Zitat: |
Man musste kein Prophet sein, um nach den letzten Veröffentlichungen von Security Advisories zu Sicherheitslücken in Windows einen Wurm vorauszusagen, der genau über diese Lücken in Systeme eindringt. Solch ein Wurm ist nun aufgetaucht. Der Schädling, den die Hersteller von Antivirensoftware Sasser nennen, nutzt einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Bedroht sind nicht gepatchte Windows-2000 und XP-Systeme. |
Zitat: |
Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er Code, der den eigentliche Wurm von bereits infizierten Systemen nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf eingehende Verbindungen lauschen. Sasser verursacht zudem – wie seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt. Abhilfe schafft ein "shutdown -a" in der Windows-Eingabeaufforderung vor Ablauf dieser Zeitspanne. Eine echte Schadroutine hat Sasser nicht, auch scheint die Verbreitung des Schädlings noch recht gering zu sein. Anwender sollten aber dennoch den Patch von Microsoft einspielen. |
Zitat: |
Dringende Warnung von Microsoft: Im Internet verbreitet sich der Wurm "Sasser", der Computer zum Absturz bringen kann - nicht gespeicherte Daten gehen unweigerlich verloren, die Arbeit am PC wird zum Glücksspiel. Betroffen sind alle Nutzer der Betriebsysteme Windows XP und 2000. Sicherheitsexperten befürchten, dass der neue Schädling in kürzester Zeit mehr Systeme infizieren könnte als "Blaster" im Sommer vergangenen Jahres - der Grund: Bereits das Einschalten eines ungeschützten PCs kann zu einer Infektion mit Sasser führen ! Der Wurm verbreitet sich nicht wie gewohnt per eMail, sondern über eine Schwachstelle in Windows und kann sich daher auch ohne Zutun der Nutzer verbreiten. |
Zitat: |
Microsoft hat das "Sasser.A and Sasser.B Worm Removal Tool" (KB841720) veröffentlicht, um eine kritische Windows-Sicherheitslücke unter Windows XP und 2000 zu schließen und den Sasser-Wurm von befallenen Systemen zu entfernen. Sasser nutzt einen Fehler im LSA-Dienst, erzeugt zufällige IP-Adressen und schleust Code in verwundbare Systeme ein.
Betroffen sind Nutzer der Betriebssysteme Windows XP und 2000. Sicherheitsexperten befürchten, dass der neue Schädling in kürzester Zeit mehr Systeme infizieren könnte als "Blaster" im Sommer vergangenen Jahres - der Grund: Bereits das Einschalten eines ungeschützten PCs kann zu einer Infektion mit Sasser führen. Der Wurm verbreitet sich nicht wie gewohnt per eMail, sondern über eine Schwachstelle in Windows und kann sich daher auch ohne Zutun der Nutzer ausbreiten. Der Download-Link führt Sie direkt auf die Hersteller-Seiten. Von dort aus können Sie den Download starten und erhalten weitere Informationen zu Sasser. |
Zitat: |
Forscher bei Sophos raten Computer-Anwendern, sich vor dem W32/Sasser-A Wurm zu schützen, der sich im Internet ausbreitet, indem er eine kritische Sicherheitslücke im Microsoft Windows-Betriebssystem ausnutzt.
Der neue Wurm nutzt die LSASS-Schwachstelle aus, von der Microsoft erstmals am 13. April im Microsoft Security Bulletin MS04-011 berichtet hat. "Der Sasser-Wurm verbreitet sich auf ähnliche Weise wie im letzten Jahr der Blaster-Wurm, da er sich im Internet ausbreitet und dabei Sicherheitslücken in Software von Microsoft ausnutzt, anstatt sich über E-Mails zu verbreiten", sagt Gernot Hacker, Director of Technology bei Sophos. "Im Moment verbreitet er sich nicht mit derselben Geschwindigkeit wie Blaster, aber Computer, die nicht ausreichend mit Antiviren-Updates, Firewalls und dem Microsoft Security-Patch geschützt sind, sind prädestiniert für eine solche Infektion." Die Sicherheitslücke, die Microsoft als "kritisch" einstuft, soll folgende Microsoft-Software betreffen: |
Zitat: |
Der Wurm kopiert sich mit dem Dateinamen avserve.exe in den Windows-Ordner und erstellt den folgenden Registrierungsschlüssel, damit er bei der Benutzeranmeldung automatisch startet:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe W32/Sasser-A versucht, sich an Port TCP/9996 und TCP/445 zu verbinden und die LSASS-Schwachstelle auszunutzen. Daraufhin wird ein FTP-Skript heruntergeladen und ausgeführt, das sich wiederum mit Port 5554 verbindet, um eine Kopie des Wurms via FTP herunterzuladen. |
Zitat: |
W32/Sasser-B ist ein Netzwerkwurm, der sich verbreitet, indem er die Microsoft LSASS Schwachstelle an Port 445 ausnutzt.
Weitere Informationen über diese Schwachstelle finden Sie im Microsoft Security Bulletin MS04-011. Wenn er erstmals ausgeführt wird, kopiert sich W32/Sasser-B als avserve2.exe in den Windows-Ordner und erstellt den folgenden Registrierungseintrag, damit avserve2.exe automatisch beim Start von Windows aktiviert wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ avserve2.exe = %WINDOWS%\avserve2.exe Im C:\ Stammordner wird eine harmlose Textdatei namens win2.log erzeugt. |
Zitat: |
Sasser.A,.B und .C versuchen zwar auch andere Systeme anzugreifen, sind aber nur bei Windows 2000 und XP erfolgreich. Die Meldung, der Computer würde nun heruntergefahren, ist ein Indiz für einen fehlgeschlagenen Versuch des Wurms in den PC einzudringen. Allerdings ist die Wahrscheinlichkeit sehr hoch, dass der PC trotzdem bereits infiziert ist. |
output generated using printer-friendly topic mod, Alle Zeiten sind GMT + 1 Stunde