W32.Sasser.E.Worm - Suppression

Avant de commencer :
Si vous exécutez Windows 2000 ou XP, et si vous ne l'avez pas encore fait, vous devez installer le correctif relatif à la vulnérabilité décrite dans le bulletin de sécurité de Microsft MS04-11. Si vous ne l'avez pas fait, est il probable que votre ordinateur sera infecté de nouveau.

Que faire si l'ordinateur s'arrête avant que vous ne puissiez installer le correctif ou obtenir l'outil
Cette menace peut provoquer l'arrêt et le redémarrage constants de Windows. Ceci peut vous empêcher d'installer le correctif Microsoft ou de télécharger l'outil décrit ci-dessous.

---

Remarques :
• Vous devrez peut-être réessayer plusieurs fois, car vous ne disposez que de 20 secondes environ pour effectuer les étapes 3 à 6.
• Ceci ne fonctionneran pas avec Windows 2000.

  ---

Pour empêcher l'arrêt de l'ordinateur, procédez comme suit :

1. Déconnectez l'ordinateur de la connexion réseau/Internet. (Déconnectez le câble au besoin.)
2. Redémarrez l’ordinateur.
3. Dès que Windows s'ouvre et que vous voyez le bureau de Windows, cliquez sur Démarrer > Exécuter
4. Type :
   
   cmd
   
   et appuyez sur Entrée.
   
   
5. Type :
   
   shutdown -i
   
   et appuyez sur Entrée.
   
   
6. Dans la boîte de dialogue Arrêt à distance qui s'ouvre, procédez comme suit :
   
   1. Cliquez sur Ajouter, tapez le nom de votre ordinateur dans la boîte de dialogue Ajouter des ordinateurs, puis cliquez sur OK.
   2. Dans le champ Afficher l'avertissement pendant, tapez 9999.
   3. Tapez le texte suivant dans la zone de texte Commentaire :
      
      Retarder la fermeture de Lsass.exe.
      
      
   4. Cliquez sur OK.
      
      
7. Rebranchez la connexion réseau/Internet.
8. Connectez-vous à Internet, et récupérez le correctif. Poursuivez alors les étapes décrites ci-dessous.

Quand vous avez installé le correctif sur votre ordinateur et avez supprimé la menace, vous pouvez réactiver l'avertissement par défaut de 20 secondes si vous le souhaitez.


Suppression à l'aide de l'outil de suppression de W32.Sasser
Symantec Security Response a développé un outil de suppression permettant de nettoyer toutes les infections de W32.Sasser.E.Worm. Utilisez cet outil de suppression en premier lieu, il constitue le moyen le plus simple pour éliminer cette menace.

Suppression manuelle
Les instructions suivantes sont valables pour tous les derniers produits antivirus de Symantec, y compris les gammes de produits Symantec AntiVirus et Norton AntiVirus.

1. Mettre fin au processus malveillant (Windows 2000/XP).
2. Désactivez l'option de restauration du système (Windows XP)
3. Actualiser les définitions de virus.
4. Exécuter une analyse complète du système et éliminer tous les fichiers détectés comme W32.Sasser.E.Worm.
5. Rétablir la modification apportée au registre.

Pour plus de détails sur chacune de ces étapes, lisez les instructions suivantes.

1. Pour mettre fin au processus malveillant :
Sur les postes Windows 2000/XP, vous devez commencer par mettre fin au processus malveillant :

1. Appuyez sur Ctrl+Alt+Suppr une seule fois.
2. Cliquez sur Gestionnaire des tâches.
3. Cliquez sur l'onglet Processus.
4. Cliquez deux fois sur l'en-tête de colonne Nom de l'image pour trier les processus par ordre alphabétique.
5. Faites défiler la liste pour trouver les processus suivants :
   
   • lsasss.exe
   • tout processus avec un nom se composant de quatre ou cinq chiffres, suivis de _upload.exe (par exemple 74354_upload.exe).
     
6. Si vous trouvez un de ces processus, sélectionnez-le puis cliquez sur le bouton Terminer le processus.
7. Quittez le Gestionnaire des tâches.

2. Pour désactiver l'option Restauration du système (Windows XP)
Si vous utilisez Windows XP, nous vous conseillons de désactiver temporairement la Restauration du système. Windows XP utilisent cette fonctionnalité, activée par défaut afin de pouvoir restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la Restauration du système.

Windows empêche des programmes tiers, y compris les programmes anti-virus, de modifier la Restauration du système. Par conséquent, les programmes ou outils anti-virus ne peuvent pas éradiquer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après avoir nettoyé les fichiers infectés sur tous les autres emplacements.

Une analyse des virus peut également détecter une menace dans le dossier de restauration du système même si vous avez supprimé la menace.

Pour obtenir des instructions sur la manière de désactiver la Restauration du système, consultez la documentation de Windows ou consultez le document intitulé Comment désactiver ou activer l'outil Restauration du système de Windows XP.

---

Remarque : Lorsque vous avez terminé la procédure de suppression, et que vous pensez que la menace est éliminée, vous devriez réactiver la Restauration du système en suivant les instructions détaillées dans les documents cités ci-dessus.

---

3. Pour mettre à jour les définitions de virus
Symantec Security Response réalise des tests complets de qualité pour toutes les définitions de virus avant leur publication sur nos serveurs. Il y a deux façons de se procurer les dernières définitions de virus :

• La méthode la plus simple pour obtenir les dernières définitions de virus est d'exécuter LiveUpdate : Celles-ci sont publiées chaque semaine sur les serveurs LiveUpdate (en principe tous les mercredis) sauf en cas d'attaque virale critique. Pour savoir si les définitions de virus relatives à cette menace sont disponibles par LiveUpdate, consultez la section Définitions de virus (LiveUpdate).
• L'autre consiste à télécharger les définitions de virus en utilisant Intelligent Updater. Les définitions de virus d'Intelligent Updater sont publiées les jours ouvrés aux Etats-Unis (du lundi au vendredi). Elles doivent être téléchargées sur le site Web de Symantec Security Response puis installées manuellement. Pour savoir si les définitions de virus relatives à cette menace sont disponibles par Intelligent Updater, consultez la section Définitions de virus (Intelligent Updater).
  
  Les définitions de virus d'Intelligent Updater sont disponibles : Consultez le document intitulé Comment mettre à jour les fichiers de définitions de virus en utilisant Intelligent Updater pour des instructions détaillées.

4. Pour analyser et supprimer les fichiers infectés

1. Démarrez votre programme anti-virus Symantec et assurez-vous que ce dernier a été configuré pour analyser tous les fichiers.
   • Pour les produits Norton AntiVirus destinés au grand public : Consultez le document intitulé Comment configurer Norton AntiVirus afin d'analyser tous les fichiers.
   • Pour les produits Symantec AntiVirus destinés aux entreprises : Consultez le document intitulé Comment vérifier qu'un produit antivirus Corporate Edition de Symantec est configuré afin d'analyser tous les fichiers.
2. Exécutez une analyse complète du système.
3. Si un fichier est détecté comme infecté par W32.Sasser.E.Worm, cliquez sur Supprimer.

5. Pour rétablir la modification apportée au registre

---

ATTENTION : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les clés indiquées. Consultez le document intitulé Comment faire une copie de sauvegarde du Registre de Windows pour des instructions détaillées.

---

1. Cliquez sur Démarrer > Exécuter. (La boîte de dialogue Exécuter apparaît.)
2. Tapez regedit
   
   Puis cliquez sur OK. (L’Editeur du Registre apparaît.)
   
   
3. Accédez à la clé suivante :
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
4. Dans le volet de droite, supprimez la valeur :
   
   "lsasss.exe"="%Windir%\lsasss.exe"
   
   
5. Quittez l’Editeur du Registre.

Détails techniques