Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1196

[MS/Windows] Sasser-Wurm-Varianten kommen in rascher Folge
(2004-05-03 15:38:10.634801+00) Druckversion

Quelle: http://vil.nai.com/vil/content/v_125012.htm

Der Wurm Sasser verbreitet sich seit dem Wochenende massiv in verschiedenen Versionen, war allerdings schon vorher aktiv. Mittlerweile ist bereits die 'D'-Variante in Umlauf, was z.T. zu Schwierigkeiten bei seiner Erkennung durch Virenscanner führt. Das Entfernungswerkzeug Stinger erkennt diese letzte Variante derzeit ebenfalls nicht. Der Wurm verbreitet sich nicht über E-Mail-Nachrichten sondern scanned auf Port 445/TCP nach Systemen, die gegen die in der RUS-CERT-Meldung#1191 beschriebenen LSASS-Schwachstelle verwundbar sind. Über diese Schwachstelle kompromittiert er neue Systeme und kopiert den Wurmcode mittels eines FTP-Servers, der auf dem angreifenden System zu diesem Zweck vom Wurm installiert wurde, auf das neue System. Der FTP-Server lauscht auf infizierten Systemen auf Port 5554. Daneben installiert der Wurm eine Hintertür, offenbar auf verschiedenen Ports (u.a. 9996). Infizierte Systeme können spontan rebooten. Fehlgeschlagene Infektionsversuche können ebenfalls zum Systemneustart führen.

Betroffene Systeme

  • Sasser.A, Sasser.B:
    • Windows 2000
    • Windows XP
    • Windows Server 2003
  • Sasser.C, Sasser.D:
    • Windows 95, 98, Me
    • Windows NT
    • Windows 2000
    • Windows XP
    • Windows Server 2003
    Wobei Sasser.C sich nicht weiterverbreiten kann. Dies kann sich unter Umständen nach einem Update des Systems ändern.

Nicht betroffene Systeme

    Sasser.A, Sasser.B:
  • Windows 95, 98, Me
  • Windows NT

Einfallstor

  • Port 445/TCP zur Infektion des Systems

Auswirkung

  • Installation eines FTP-Servers, über den der Wurmcode auf neu zu infizierende Systeme übertragen wird
  • Öffnen einer Hintertür vorzugsweise auf Port 9996, andere Ports sind nach Beobachtung des RUS-CERT ebenfalls möglich.
  • Absturz des LSASS-Dienstes bei einem fehlgeschlagenen Kompromittierungsversuch des Systems
    • Sasser.A

    Klasse
    Wurm

    Gefahrenpotential
    mittel bis hoch
    (Hinweise zur Einstufung des Gefahrenpotentials.)

    Beschreibung

    Charakteristika


      Aliases

      Gegenmaßnahmen

      • Entfernung des Wurmes:
          Einige Hersteller von Antivirensoftware bieten kostenlos Entfernungswerkzeuge an:
        • McAfee: Stinger

      Generelle Empfehlung (Wh)

      • Führen Sie keinerlei Attachments aus, die Sie per E-Mail erhalten1) haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
      • Kein ernstzunehmender Hersteller von System- oder Antivirussoftware verschickt Werkzeuge zur Entfernung irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine gefälschte Nachricht handelt.
      • Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.
      1) Dies gilt insbesondere für Nachrichten mit Attachments, die unerwartet eintreffen und nicht einer plausiblen Kommunikationsbeziehung, z.B. im Rahmen eines Projektes, bei dem Dokumente ausgetauscht werden, zuzuordnen sind. Allerdings ist auch hier Sorgfalt geboten, einige Würmer produzieren Nachrichten, die den Anschein erwecken sollen, zu einer solchen Beziehung zu gehören.

      Credits

      • Wir danken Christoph Fischer (BFK edv-consulting GmbH) für Anregungen.

      Weitere Information zu diesem Thema

      (og)

      Hinweis
      Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

      Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

      Vorherige Meldung Weitere Meldungen... Nächste Meldung

      Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.