Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1196

[MS/Windows] Sasser-Wurm-Varianten kommen in rascher Folge
(2004-05-03 15:38:10.634801+00)

Quelle: http://vil.nai.com/vil/content/v_125012.htm

Der Wurm Sasser verbreitet sich seit dem Wochenende massiv in verschiedenen Versionen, war allerdings schon vorher aktiv. Mittlerweile ist bereits die 'D'-Variante in Umlauf, was z.T. zu Schwierigkeiten bei seiner Erkennung durch Virenscanner führt. Das Entfernungswerkzeug Stinger erkennt diese letzte Variante derzeit ebenfalls nicht. Der Wurm verbreitet sich nicht über E-Mail-Nachrichten sondern scanned auf Port 445/TCP nach Systemen, die gegen die in der RUS-CERT-Meldung#1191 beschriebenen LSASS-Schwachstelle verwundbar sind. Über diese Schwachstelle kompromittiert er neue Systeme und kopiert den Wurmcode mittels eines FTP-Servers, der auf dem angreifenden System zu diesem Zweck vom Wurm installiert wurde, auf das neue System. Der FTP-Server lauscht auf infizierten Systemen auf Port 5554. Daneben installiert der Wurm eine Hintertür, offenbar auf verschiedenen Ports (u.a. 9996). Infizierte Systeme können spontan rebooten. Fehlgeschlagene Infektionsversuche können ebenfalls zum Systemneustart führen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Auswirkung