avant de tenter d'établir une connexion. Ce changement peut empêcher le ver de s'exécuter correctement sur les systèmes Windows 2000.

W32.Sasser.D peut seulement s'exécuter sur des systèmes Windows XP. Le ver peut exploiter un ordinateur Windows 2000 vulnérable (non protégé) à distance et s'y copier. Cependant, il se fermera avant d'exécuter du code. Dans ces cas-ci, ce ver génère l'erreur suivante :

The procedure entry point IcmpSendEcho could not be located in the dynamic link library iphlpapi.dll.


Remarques :
  • La valeur de hachage MD5 de ce ver est 0X03F912899B3D90F9915D72FC9ABB91BE.
  • Bloquez les ports TCP 5554, 9995 et 445 au niveau du pare-feu et installez le correctif de Microsoft approprié (MS04-011) afin d'empêcher l'exploitation à distance de cette vulnérabilité.
  • Cette menace est écrite en C++ et est intégrée à PECompact.


Dates de la protection antivirus

  • Version initiale des définitions Rapid Release3 Mai 2004
  • Dernière version des définitions Rapid Release28 Septembre 2010 révision 054
  • Version initiale des définitions Daily Certified3 Mai 2004
  • Dernière version des définitions Daily Certified28 Septembre 2010 révision 036
  • Date de la version initiale des définitions Weekly Certified3 Mai 2004
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Low
  • Nombre d'infections :50 - 999
  • Nombre de sites :More than 10
  • Répartition géographique :Low
  • Contrôle de la menace :Easy
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Medium
  • Elément déclencheur :Ne s'applique pas
  • Résultat d'activation :Ne s'applique pas
  • Envoi de courrier électronique en masse :Ne s'applique pas
  • Supprime des fichiers :Ne s'applique pas
  • Modifie des fichiers :Ne s'applique pas
  • Diffuse des informations confidentielles :Ne s'applique pas
  • Dégrade les performances :Génère du trafic réseau significatif.
  • Cause l'instabilité du système :Ne s'applique pas
  • Compromet les paramètres de sécurité :Ouvre un serveur FTP sur le port 5554 et une porte dérobée sur le port 9995.

Distribution

  • Niveau de distribution :High
  • Objet du courrier électronique :Ne s'applique pas
  • Nom de la pièce jointe :Ne s'applique pas
  • Taille de la pièce jointe :Ne s'applique pas
  • Ports :TCP 445, TCP 5554, TCP 9995
  • Lecteurs partagés :Ne s'applique pas
  • Cible d'infection :Systèmes sur lesquels le correctif n'a pas été appliqué, vulnérables à l'exploit LSASS - MS04-011.
  • Date de la pièce jointe :Ne s'applique pas
Rédigé par :John Canavan