Virus: Sasser repasse à l’attaque, malgré l’arrestation de son auteur

Sasser.E fait son apparition. Avons-nous crié victoire trop vite?

Coup de théâtre. Alors que toute la communauté informatique se félicitait de l’interpellation de l’auteur du ver Sasser (cf. notre article de ce 8 mai), les éditeurs de sécurité signalent ce lundi l’apparition de Sasser.E.

La cinquième version de la sale bête a été signalée quelques heures après l’arrestation de Sven J., ce jeune allemand qui a avoué avoir programmé Sasser. L’apparition de Sasser.E pose donc plusieurs problèmes. Selon certains professionnels, et notamment l’éditeur Panda, cette variante serait l’oeuvre d’un groupe de pirates organisés impliquant plusieurs auteurs de virus. Cette thèse confirmerait que Sasser est issu du réseau SkyNet, un réseau à peine ébranlé par l’arrestation de Sven.J. Sasser.E pourrait donc constituer une représaille de l’équipe de pirates contre Microsoft, le FBI et la police allemande. Pour d’autres, comme F-Secure, Sasser.E est uniquement une production de Sven J. Selon l’éditeur, cette variante aurait été programmée juste avant l’arrestation du pirate… Le ver exploite toujours la faille LSASS sous Windows (2000, Server, XP) notifiée et corrigée le 13 avril dernier. Il se propage par le biais d’une machine simplement connectée au Net – le ver glisse sous Windows un programme nommé lsasss.exe – et provoque des redémarrages intempestifs du PC toutes les 60 secondes, après affichage d’un message d’alerte (voir photo). Compte-tenu des très nombreuses mises à jour effectuées par les entreprises et les internautes, Sasser.E ne devrait pas provoquer beaucoup de dégâts dans les réseaux. Les chasseurs de primes de Microsoft ont-ils balancé le bon pirate ?

On en sait un peu plus sur les conditions d’arrestation de l’auteur du ver Sasser. Cinq personnes auraient en effet contacté Microsoft dés mercredi 5 mai afin de négocier la révélation de nom de l’auteur.

Selon Brad Smith, de Microsoft, la firme aurait accepté d’ouvrir son porte monnaie, à condition que les informations fournies soient fiables. Mais l’éditeur n’a pas révélé le montant de sa contribution. Mais la police a-t-elle arrêté le bon pirate ? En tous cas, il en va des auteurs de virus comme des contrevenants fiscaux? Ce n’est pas la technologie ou les enquêtes de police qui permettent de les identifier, mais la délation et l’appât du gain. Par ailleurs, la police allemande nous apprend que l’auteur de Phatbot, arrêté en même temps que Sven J., a été placé en détention provisoire.