Virus Sasser.B: l’épidémie sous contrôle

Profitant du week-end, le virus Sasser-B s’est répandu à grande vitesse sur certains environnements Windows en exploitant une faille signalée par Microsoft depuis le 13 avril dernier.

Le retour dans les bureaux ce lundi était craint par tous les experts en sécurité mais finalement, l’épidémie n’a pas été si forte que prévue. Comme à chaque grande attaque virale, les éditeurs de logiciels de sécurité noircissent largement le trait. C’est normal, c’est le business. Et les estimations sont très contradictoires. F-Secure, l’éditeur finlandais a d’abord évoqué « des millions » de PC infectés… Puis a revu à la baisse ces estimations: « Notre estimation est que des centaines de milliers d’ordinateurs ont été infectés dans le monde, et que ce nombre croît », a indiqué à l’AFP Mikko Hyppoenen, chef de la recherche antivirus de F-Secure. Plus raisonnablement Trend Micro explique que Sasser ne figure pas parmi les 10 virus les plus virulents actuellement. Symantec de son coté estimait que la propagation était moyenne. Panda Software estimait dimanche soir que 3,17% des ordinateurs dans le monde avaient été touchés par Slasser mais ne dit pas combien la planète compte de PC. Du côté de Microsoft on minimise l’ampleur de l’attaque. « Il me parait exagéré de dire que des millions d’ordinateurs ont été infectés », a indiqué à l’AFP le directeur technique de Microsoft France Bernard Ourghanlian. Il faut néanmoins noter la quasi paralysie des postes taiwanaises et la fermeture « par précaution » d’un réseau bancaire finlandais (voir nos articles). Et en France Dans notre pays aussi, les nuisances de Sasser semblent avoir été limitées ce lundi. Excepté la paralysie de l’AFP, très peu de grandes entreprises ont été gênées selon le Club de la sécurité des systèmes d’information français. Les nuisances ont surtout touché les particuliers qui ne mettent pas à jour régulièrement Windows. Selon Network Associates, Sasser a infecté 3% des ordinateurs de l’Hexagone. Ce qui rend ce virus particulièrement dangereux, c’est qu’il se diffuse sans passer par l’intermédiaire d’emails, il suffit qu’un PC soit connecté au Net pour que l’infection se produise. Il provoque des redémarrages du PC infecté mais ne s’attaque pas aux fichiers. Sasser exploite une faille récemment notifiée et corrigée (le 13 avril dernier) par Microsoft dans Windows LSASS (Local Security Authority Subsystem Service). Ce ver attaque par saturation des mémoires tampons. Choisissant aléatoirement des adresses IP, il trouve des passages arrières (« backdoors« ) dans les systèmes connectés. La masse des téléchargements de la dernière mise à jour de Windows (qui a saturé les serveurs de Microsoft), pourrait être le garant de la protection d’une part très importante des utilisateurs de Windows. Le ‘patch’ corrige en particulier la faille exploitée par Sasser-B. Repérer Sasser et s’en débarrasser

-Symptôme

Les variantes de Sasser ont toutes les mêmes effets sur les machines infectées: elles provoquent le redémarrage intempestif de la machine mais ne détruisent aucun fichier du disque dur. Sasser touche uniquement Windows 2000, Windows Server 2003 et Windows XP. Windows 95, 98, Me et NT ne sont pas concernés. -Où le trouver? Sasser ne se cache pas dans la liste des tâches en cours. Un simple appel au gestionnaire des tâches de Windows (ctrl+alt+suppr) permettra de découvrir le processus du ver, appelé avserv.exe ou avserv2.exe. -Comment s’en débarrasser? Un ordinateur doté d’un anti-virus mis à jour et dont le système d’exploitation a été patché grâce au correctif de Microsoft publié le 13 avril ne craint rien. En cas d’infection, il s’agit d’abord d’installer un pare-feu avant de mettre à jour Windows via le site de Microsoft. Ensuite, l’utilisateur devra installer et mettre à jour un anti-virus.