[MS/Windows] Sasser-Wurm-Varianten kommen in rascher Folge
(2004-05-03 15:38:10.634801+00)
Quelle:
http://vil.nai.com/vil/content/v_125012.htm
Der Wurm Sasser verbreitet sich seit dem Wochenende massiv in verschiedenen Versionen, war allerdings schon vorher aktiv. Mittlerweile ist bereits die 'D'-Variante in Umlauf, was z.T. zu Schwierigkeiten bei seiner Erkennung durch Virenscanner führt. Das Entfernungswerkzeug Stinger erkennt diese letzte Variante derzeit ebenfalls nicht. Der Wurm verbreitet sich nicht über E-Mail-Nachrichten sondern scanned auf Port 445/TCP nach Systemen, die gegen die in der RUS-CERT-Meldung#1191 beschriebenen LSASS-Schwachstelle verwundbar sind. Über diese Schwachstelle kompromittiert er neue Systeme und kopiert den Wurmcode mittels eines FTP-Servers, der auf dem angreifenden System zu diesem Zweck vom Wurm installiert wurde, auf das neue System. Der FTP-Server lauscht auf infizierten Systemen auf Port 5554. Daneben installiert der Wurm eine Hintertür, offenbar auf verschiedenen Ports (u.a. 9996). Infizierte Systeme können spontan rebooten. Fehlgeschlagene Infektionsversuche können ebenfalls zum Systemneustart führen.
(og)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1196