Nouvelle version de Sasser, malgré l'arrestation de l'auteur présumé
F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Périoded'essaigratuite de 15 jours
ParFranck Olivel (e-Naute.com) - L'apparition d'une nouvelle version du ver Sasser peu de temps après l'arrestation de son auteur présumé, démontre l'implication d'autres programmeurs dans la création de ce ver. Sasser.e a été identifié à peine trois heures et 45 minutes après l'arrestation de Sven Jaschan, en Allemagne.
Pandasoftware a indiqué que "ces variantes sont l'oeuvre d'un groupe de délinquance organisée", impliquant plusieurs programmeurs et auteurs de virus. F-Secure quant à eux, défendent la thèse de l'auteur unique : "nous sommes convaincus que cette nouvelle variante a été conçue et distribuée par Sven Jaschan, juste avant son arrestation".
A l'instar des précédentes versions, Sasser.e exploite la même vulnérabilité Windows 2000/XP, entraînant l'instabilité et le reboot des systèmes. Contrairement aux quatre autres versions, il se copie sous le nom "LSASSS.EXE" (à ne pas confondre avec le fichier Windows LSASS.EXE), il essaye ensuite de supprimer le virus Bagle s'il existe, puis affiche le message suivant :
Notons aussi la publication par un groupe roumain, d'un exploit distant permettant le prise de contrôle de machines infectées par les cinq variantes de Sasser. Cette exploitation est le résultat d'un buffer overflow présent au niveau du serveur ftp installé par sasser (port 5554).
