En quelques heures, ce 1er mai, 423 infections ont été rapportées sur HouseCall contre 140 à Taiwan et 29 au Royaume-Uni. Ce nouveau parasite exploite une faille récemment notifiée par Microsoft dans Windows: LSASS (pour Local Security Authority Subsystem Service). Ce ver attaque par saturation des mémoires tampons. Choisissant aléatoirement des adresses IP, il trouve des passages arrières (« backdoors ») dans les systèmes connectés. Le ver exécute du code à distance et peut permettre à un pirate de prendre le contrôle d’une machine infestée.

Sasser.A se propage en cherchant aléatoirement des postes avec la faille: il scrute le port TCP 9996. Le ver envoie alors un paquet spécialement conçu pour saturer la mémoire tampon du ou des systèmes visés. A la suite de quoi, le programm LSASS.EXE est bloqué, ce qui impose de redémarrer Windows. Le fichier se présente sous la désignation _up.exe, fichier de 16 ko caché dans le répertoire de Windows.

Cette faille LSASS a été identifiée le 13 avril dernier; elle est également exploitée par une variante du ver AGOBOT.JF, détectée 16 jours plus tard. A tire de comparaison, l’été 2003, il avait fallu 26 jours pour détecter, analyser et neutraliser le virus Blaster.