Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Myki

Dabber exploite Sasser

Messages recommandés

Comment le parasite Dabber exploite une faille ouverte par Sasser

Par Christophe Guillemin

ZDNet France

Vendredi 14 mai 2004

 

Sasser nétait pas si inoffensif que cela: il préparait le terrain pour Dabber, un autre virus plutôt vicieux. Si côté pile, cet intrus "nettoie" le système de logiciels malveillants, côté face, il ouvre une porte dérobée encore plus dangereuse...

 

Alors que le virus-ver Sasser, apparu le 1er mai, ne présentait de prime abord aucun réel danger pour l'intégrité des données de l'utilisateur, il a enfait ouvert la voie à un autre ver informatique qui l'exploite pour son propre compte. Baptisé "Dabber", ce nouveau virus, dont l'épidémie est encore très faible, peut en effet être assimilé à un parasite de Sasser.

 

Rappelons que Sasser cible les systèmes sous Windows XP, NT et 2000 en exploitant une des dernières failles de Windows. Il ne détruit ou ne porte atteinte à aucune donnée, mais provoque un redémarrage automatique des ordinateurs infectés toutes les 60 secondes.

 

Au passage, il ouvre cependant le port TCP 9996 pour permettre la prise de contrôle de la machine, puis il installe un serveur FTP sur le port 5554 pour communiquer avec les autres systèmes infectés.

 

C'est cette dernière fonction qu'exploite Dabber. Le serveur FTP de Sasser possède une vulnérabilité de sécurité de type dépassement de mémoire tampon (buffer overflow). Cette défaillance survient lorsqu'un programme s'emballe et réclame davantage de mémoire qu'il n'en dispose. Résultat, il accède à des zones mémoire qui ne lui sont pas destinées et crée ainsi un canal pour inoculer un virus. C'est par ce chemin que se glisse Dabber, en toute transparence pour l'utilisateur.

 

Une méthode de parasitage qui tend à se développer. En février dernier, les virus Doomjuice et Deadhat faisaient de même en exploitant une porte dérobée (backdoor) ouverte par MyDoom.

 

Un virus soignant

 

Une fois sur le système, Dabber se copie dans le répertoire "System" de Windows sous le nom de "Package.exe". Il s'enregistre dans les fichiers de démarrage pour être présent dans la mémoire de l'ordinateur après chaque allumage.

 

Il supprime ensuite des fichiers et des références systèmes de Sasser ainsi que ses variantes, tout comme ceux de plus d'une dizaine d'autres programmes malicieux tels que des spywares – ces petits logiciels très discrets qui lancent des pop-up publicitaires.

 

Dabber un virus soignant? Non, car il ouvre lui aussi une porte dérobée au niveau du port 9898, ce qui fragilise une fois de plus le système déjà touché.

 

Pour se prémunir de Dabber, il convient avant tout de bloquer Sasser en installant les mises à jour de Microsoft comblant la faille qu'il exploite. S'il est passé, il faut donc le supprimer via une méthode manuelle décrite en détail ici, ou grâce à un antivirus mis à jour.

 

Par ailleurs, pour se débarrasser de Dabber en tant que tel, il faut, comme à l'accoutumée mettre à jour son logiciel antivirus et scanner son système. Manuellement, il est également possible de l'éradiquer en supprimant le fichier "Package.exe" du répertoire "System" de Windows ainsi que ses mentions qu'il a ajoutées dans la base de registre.

 

L'accès à la base se fait depuis le menu "Démarrer", en tapant "Regedit" dans l'onglet "Exécuter".

- Il faut alors supprimer les références à "Dabber" ou "Package.exe" dans les clés suivantes:

 

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

 

HKEY_CURRENT_USER>DEFAULT>Software>Microsoft>Windows>CurrentVersion>Run

 

- Supprimer également la clé:

 

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run "sassix" = package.exe

 

- Et enfin supprimer "package.exe" du répertoire de démarrage:

 

c:/documents and settings/all Users/ Menu Démarrer/Programmes/Démarrage/package.exe

 

Avec Robert Lemos de CNET News.com

 

Source ZDnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Myki, Rémi, tesgaz, bonsoir à tous,

 

Je le disais déjà !

http://forum.zebulon.fr/index.php?showtopic=43341&st=40'>http://forum.zebulon.fr/index.php?showtopic=43341&st=40[/url] ']Bonjour JPVV, bonjour à tous,

Okay pour le port 445 (intrusion) mais prendre garde au fait que le virus, une fois installé utilise d'autres ports !

http://forum.zebulon.fr/index.php?showtopic=43341&st=40[/url] ']...

- Autres détails :

--- services : AbortSystemShutdown API ; FTP server on TCP port 5554

--- ports : TCP 445, 5554, 9996 (128 threads, 1024 pour Sasser.C)

   (Opens an FTP server on port 5554, and a backdoor on port 9995 pour Sasser.D)

--- éventuels autres virus JumpallsNlsTillt et Jobaka3

--- les patches de Microsoft sont en place depuis le 13/04/2004

--- Sasser (1ère version) a été détecté le 30/04/2004

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×