W32.Sasser.E.Worm

W32.Sasser.E.Worm est une variante mineure de W32.Sasser.Worm. Il tente d'exploiter la vulnérabilité LSASS, décrite dans le bulletin de sécurité de Microsoft MS04-011, et se propage en analysant de façon aléatoire des adresses IP sélectionnées pour les systèmes vulnérables.

W32.Sasser.E.Worm est différent de W32.Sasser.Worm :

• Il utilise un mutex différent : SkynetNotice.
• Il utilise un nom de fichier différent : lsasss.exe.
• Il crée dans le registre une valeur différente : "lsasss.exe"
• Utilise différents numéros de ports, utilisés par le serveur FTP et le shell distant : 1023 et 1022.
• Après 2 heures de fonctionnement il affiche un message.
• Il supprime les valeurs du registre, qui sont installées par Trojan.Mitglieder, W32.Beagle.W@mm, et W32.Beagle.X@mm.
• Le nom du fichier récupéré du serveur FTP est suivi de _update.exe.
• Le ver consigne les données dans le fichier C:\ftplog.txt.
• A une routine mise à jour pour trouver les ordinateurs vulnérables. W32.Sasser.E.Worm envoie un écho ICMP avant de tenter d'établir une connexion. Ce changement peut empêcher le ver de s'exécuter correctement sur les systèmes Windows 2000.

W32.Sasser.E.Worm s'exécute sur les postes Windows 95/98/Me, sans les infecter. Bien que ces systèmes d'exploitation ne puissent pas être infectés, ils peuvent encore être utilisés pour infecter les ordinateurs vulnérables.




Version anglaise de ce document

Cliquez ici pour lire ce document en anglais

---

Remarque : En raison du temps nécessaire à la traduction, il est possible que le contenu des documents traduits diffère du contenu original, si celui-ci a été mis à jour alors que la traduction était en cours. Le document en anglais contient toujours les dernières mises à jour.

---

Protection

• Version initiale des définitions Rapid Release 9 Mai 2004
• Dernière version des définitions Rapid Release 19 Juillet 2008 révision 019
• Version initiale des définitions Daily Certified 9 Mai 2004
• Dernière version des définitions Daily Certified 19 Juillet 2008 révision 018
• Date de la version initial des définitions Weekly Certified 9 Mai 2004

Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

• Niveau de virulence : Faible
• Nombre d'infections : 50 - 999
• Nombre de sites : More than 10
• Distribution géographique : Faible
• Contrôle de la menace : Facile
• Suppression : Modéré

Dommages

• Niveau de dommage : Faible
• Déclencheur : Ne s'applique pas
• Charge utile : Ne s'applique pas
• Envoi de courrier électronique à grande échelle : Ne s'applique pas
• Supprime les fichiers : Ne s'applique pas
• Modifie les fichiers : Ne s'applique pas
• Divulgue des informations confidentielles : Ne s'applique pas
• Dégrade les performances : Dégrade notablement les performances.
• Entraîne l'instabilité du système : Ne s'applique pas
• Compromet les paramètres de sécurité : Ne s'applique pas

Distribution

• Niveau de distribution : Elevé
• Objet du courrier électronique : Ne s'applique pas
• Nom de la pièce jointe : Ne s'applique pas
• Taille de la pièce jointe : Ne s'applique pas
• Ports : TCP 445, 1022, 1023
• Lecteurs partagés : Ne s'applique pas
• Cible d'infection : Systèmes sur lesquels le correctif n'a pas été appliqué, vulnérables à l'exploit LSASS - MS04-011.
• Horodatage de la pièce jointe : Ne s'applique pas