1. /
  2. Security Response/
  3. W32.Sasser.E.Worm
  4. W32.Sasser.E.Worm
  • Ajouter

W32.Sasser.E.Worm

Niveau de risque2 : Faible

Découvert :
9 Mai 2004
Mis à jour :
13 Février 2007 12:24:29 PM
Type :
Worm
Etendue de l'infection :
15 872 octets, 15 873 octets
Systèmes affectés :
Windows 2000, Windows XP
Références CVE :
CAN-2003-0533


W32.Sasser.E.Worm est une variante mineure de W32.Sasser.Worm. Il tente d'exploiter la vulnérabilité LSASS, décrite dans le bulletin de sécurité de Microsoft MS04-011, et se propage en analysant de façon aléatoire des adresses IP sélectionnées pour les systèmes vulnérables.

W32.Sasser.E.Worm est différent de W32.Sasser.Worm :
  • Il utilise un mutex différent : SkynetNotice.
  • Il utilise un nom de fichier différent : lsasss.exe.
  • Il crée dans le registre une valeur différente : "lsasss.exe"
  • Utilise différents numéros de ports, utilisés par le serveur FTP et le shell distant : 1023 et 1022.
  • Après 2 heures de fonctionnement il affiche un message.
  • Il supprime les valeurs du registre, qui sont installées par Trojan.Mitglieder, W32.Beagle.W@mm, et W32.Beagle.X@mm.
  • Le nom du fichier récupéré du serveur FTP est suivi de _update.exe.
  • Le ver consigne les données dans le fichier C:\ftplog.txt.
  • A une routine mise à jour pour trouver les ordinateurs vulnérables. W32.Sasser.E.Worm envoie un écho ICMP avant de tenter d'établir une connexion. Ce changement peut empêcher le ver de s'exécuter correctement sur les systèmes Windows 2000.

W32.Sasser.E.Worm s'exécute sur les postes Windows 95/98/Me, sans les infecter. Bien que ces systèmes d'exploitation ne puissent pas être infectés, ils peuvent encore être utilisés pour infecter les ordinateurs vulnérables.




Version anglaise de ce document

Cliquez ici pour lire ce document en anglais

Remarque : En raison du temps nécessaire à la traduction, il est possible que le contenu des documents traduits diffère du contenu original, si celui-ci a été mis à jour alors que la traduction était en cours. Le document en anglais contient toujours les dernières mises à jour.


Dates de la protection antivirus

  • Version initiale des définitions Rapid Release9 Mai 2004
  • Dernière version des définitions Rapid Release28 Septembre 2010 révision 054
  • Version initiale des définitions Daily Certified9 Mai 2004
  • Dernière version des définitions Daily Certified28 Septembre 2010 révision 036
  • Date de la version initiale des définitions Weekly Certified9 Mai 2004
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Low
  • Nombre d'infections :50 - 999
  • Nombre de sites :More than 10
  • Répartition géographique :Low
  • Contrôle de la menace :Easy
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Low
  • Elément déclencheur :Ne s'applique pas
  • Résultat d'activation :Ne s'applique pas
  • Envoi de courrier électronique en masse :Ne s'applique pas
  • Supprime des fichiers :Ne s'applique pas
  • Modifie des fichiers :Ne s'applique pas
  • Diffuse des informations confidentielles :Ne s'applique pas
  • Dégrade les performances :Dégrade notablement les performances.
  • Cause l'instabilité du système :Ne s'applique pas
  • Compromet les paramètres de sécurité :Ne s'applique pas

Distribution

  • Niveau de distribution :High
  • Objet du courrier électronique :Ne s'applique pas
  • Nom de la pièce jointe :Ne s'applique pas
  • Taille de la pièce jointe :Ne s'applique pas
  • Ports :TCP 445, 1022, 1023
  • Lecteurs partagés :Ne s'applique pas
  • Cible d'infection :Systèmes sur lesquels le correctif n'a pas été appliqué, vulnérables à l'exploit LSASS - MS04-011.
  • Date de la pièce jointe :Ne s'applique pas
Rédigé par :Sergei Shevchenko