||||
Symantec.com > Security Response > W32.Sasser.D
IMPRIMEZ CETTE PAGE

W32.Sasser.D

Niveau de risque 2 : Faible

Téléchargez l'outil de suppression | Version imprimable

Détecté : 3 Mai 2004
Mis à jour : 13 Février 2007 12:24:08 PM
Egalement appelé : W32/Sasser-D [Sophos], WORM_SASSER.D [Trend], W32/Sasser.worm.d [McAfee], Win32.Sasser.D [Computer Assoc, Worm.Win32.Sasser.d [Kaspersky
Type : Ver
Etendue de l'infection : 16 384 octets
Systèmes affectés : Windows 2000, Windows XP
Références CVE : CAN-2003-0533


Lors de son exécution, W32.Sasser.D effectue les actions suivantes :
  1. Il tente de créer un mutex nommé SkynetSasserVersionWithPingFast et se ferme si sa tentative échoue. Ceci permet de garantir qu'une seule instance du ver s'exécute sur l'ordinateur à tout moment.

  2. Tente de créer un mutex appelé Jobaka3. Ce mutex n'a apparemment aucune fonction.

  3. Il se copie comme %Windir%\skynetave.exe.

    Remarque : %Windir% est une variable. Le ver détermine l'emplacement du dossier d'installation de Windows (C:\Windows ou C:\Winnt par défaut) et se copie à cet emplacement.

  4. Ajoute la valeur :

    "skynetave.exe"="%Windir%\skynetave.exe"

    à la clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  5. Il récupère les adresses IP de l'ordinateur infecté, en utilisant l'API de Windows gethostbyname.

    Remarque : Le ver ignorera les adresses IP suivantes :
    • 127.0.0.1
    • 10.x.x.x
    • 172.16.x.x - 172.31.x.x (inclus)
    • 192.168.x.x
    • 169.254.x.x

  6. Il génère une autre adresse IP, en se basant sur l'une des adresses IP récupérées sur l'ordinateur infecté.
    • Dans 25% des cas, les deux derniers octets de l'adresse IP sont remplacés par des chiffres aléatoires. Par exemple, si A.B.C.D est l'adresse IP récupérée à l'étape 5, C et D seront aléatoires.
    • Dans 23% des cas, les trois derniers octets de l'adresse IP sont remplacés par des chiffres aléatoires. Par exemple, si A.B.C.D est l'adresse IP récupérée à l'étape 5, B, C et D seront aléatoires.
    • Dans 52% des cas, l'adresse IP est entièrement aléatoire.

      Remarques :
    • Le ver pouvant créer des adresses tout à fait aléatoires dans 52% des cas, toute adresse IP peut être infectée, y compris les adresses qui sont ignorées comme indiqué à l'étape 5.
    • Ce processus est composé de 128 threads lesquels sollicitent le processeur considérablement. Par conséquent, un ordinateur infecté peut ralentir au point d'être pratiquement inutilisable.

  7. Tente de se connecter à l'adresse distante, et s'il réussit, se connecte sur le port TCP 445 pour déterminer si un ordinateur distant est en ligne.

  8. Si une connexion est établie sur un ordinateur distant, le ver envoie un shellcode à cet ordinateur, pouvant ainsi ouvrir un shell distant sur le port TCP 9995.

  9. Il utilise le shell sur l'ordinateur distant pour se reconnecter au serveur FTP de l'ordinateur infecté, s'exécutant sur le port TCP 5554, et pour récupérer une copie du ver. Cette copie portera un nom composé de quatre ou cinq chiffres suivis de _up.exe. Par exemple, 74354_up.exe.

  10. Le processus Lsass.exe se bloquera lorsque le ver aura exploité la vulnérabilité LSASS de Windows. Windows affichera une alerte et arrêtera le système en l'espace d'une minute.

  11. Il crée un fichier sur C:\win2.log, contenant l'adresse IP de l'ordinateur que le ver a tenté d'infecter, ainsi que le nombre d'ordinateurs infectés.

Symantec Gateway Security 5400 Series et Symantec Gateway Security version 1.0
  • Composant antivirus : Une mise à jour du moteur antivirus de Symantec Gateway Security est désormais disponible afin d'assurer la protection contre le ver W32.Sasser.D.Worm. Nous conseillons aux utilisateurs de Symantec Gateway Security 5000 Series d'exécuter LiveUpdate.
  • Composant IDS/IPS : Une signature pour Symantec Gateway Security 5400 Series détectant les attaques contre la vulnérabilité LSASS de Microsoft a été ajoutée à SU 8, publié le 14 avril.
    Une signature détectant les attaques contre la vulnérabilité LSASS de Microsoft sur SGS v1.0 a été publiée. Nous conseillons aux utilisateurs de Symantec Gateway Security 5000 Series d'exécuter LiveUpdate.
  • Composant d'inspection de la sémantique des données des pare-feu : Par défaut, la technologie d'inspection de la sémantique des données des pare-feu assure la protection contre la propagation de W32.Sasser.D.Worm en empêchant les attaquants d'accéder au port TCP/445 et aux portes dérobées sur les systèmes infectés (TCP/5554, TCP/9995). Nous conseillons vivement aux administrateurs de vérifier que leurs stratégies de sécurité n'autorisent pas les connexions entrantes sur ces ports.

Symantec Enterprise Firewall 8.0
Par défaut, la technologie d'inspection de la sémantique des données des pare-feu assure la protection contre la propagation de W32.Sasser.D.Worm en empêchant les attaquants d'accéder au port TCP/445 et aux portes dérobées sur les systèmes infectés (TCP/5554, TCP/9995). Nous conseillons vivement aux administrateurs de vérifier que leurs stratégies de sécurité n'autorisent pas les connexions entrantes sur ces ports.

Symantec Enterprise Firewall 7.0.x et Symantec VelociRaptor 1.5
Par défaut, la technologie d'inspection de la sémantique des données des pare-feu assure la protection contre la propagation de W32.Sasser.D.Worm en empêchant les attaquants d'accéder au port TCP/445 et aux portes dérobées sur les systèmes infectés (TCP/5554, TCP/9995). Nous conseillons vivement aux administrateurs de vérifier que leurs stratégies de sécurité n'autorisent pas les connexions entrantes sur ces ports.

Symantec Gateway Security 300 Series
Par défaut, la technologie du pare-feu "stateful inspection" de Symantec empêche un attaquant d'accéder au port TCP/445 sur les systèmes internes et aux portes dérobées sur les systèmes infectés (TCP 5554, 9995). Nous conseillons vivement aux administrateurs de vérifier que leurs stratégies de sécurité n'autorisent pas les connexions entrantes sur TCP/445, TCP/5554, TCP/9995. Nous conseillons également d'utiliser la fonctionnalité AVpe de SGS 300 Series pour vérifier que les clients antivirus disposent des dernières définitions de virus.

Symantec Firewall/VPN Modèles 100/200
Par défaut, la technologie du pare-feu "stateful inspection" de Symantec empêche un attaquant d'accéder au port TCP/445 sur les systèmes internes et aux portes dérobées sur les systèmes infectés (TCP/5554, TCP/9995).

Symantec Clientless VPN Gateway 4400
Cette menace n'affecte pas Symantec Clientless VPN Gateway v5.0. Par défaut la passerelle de sécurité bloque l'accès aux ports TCP 445, 5554 et 9995.

Symantec Host IDS 4.1/4.1.1
La protection contre ce ver, et toutes ses variantes connues, est disponible pour Symantec Host IDS 4.1/4.1.1, à travers LiveUpdate.

Intruder Alert 3.6
La détection de ce ver est disponible : Symantec a sorti Intruder Alert 3.6 W32_Sasser_Worm.pol.

Symantec ManHunt
Le 13 avril 2004, la Mise à jour de sécurité 22 a été publiée afin de détecter toutes les tentatives d'exploitation de la vulnérabilité LSASS, portant la signature "Microsoft RPC LSASS DS Request".

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

  • Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
  • Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
  • Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
  • Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
  • Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
  • Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
  • Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Ecrit par : John Canavan
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.