Aide - Recherche - Membres - Calendrier
Version complète : Virus SASSER

CFF99 > Windows XP ?
cff
Mercredi 05 Mai 2004 à 18h50
Un nouveau virus fait rage depuis le 30 avril 2004. Il en est aujourd'hui à sa quatrième version.

Il s'agit de Sasser, dont le nom complet est W32.Sasser.worm.

Contrairement à ceux qui pullulent depuis quelques temps, ce virus ne se transmet pas par l'intermédiare des messageries electroniques et de pièces jointes infectées.

Sont arrivée est totalement transparente, si le PC n'est pas protégé et mis à jour régulièrement.

En fait, sasser utilise une faille de sécurité de Windows XP, 2000 ou server 2003, annoncée le 13/04/2004 par Microsoft.

Son fonctionnement est assez similaire à celui de Blaster qui a fait des ravages l'été dernier.

Une fois installé sur un PC, celui-ci se sert de la connexion internet pour trouver un autre PC non protégé et vulnérable.

Une fois activé, dès qu'une connexion internet est détectée l'écran suivant s'affiche :
user posted image

Il ne reste plus qu'une minute avant que l'ordinateur ne redémarre de façon automatique, perdant ainsi toutes les informations non sauvegardées.

Microsoft à mis en ligne un tutoriel complet pour éradiquer totalement ce virus :
QUOTE



Tapez la commande suivante (sans les guillemets et sur une seule ligne) dans une fenêtre de commande lors de l'affichage de la boite de dialogue indiquant le décompte: "shutdown.exe –a". Ceci annulera le reboot amorcé. Puis :

Étape 1 : isoler l’ordinateur d’Internet
Pour ce faire, vous pouvez par exemple débrancher le modem ou le câble réseau afin de déconnecter l'ordinateur d'Internet

Étape 2 : arrêter les processus utilisés par le ver
Cliquez sur Démarrer, Exécuter
Tapez taskmgr.exe, puis validez
Sélectionnez l’onglet Processus
Terminez les processus suivants :
*_up.exe
avserv*.exe
skynetave.exe
hkey.exe
msiwin84.exe
wmiprvsw.exe

Étape 3 : Éliminer le démarrage automatique des processus du ver
Cliquez sur Démarrer, Exécuter
Tapez regedit.exe
Positionnez vous sur la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Supprimez les entrées suivantes:
"windows"="hkey.exe"
"Microsoft Update"="msiwin84.exe"
"System Updater Service"="wmiprvsw.exe"
"avserve.exe"="C:\WINDOWS\avserve.exe"
"avserve2.exe = %WINDIR%\avserve2.exe"
"skynetave.exe"="%Windows%\skynetave.exe"

Étape 4 : Supprimer les fichiers du ver
Rechercher et supprimer les fichiers suivants du disque dur en incluant les fichiers cachés et système.

Pour afficher les fichiers cachés :

lancer la fenêtre Rechercher
aller dans le menu Outils -> Options des dossiers -> onglet Affichage puis,
cliquer sur Afficher les fichiers et dossiers cachés du répertoire Fichiers et dossiers

Pour lancer la recherche :

Cliquer sur Démarrer et puis Rechercher
Sélectionner l’option "Tous les Fichiers et tous les dossiers" et ensuite cliquer sur "Options Avancées"
Cocher les 3 cases si elles ne sont pas cochées :
"Rechercher dans les dossiers systèmes"
"Rechercher dans les fichiers et les dossiers cachés"
"Rechercher dans les sous-dossiers"
Taper le nom du fichier à rechercher.
Appuyer sur le bouton Rechercher


La liste des fichiers à supprimer est la suivante:

*_up.exe
avserve*.exe
skynetave.exe
hkey.exe
msiwin84.exe
wmiprvsw.exe

Étape 5 : Activer un pare-feu sur votre machine
L'activation du pare-feu permet de bloquer les attaques du ver qui se font sur le port 445.

Activer le pare-feu de Windows XP ou tout autre pare-feu installé.

Pour configurer le Pare-feu de connexion Internet manuellement pour une connexion:

Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau.
Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés.
Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau.

Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare-feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet.

Note : Si vous utilisez un kit de connexion de votre fournisseur d’accès à Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre pare-feu disponible.

Étape 6 : Installer la mise à jour éliminant la vulnérabilité exploitée par le ver
Appliquer le correctif de sécurité MS04-011 en utilisant Windows Update, la mise à jour de sécurité est aussi disponible (en version française) :

Pour Windows XP (toutes versions)


La version complète de ce tutoriel est disponible directement sur le site de Microsoft ou vous trouverez également un utilitaire qui vous indiquera si oui ou non votre PC est infecté par ce virus.
cool.gif
cff
Mercredi 05 Mai 2004 à 21h25
Sasser peut également empecher l'utilisation de Windows Update, rendant ainsi impossible la mise en place du patch de sécurité de Microsoft. sad.gif

Voici un lien pour télécharger ce patch correctif, sur le site de Microsoft, sans utiliser Windows Update. tongue.gif

Vous pouvez également utiliser FxSasser, un utilitaire gratuit mis en ligne par Symantec qui permet d'éliminer toute trace de Sasser jusqu'a la version "D" de ce virus. biggrin.gif
Ceci est une version bas débit de notre forum. Pour voir la version complète avec plus d'informations, la mise en page et les images, veuillez cliquez ici.
Invision Power Board © 2001-2012 Invision Power Services, Inc.
Adapté par CFF99
Traduit, modifié par CFF99