ALERTES VIRUS : SASSER

Le top de l'année 2004
4     W32.Sasser.B.Worm         28.04.2004
       
inventé par un jeune allemend de 18 ans, sous les verroux.
    W32.Sasser.Worm exploite une vulnérabilité de WINDOWS XP et 2000.
    Se protéger en patchant Windows et en mettant les définitions de virus à jour.
    Sasser se copie comme fichier avserve2.exe dans Windows\System32
    plus la création de copies portant un nom composé de chiffres suivis de _up.exe
    comme 3111_up.exe     Ces fichiers ne peuvent êtres supprimés s'ils sont protégés par le systeme.
    Pour les mettre en quarantaine il faut exécuter Norton Anti-Virus en mode sans échec.
    ou utiliser l'outil de suppression de Sasser de Symantec "FxSasser.exe".
    - terminer le processus malveillant en cours
(si vous avez accès au gestionnaire de tâches)
    - désactiver l'option de restauration du sytème Windows XP/Me.
    - actualiser les définitions de virus
(si vous avez encore acces à Internet)
    - exécuter une analyse complète de l'anti-virus et éliminer tous les fichiers infectés
    - rétablir la restauration du système XP/Me
    - éventuellement rétablir quelques éléments de Stratégie de groupe
        (Microsoft Management Console)     en exécutant "gpedit.msc"
        comme la réactivation du bouton "Arrêter l'ordinateur" etc...


Symantec, leader de la sécurité Internet, met à disposition une protection contre le virus W32Sasser.B.Worm
En raison d’une augmentation du nombre de soumissions provenant d’entreprises et de particuliers, Symantec Security Response a rehaussé l’évaluation de risque de W32SasserB.Worm au niveau 4 (le niveau 5 étant le degré de menace le plus élevé).
Les clients Symantec peuvent se protéger contre W32.Sasser.B.Worm en mettant à jour leurs définitions de virus via LiveUpdate, si les mises à jour automatiques ne sont pas activées. La technologie de blocage des vers inconnus (Worm Blocking) dans les logiciels Grand Public Norton AntiVirus et Norton Internet Security, détecte cette menace et empêche la propagation du virus même si les définitions ne sont pas à jour.
A propos de W32.Sasser.Worm
W32.Sasser.Worm exploite la vulnérabilité LSASS, impacte aujourd’hui l’ensemble du parc mondial des systèmes informatiques et se propage en scannant de manière aléatoire des adresses IP sur les systèmes vulnérables. Actuellement, le Symantec Security Response Center enregistre environ 150 soumissions par heure. Les utilisateurs doivent se protéger en patchant leurs systèmes et leurs machines, en mettant leur définitions de virus à jour.
Symantec recommande également de bloquer les port TCP 5554, 9996, et 445 sur le firewall et d’installer les patch Microsoft (MS04-011) pour prévenir toute exploitation de cette vulnérabilité.

ce n'est pas cela qui va nous rassurer ...