1. Symantec/
  2. Security Response/
  3. W32.Sasser.D
  4. W32.Sasser.D
  • Ajouter

W32.Sasser.D

Niveau de risque2 : Faible

Découvert :
3 Mai 2004
Mis à jour :
13 Février 2007 12:24:08 PM
Egalement appelé :
W32/Sasser-D [Sophos], WORM_SASSER.D [Trend], W32/Sasser.worm.d [McAfee], Win32.Sasser.D [Computer Assoc, Worm.Win32.Sasser.d [Kaspersky
Type :
Worm
Etendue de l'infection :
16 384 octets
Systèmes affectés :
Windows 2000, Windows XP
Références CVE :
CAN-2003-0533

Le ver W32.Sasser.D :
  • Est une variante de W32.Sasser.Worm.
  • Tente d'exploiter la vulnérabilité LSASS (décrite dans le Bulletin de sécurité de Microsoft MS04-011)
  • Se propage en analysant des adresses IP aléatoirement sélectionnées pour les systèmes vulnérables.

W32.Sasser.D.Worm est différent de W32.Sasser.Worm :
  • Il utilise un mutex différent : SkynetSasserVersionWithPingFast.
  • Il utilise un nom de fichier différent : skynetave.exe.
  • A un fichier de taille différente : 16 384 octets
  • Son MD5 est différent.
  • Il crée dans le registre une valeur différente : "skynetave.exe."
  • Utilise un port différent pour le shell distant : 9995/tcp.
  • Se fermera sans exécuter de code avec une erreur sur certains systèmes Windows 2000.
  • A une routine mise à jour pour trouver les ordinateurs vulnérables. W32.Sasser.D envoie un écho ICMP avant de tenter d'établir une connexion. Ce changement peut empêcher le ver de s'exécuter correctement sur les systèmes Windows 2000.

W32.Sasser.D peut seulement s'exécuter sur des systèmes Windows XP. Le ver peut exploiter un ordinateur Windows 2000 vulnérable (non protégé) à distance et s'y copier. Cependant, il se fermera avant d'exécuter du code. Dans ces cas-ci, ce ver génère l'erreur suivante :

The procedure entry point IcmpSendEcho could not be located in the dynamic link library iphlpapi.dll.


Remarques :
  • La valeur de hachage MD5 de ce ver est 0X03F912899B3D90F9915D72FC9ABB91BE.
  • Bloquez les ports TCP 5554, 9995 et 445 au niveau du pare-feu et installez le correctif de Microsoft approprié (MS04-011) afin d'empêcher l'exploitation à distance de cette vulnérabilité.
  • Cette menace est écrite en C++ et est intégrée à PECompact.


Dates de la protection antivirus

  • Version initiale des définitions Rapid Release3 Mai 2004
  • Dernière version des définitions Rapid Release28 Septembre 2010 révision 054
  • Version initiale des définitions Daily Certified3 Mai 2004
  • Dernière version des définitions Daily Certified28 Septembre 2010 révision 036
  • Date de la version initiale des définitions Weekly Certified3 Mai 2004
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.
Rédigé par :John Canavan
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube