Détecté : 3 Mai 2004
Mis à jour : 13 Février 2007 12:24:08 PM
Egalement appelé : W32/Sasser-D [Sophos], WORM_SASSER.D [Trend], W32/Sasser.worm.d [McAfee], Win32.Sasser.D [Computer Assoc, Worm.Win32.Sasser.d [Kaspersky
Type : Ver
Etendue de l'infection : 16 384 octets
Systèmes affectés : Windows 2000, Windows XP
Le ver W32.Sasser.D :
- Est une variante de W32.Sasser.Worm.
- Tente d'exploiter la vulnérabilité LSASS (décrite dans le Bulletin de sécurité de Microsoft MS04-011)
- Se propage en analysant des adresses IP aléatoirement sélectionnées pour les systèmes vulnérables.
W32.Sasser.D.Worm est différent de W32.Sasser.Worm :
- Il utilise un mutex différent : SkynetSasserVersionWithPingFast.
- Il utilise un nom de fichier différent : skynetave.exe.
- A un fichier de taille différente : 16 384 octets
- Son MD5 est différent.
- Il crée dans le registre une valeur différente : "skynetave.exe."
- Utilise un port différent pour le shell distant : 9995/tcp.
- Se fermera sans exécuter de code avec une erreur sur certains systèmes Windows 2000.
- A une routine mise à jour pour trouver les ordinateurs vulnérables. W32.Sasser.D envoie un écho ICMP avant de tenter d'établir une connexion. Ce changement peut empêcher le ver de s'exécuter correctement sur les systèmes Windows 2000.
W32.Sasser.D peut seulement s'exécuter sur des systèmes Windows XP. Le ver peut exploiter un ordinateur Windows 2000 vulnérable (non protégé) à distance et s'y copier. Cependant, il se fermera avant d'exécuter du code. Dans ces cas-ci, ce ver génère l'erreur suivante :
The procedure entry point IcmpSendEcho could not be located in the dynamic link library iphlpapi.dll.
Remarques :
- La valeur de hachage MD5 de ce ver est 0X03F912899B3D90F9915D72FC9ABB91BE.
- Bloquez les ports TCP 5554, 9995 et 445 au niveau du pare-feu et installez le correctif de Microsoft approprié (MS04-011) afin d'empêcher l'exploitation à distance de cette vulnérabilité.
- Cette menace est écrite en C++ et est intégrée à PECompact.
Protection
-
Version initiale des définitions Rapid Release 3 Mai 2004
-
Dernière version des définitions Rapid Release 20 Août 2008 révision 017
-
Version initiale des définitions Daily Certified 3 Mai 2004
-
Dernière version des définitions Daily Certified 20 Août 2008 révision 016
-
Date de la version initial des définitions Weekly Certified 3 Mai 2004
Cliquez si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.
Evaluation de la menace
Virulence
-
Niveau de virulence : Faible
-
Nombre d'infections : 50 - 999
-
Nombre de sites : More than 10
-
Distribution géographique : Faible
-
Contrôle de la menace : Facile
-
Suppression : Modéré
Dommages
-
Niveau de dommage : Moyen
-
Déclencheur : Ne s'applique pas
-
Charge utile : Ne s'applique pas
-
Envoi de courrier électronique à grande échelle : Ne s'applique pas
-
Supprime les fichiers : Ne s'applique pas
-
Modifie les fichiers : Ne s'applique pas
-
Divulgue des informations confidentielles : Ne s'applique pas
-
Dégrade les performances : Génère du trafic réseau significatif.
-
Entraîne l'instabilité du système : Ne s'applique pas
-
Compromet les paramètres de sécurité : Ouvre un serveur FTP sur le port 5554 et une porte dérobée sur le port 9995.
Distribution
-
Niveau de distribution : Elevé
-
Objet du courrier électronique : Ne s'applique pas
-
Nom de la pièce jointe : Ne s'applique pas
-
Taille de la pièce jointe : Ne s'applique pas
-
Ports : TCP 445, TCP 5554, TCP 9995
-
Lecteurs partagés : Ne s'applique pas
-
Cible d'infection : Systèmes sur lesquels le correctif n'a pas été appliqué, vulnérables à l'exploit LSASS - MS04-011.
-
Horodatage de la pièce jointe : Ne s'applique pas
Ecrit par : John Canavan
