Dossier sur le virus "Sasser"

samedi 1 mai 2004, 23h16
Un nouveau virus a probablement infect� des millions d'ordinateurs

STOCKHOLM, 1er mai (AFP) - Un nouveau virus internet, touchant le monde entier, a d�j� probablement affect� des millions d'ordinateurs et continue de se r�pandre, a annonc� samedi un expert finlandais � l'AFP.

Le virus Sasser peut infecter n'importe quel ordinateur pourvu qu'il soit branch�, et contrairement aux autres virus, ne se r�pand pas par la voie des e-mails, a pr�cis� Mikko Hyppoenen (bien: Hyppoenen), chef de la recherche anti-virus de la firme finnoise F-Secure.

"C'est l'un des rares virus qui se r�pand automatiquement: il suffit que votre PC soit branch�", a-t-il d�clar� � l'AFP dans un entretien t�l�phonique avec l'AFP depuis Helsinki.

Le virus ferme l'ordinateur, puis le red�marre automatiquement et r�p�te la proc�dure plusieurs fois.

M. Hyppoenen a toutefois indiqu� que le virus, bien qu'emp�chant l'usage de l'ordinateur, �tait inoffensif.

"Ce virus n'a pas d'intentions criminelles, � la diff�rence des virus Bagle et Sobig que nous avons vus dans le pass�, qui prenaient le contr�le des ordinateurs en ouvrant des acc�s pour le spam. Sasser ne fait rien de tel", a-t-il d�clar�.

Il a rappel� que "le virus Blaster avait infect� des millions d'ordinateurs en ao�t 2003". "Cette fois, il pourrait y avoir davantage d'ordinateurs infect�s", a-t-il d�clar�.

M. Hyppoenen a ajout� que les experts ne savaient pas encore qui �tait derri�re cette attaque de virus mais pensaient qu'il pourrait s'agir de jeunes hackers (pirates informatiques).

"C'est probablement (...) un adolescent qui a les capacit�s" pour produire un tel virus et "qui veut faire le malin", a-il-dit.

Sasser a �t� observ� pour la premi�re fois samedi � 00h00 GMT, infectant les ordinateurs qui n'avaient pas install� le dernier patch (correctif) publi� par Microsoft dans les 18 derniers jours.

"L'installation du patch r�sout le probl�me, mais de nombreux utilisateurs peuvent trouver la manoeuvre difficile, car durant l'installation du patch le virus continue � produire ses effets et l'ordinateur s'�teint", selon M. Hyppoenen.

M. Hyppoenen a indiqu� qu'il s'attendait � ce que le nombre d'ordinateurs infect�s par le virus augmente de mani�re spectaculaire lundi, lorsque les employ�s qui auront travaill� chez eux sur des ordinateurs portables au cours du week-end retourneront au travail et relieront ces ordinateurs au syst�me informatique de leur bureau.

L'�diteur am�ricain d'anti-virus Symantec a indiqu� sur son site internet que Sasser se r�pandait en recherchant les syst�mes vuln�rables dans les ordinateurs branch�s en permanence sur leurs fournisseurs d'acc�s internet, notamment lorsqu'ils disposent d'une connexion ADSL.

Les syst�mes expos�s sont Windows 2000, Windows Server 2003 et Windows XP. Les autres syst�mes d'exploitation Windows, ou Linux et Macintosh, entre autres, n'ont pas �t� touch�s.

Symantec a d�crit samedi soir la propagation g�ographique de Sasser comme "basse" et a qualifi� "d'ais�e" la ma�trise et l'�limination de cette menace.

Des d�tails sur la mani�re d'�liminer le virus sont disponibles sur (http: //securityresponse.symantec.com).

"Le virus Sasser se r�pand de mani�re similaires au virus Blaster" qui, � l'�t� 2003 avait provoqu� de tr�s importants d�g�ts : "il voyage en utilisant les failles r�cemment d�tect�es dans plusieurs logiciels Microsoft et ne se sert pas de l'e-mail", a indiqu� Graham Cluley, responsable technique de l'entreprise d'anti-virus am�ricaine Sophos.

"Il ne se d�place pas aussi vite que Blaster, mais les ordinateurs qui ne sont pas correctement prot�g�s avec les derni�res mises � jours d'anti-virus, les firewalls (pare-feu) et le patch de s�curit� Microsoft sont expos�s", selon lui.

Microsoft a rapport� pour la premi�re fois cette vuln�rabilit� le 13 avril.

L'�diteur anti-virus espagno Trend Micro, de son c�t�, pr�cise que le nouveau parasite exploite la faille LSASS (Local Security Authority Subsystem Service) r�cemment notifi�e par Microsoft.

Ce ver attaque ainsi certaines m�moires-tampon de l'ordinateur par saturation. En choisissant al�atoirement des adresses internet, il trouve des passages dans les syt�mes connect�s et peut permettre � un pirate de prendre le contr�le d'une machine infect�e, selon Trend Micro.

Trend Micro propose �galement une adresse de d�tection gratuite de Sasser : (http://housecall.trendmicro.com/).

Sasser est la troisi�me vague importante de virus � �tre lanc�e cette ann�e, apr�s Mydoom.A, en janvier, et Bagle.B en f�vrier.
__________________________________________________________________
dimanche 2 mai 2004, 13h27
Le virus informatique Sasser se propage rapidement, le pire attendu lundi

STOCKHOLM, 2 mai (AFP) - Le virus informatique internet Sasser (W32/Sasser), qui s'attaque aux syst�mes Windows 2000, Windows Server 2003 et Windows XP, se propage rapidement et le pire � cet �gard est attendu lundi quand le travail va reprendre dans nombre de pays, soulignent les experts.

"Le probl�me semble s'aggraver", a d�clar� l'un d'eux, Mikko Hyppoenen, de la firme finlandaise F-Secure (s�curit� sur l'internet), interrog� dimanche � Helsinki par l'AFP. Selon lui, le virus de type "ver" pourrait d�j� avoir infect� des millions d'ordinateurs � travers le monde.

"Nous ne savons pas quelle sera l'ampleur de cela, mais nous nous attendons � ce que les choses deviennent bien pires lundi, quand les gens apporteront leurs ordinateurs portables au bureau, apr�s le week-end", a-t-il ajout�.

Ces ordinateurs portables n'�tant pas prot�g�s par les syst�mes de s�curit� mis en place par les compagnies lorsqu'ils sont utilis�s en recourant � d'autres serveurs que ceux de ces entreprises, ils peuvent �tre infect�s et � leur tour contaminer d�s le d�but de la semaine les autres �quipements informatiques dans les bureaux.

D'apr�s M. Hyppoenen, la Cor�e du Sud a probablement �t� le pays le plus atteint parce qu'elle a la plus forte densit� au monde de connexions � haut d�bit ADSL, les usagers �tant d�s lors constamment reli�s � l'internet.

L'Am�rique du Nord est elle aussi tr�s vuln�rable en raison de la masse des ordinateurs dont elle dispose, a averti l'expert.

Pour Mikko Hyppoenen, le virus Sasser peut infecter n'importe quel ordinateur d�s lors qu'il est branch�.

Contrairement aux autres virus, il ne se r�pand pas par la voie des courriels. Il ferme l'ordinateur, puis le fait automatiquement red�marrer et r�p�te la proc�dure plusieurs fois. "C'est l'un des rares virus qui se r�pande automatiquement : il suffit que votre PC soit branch�", a dit M. Hyppoenen.

Sasser est la troisi�me vague importante de virus cette ann�e, apr�s Mydoom. A, en janvier, et Bagle.B en f�vrier.
_________________________________________________________________________
dimanche 2 mai 2004, 14h21
Les virus informatiques

PARIS, 2 mai (AFP) - Les virus informatiques, qui peuvent contaminer des millions d'ordinateurs � travers le monde, sont la terreur des informaticiens professionnels ou amateurs.

Un nouveau virus internet, Sasser, touchant le monde entier, a d�j� probablement affect� des millions d'ordinateurs, a annonc� samedi un expert finlandais. Ce virus, du type "ver", peut infecter n'importe quel ordinateur pourvu qu'il soit branch�, et contrairement aux autres virus, ne se r�pand pas par la voie des e-mails.

Les virus sont des petits logiciels ayant la capacit� de se multiplier et d'effectuer des op�rations n�fastes, comme d'effacer le disque dur.

Les parades reposent sur des logiciels pare-feu, qui peuvent interdire l'entr�e par le r�seau de certains types de fichiers suspects, ou les logiciels anti-virus, qui fonctionnent g�n�ralement en identifiant les virus � partir d'une liste qui doit �tre mise � jour fr�quemment. Ces protections ne sont donc pas toujours efficaces.

Apr�s les disquettes ou les CD-Rom de l'�re pr�-internet, le courrier �lectronique, et m�me la simple consultation de pages internet, sont devenus le vecteur favori des virus. Ils contaminent en cascade tous les destinataires d'un carnet d'adresses, qui infectent � leur tour leurs correspondants, dans une r�action en cha�ne tr�s difficile � stopper.

Un virus classique est un morceau de programme informatique: il s'ins�re dans un programme, de la m�me fa�on qu'un virus biologique s'installe dans une cellule saine.

Les "vers" informatiques repr�sentent une cat�gorie bien pr�cise: ils se copient eux-m�mes et peuvent se propager sans intervention des utilisateurs d'ordinateurs. Contrairement au virus, le ver ne peut pas se greffer � un autre programme. Il va simplement se copier via un r�seau ou internet, d'ordinateur en ordinateur. Sa m�thode la plus courante de propagation est l'envoi de courriers �lectroniques avec copie du ver en pi�ce jointe.

Depuis le d�but de l'ann�e, internet est touch� par une recrudescence de la production de virus informatiques. Sasser est la troisi�me vague importante apr�s Mydoom.A en janvier et Bagle.B en f�vrier.

Mydoom a constitu� une nouvelle �tape dans l'utilisation criminelle des virus. Alors qu'auparavant la paternit� des virus �tait souvent attribu�e � des pirates voulant prouver leurs talents de programmeurs, les derni�res �pid�mies montrent que ces logiciels visent le profit, notamment en �tant utilis� par des soci�t�s sp�cialis�es dans le spam (courrier ind�sirable), selon des experts.

Quelques uns des principaux virus de 2003, Sobig, Mimail ou Bugbear, ont eu pour objectif de collecter des donn�es personnelles, notamment des num�ros de cartes de cr�dit, mais aussi des listes d'adresses de courrier.

Au mois d'ao�t, Blaster, Welchia ou Sobig ont infect� des millions d'ordinateurs et caus� jusqu'� 2 milliards de dollars de dommages, selon la soci�t� am�ricaine de s�curit� informatique Symantec.

Souvent soucieux d'endormir la m�fiance des internautes, de nombreux virus ont port� de jolis noms, comme Melissa, Papa, "I love you", Lucky 2000, Trojan (cheval de Troie), mais parfois des qualificatifs plus explicites, Tchernobyl ou Armagedon.
____________________________________________________________________
dimanche 2 mai 2004, 17h01
L'AFP victime de l'attaque du virus "Sasser"

PARIS, 2 mai (AFP) - L'AFP a �t� victime samedi soir de l'attaque du virus "Sasser" qui a perturb� s�rieusement l'ensemble de ses diffusions satellitaires entre 16h20 GMT et 21h45 GMT.

D�j� confront�e � ce fl�au des attaques virales notamment l'�t� 2003 puis le 8 mars dernier, l'AFP a mis en place des proc�dures pr��tablies � la fois pour enrayer l'attaque et pour offrir � ses clients des modes de livraison de substitution.

Il �tait 18h20 � Paris lorsque subitement la plupart des ordinateurs de la grande salle du desk de la place de la Bourse se sont �teints puis relanc�s automatiquement. Dans le m�me temps, ceux des ordinateurs charg�s de diriger la plupart des services texte, photo et infographie vers les satellites se sont bloqu�s.
_______________________________________________________________________
dimanche 2 mai 2004, 16h52
La version B du ver Sasser semble monter en puissance

PARIS, 2 mai (AFP) - Une nouvelle version du virus informatique internet Sasser s'est propag�e durant le week-end en profitant d'une faille signal�e le 14 avril par Microsoft dans plusieurs versions de Windows, mais ne conna�t encore qu'une diffusion limit�e, selon un responsable de Microsoft.

"Il me parait exag�r� de dire que des millions d'ordinateurs ont �t� infect�s", a d�clar� � l'AFP le directeur technique de Microsoft France Bernard Ourghanlian.

Il a cependant reconnu qu'apr�s un d�but assez lent samedi, le virus, qui peut infecter un ordinateur simplement s'il est branch� sur internet, et non pas par le biais d'un courrier �lectronique, est mont� en puissance dimanche.

La firme finlandaise F-Secure (s�curit� sur l'internet) met en garde, depuis samedi soir, sur la rapidit� de propagation de ce virus, qui pourrait, selon elle, d�j� avoir infect� des millions d'ordinateurs � travers le monde.

"Nous ne savons pas quelle sera l'ampleur de cela, mais nous nous attendons � ce que les choses deviennent bien pires lundi, quand les gens apporteront leurs ordinateurs portables au bureau, apr�s le week-end", a d�clar� � l'AFP Mikko Hyppoenen chef de la recherche anti-virus chez F-Secure.

"Nous enregistrons actuellement plusieurs attaques par minute sur les +pots de miel+, c'est � dire les machines non prot�g�es mises sur le r�seau pour surveiller l'activit� virale", a indiqu� le responsable de Microsoft, ajoutant que la France ainsi que plusieurs pays d'Asie du sud-est semblait avoir �t� particuli�rement touch�e.

Il a cependant affirm� que les correctifs mis en ligne par Microsoft ("MS 04/011") ont �t� t�l�charg�s � plusieurs dizaines de millions d'exemplaires, ce qui avait d'ailleurs entra�n� � la mi-avril la saturation momentan�e des serveurs Microsoft.

"Nous avons bon espoir que l'extension de ce virus sera limit�e par les nombreuses pr�cautions prises", a-t-il dit.

"sans pr�caution"

"Il n'est pas possible de chiffrer l'extension du virus, encore moins le co�t des d�g�ts qu'il aura inflig�", a d�clar� M. Ourghanlian, en rappelant que "beaucoup d'entreprises n'avouent jamais qu'elles ont �t� infect�es". Mais il est possible que Sasser connaisse une nouvelle flamb�e lundi � la reprise du travail, "sp�cialement dans les PME qui red�marrent leurs syst�mes sans pr�caution".

Le site de l'�diteur am�ricain d'anti-virus Symantec faisait �tat d'un faible nombre d'ordinateurs infect�s: entre 50 et 999 samedi et entre 0 et 49 dimanche apr�s-midi.

Sur la cartographie de l'�volution en temps r�el des virus, �labor�e par un autre sp�cialiste de l'anti-virus, Trend Micro, (� partir des notifications d'infections rapport�es par des usagers), Sasser B ne figure pas parmi les 10 virus les plus virulents actuellement. Sa version pr�c�dente Sasser A avait infect� pr�s de 3.650 ordinateurs dans le monde, dimanche en milieu d'apr�s-midi. Les Etats-Unis semblaient �pargn�s par ce virus.

Toujours selon Trend Micro, des virus d�clar�s et dont l'antidote est d�j� diffus�, comme Mydoom et Netsky, sont encore loin devant Sasser A en nombre d'ordinateurs actuellement infect�s: environ 57.900 pour Mydoom et pr�s de 40. 000 pour Netsky dans ses diff�rentes versions.

Plusieurs dizaines de nouveaux virus sont cr��s chaque semaine, par des passionn�s d'informatique voulant d�noncer des failles dans les syst�mes, mais aussi de plus en plus par des professionnels tirant profit de leurs attaques, par exemple en revendant des listes d'ordinateurs infect�s � des soci�t�s sp�cialis�es dans le spam (courrier ind�sirable).

"L'AFP avait bien vu les avertissements de Microsoft et en avait tenu compte. L'attaque a �t� extr�mement rapide, aucun signe pr�curseur n'a �t� enregistr�", a d�clar� Bernard Barret, responsable de l'exploitation de l'AFP.

"Les explications des sp�cialistes des antivirus ne sont pas suffisantes pour analyser ce qui s'est pass�", a ajout� Daniel Oudet, directeur technique. "On v�rifie tout attentivement".

Les mesures d'urgence ont �t� imm�diatement mises en oeuvre pour poursuivre la production notamment avec un effort particulier des journalistes. Ils ont continu�, malgr� des ordinateurs qui sous l'effet du virus s'�teignaient toutes les minutes, � envoyer la copie et les photos car les services continuaient � �tre disponibles via l'Internet.

Au niveau technique, le cloisonnement strict du r�seau interne a �t� instantan�. Cette solution est possible depuis peu car l'AFP vient d'achever de mettre en place une nouvelle architecture de son r�seau local. Cette op�ration a permis toute une s�rie d'am�liorations de la qualit� de service et de la s�curit�.

Les services techniques se sont mobilis�s rapidement en ce jour f�ri� en France. De nombreux techniciens ont propos� leur service spontan�ment dans la soir�e de samedi.

"Cela co�te cher, car il faut renforcer en permanence les �quipes et les syst�mes qui travaillent � garantir la continuit� du service", a soulign� Jean-Fran�ois Richard, r�dacteur en chef technique. "Les consignes de s�curit� que doivent respecter les journalistes sont de plus en plus draconiennes, mais elles sont une contrainte in�vitable dans un m�tier charg� d'assurer le circulation donc la libert� de l'information", a-t-il ajout�.

dimanche 2 mai 2004, 17h18
Virus Sasser: le sp�cialiste russe Kasperski craint une �pid�mie majeure

MOSCOU, 2 mai (AFP) - Le sp�cialiste russe de la s�curit� informatique, Kasperski, craint une �pid�mie majeure du virus Sasser apparu samedi, compte tenu des caract�ristiques de ce "ver" dont la vitesse de propagation devrait �tre multipli�e � la reprise du travail lundi.

"La particularit� de ce virus de type 'ver', qui est qu'il n'a pas besoin pour se propager que le fichier infect� soit activ� (par l'utilisateur), fait que sa propagation va �tre beaucoup plus rapide que celle des vers classiques", a dit � l'AFP Denis Zenkine, du Laboratoire Kasperski, une soci�t� r�put�e mondialement.

"Pour l'instant, l'ampleur de l'�pid�mie n'est pas trop importante pour la seule raison que beaucoup de gens ne sont pas au travail", et que leurs ordinateurs ont �t� arr�t�s, a-t-il ajout�.

"Il s'agit d'un virus de type ver, apparu samedi, qui profite de failles dans le syst�me d'exploitation de Windows", a encore expliqu� cet expert.

Selon lui, le virus n'a "pas provoqu� pour l'instant d'�pid�mie majeure dans les syst�mes informatiques en Russie", o� l'activit� est tr�s r�duite pendant les f�tes allant du 1er mai au c�l�brations de la victoire sur l'Allemagne nazie (8 mai en ex-URSS), et o� lundi et mardi sont f�ri�s.

Il a cependant pr�cis� que le virus �tait bien pr�sent en Russie, les ordinateurs de collaborateurs de Kasperski eux-m�mes ayant �t� attaqu�s.

Sasser est la troisi�me vague importante de virus cette ann�e, apr�s Mydoom. A, en janvier, et Bagle.B en f�vrier.

la ces quand meme beaucoups trop long pour tout le monde le lise quand meme :p

sinon c kler que ces complet ...

d'ailleurs il passer sur toute les chaines dans les different s journeau ce soir

week

week j'ai pas pu le rarer ;-)

bon sinon pour ceux qui veulent savoir comment essayer de s'en debarrasser allez sur secuser.com ici exactement :
http://secuser.com/alertes/2004/sasser.htm toutes les instructions sont donn�es
faites une mises a jour de windows si necessaire (c'est ce que j'ai fais pas precaution)
a bientot

Apprenti Inscrit le: 20 Mar 2004 Messages: 85 **Citer**

vous pouvez t�lecharger le patch sasser __ici__entre autre ;-)

http://serialfichier.free.fr/images/serialfichier.gif

Hehe ben y'en a qui s'amuse

et qui nous font bien chie*

ferais mieux de pirater les comptes en banques des milliardaires pour les redistribuer a tout le monde

Sinon j'ai mis la demarche a suivre pour ceux qui ont choper le ver ou meme juste pour mettre le patch en prevention ici :
http://archive.e-zenzone.net/topic6361.html

comme ca ca reste zenzone

lol
koi je suis chauvin ?? mais non c juste qu'on est les meilleur

lol

Voila @++
_________________
Quelqu'un a dit ....... Ben c'�tait pas moi ...

merci beaucoup lol_nem pour tes explications detaill�es j'ai bien l'impression qu' elles vont etre utiles
�a fait deja personnes depuis hier soir que je sais infect�es
visiblement cette salet� de ver va assez vite esperons qu'il ne fera pas trop de degats :-?

__________________________________________________________

http://eur.news1.yimg.com/eur.yimg.com/xp/afpji/20040503/040503055453.3uly4m1k0b.jpg

- Le virus Sasser a �t� observ� pour la premi�re fois samedi � 00h00 GMT, infectant les ordinateurs utilisant certaines versions de Windows et qui n'avaient pas encore install� le dernier patch publi� par Microsoft, patch qui doit pouvoir emp�cher la propagation du virus, selon plusieurs experts interrog�s par l'AFP.

Sasser utilise une faille dans les syst�mes d'exploitation Windows 2000, Windows Server 2003 et Windows XP. Les autres syst�mes d'exploitation Windows, ou Linux et Macintosh, entre autres, n'ont pas �t� touch�s. Microsoft a rapport� pour la premi�re fois cette vuln�rabilit� le 13 avril, et mis en ligne le patch (ou correctif) appropri�.

Mais il est possible que, dans certains cas, le patch comporte lui-m�me une d�faillance ("bug"), reconna�t-on chez Microsoft, ce qui entra�ne des difficult�s pour relancer l'ordinateur. Toutefois, Microsoft a averti les utilisateurs de cette d�faillance possible via des informations fournies avec le patch. "Le patch �tait totalement document�", a affirm� dimanche � l'AFP le directeur technique de Microsoft France Bernard Ourghanlian.

"L'installation du patch r�soud le probl�me, mais de nombreux utilisateurs peuvent trouver la manoeuvre difficile, car durant l'installation du patch le virus continue � produire ses effets et l'ordinateur s'�teint", admet pour sa part le responsable de la recherche antivirus de la soci�t� finlandaise F-Secure, Mikko Hyppoenen.

L'�diteur am�ricain d'antivirus Symantec indique sur son site internet que Sasser se r�pand en recherchant les syst�mes vuln�rables dans les ordinateurs branch�s en permanence sur leurs fournisseurs d'acc�s internet, notamment lorsqu'ils disposent d'une connexion ADSL.

Symantec a d�crit samedi soir la propagation g�ographique de Sasser comme "basse" et a qualifi� "d'ais�e" la ma�trise et l'�limination de cette menace.

"Le virus Sasser se r�pand de mani�re similaires au virus Blaster", qui, � l'�t� 2003 avait provoqu� de tr�s importants d�g�ts: "il voyage en utilisant les failles r�cemment d�tect�es dans plusieurs logiciels Microsoft et ne se sert pas de l'e-mail", a indiqu� Graham Cluley, responsable technique de l'entreprise d'antivirus am�ricaine Sophos.

"Il ne se d�place pas aussi vite que Blaster, mais les ordinateurs qui ne sont pas correctement prot�g�s avec les derni�res mises � jours d'antivirus, les firewalls (pare-feu) et le patch de s�curit� Microsoft, sont expos�s", selon lui.

a bientot
bises[/img]