Sasser-Wurm treibt sein Unwesen

Schlechte Codequalität verhindert bislang größere Ausbreitung

Forscher des Sicherheitsspezialisten Eeye haben am Samstag einen neuen Wurm entdeckt. Der als „Sasser“ bezeichnete Schädling verbreitet sich ähnlich wie MS Blaster ohne Zutun des Anwenders und nutzt dabei eine Sicherheitslücke im „Local Security Authority Subsystem Service“ (LSASS) von Windows 2000 oder XP.

Sasser sei am Freitagabend erstmals aufgetreten und habe sich bislang nur sehr langsam verbreitet. Den Spezialisten von Eeye zufolge sei dafür die relativ schlechte Codequalität verantwortlich. „Sasser könnte zwar noch einige Auswirkungen haben, aber er muss von jemandem geschrieben worden sein, der den Code gerade so zum Laufen bekommen hat.“

Der Schädling durchsucht ans Internet angeschlossene Rechner nach der Sicherheitslücke, stellt im Erfolgsfall eine Remote-Verbindung her und installiert einen FTP-Server, über den er sich dann weiter verbreitet.

Symantec hat bisher rund 100 Meldungen von infizierten Systemen erhalten, davon 20 von Unternehmen. Network Associates liegen Informationen von 50 Unternehmen vor, manche davon berichten von hunderten infizierter Systeme. Im Vergleich zu MS Blaster, der im vergangenen Jahr für mehr als zehn Millionen infizierte Rechner verantwortlich war, ist die Ausbreitung von Sasser bislang gering.

Noch ist die Gefahr aber nicht gebannt. „Wenn die Leute am Montag ihre infizierten Notebooks mit zur Arbeit nehmen, könnte sich Sasser schneller ausbreiten“, so ein Eeye-Mitarbeiter. Johannes Ullrich vom Internet Storm Center berichtet, dass die Geschwindigkeit der Ausbreitung schon jetzt ständig zunehme. „Er breitet sich aus wie die anderen Würmer. Er bevorzugt lokale Netzwerke und breitet sich teilweise gezielt und teilweise zufällig aus“, so Ullrich.

Microsoft hat bereits am 13. April ein Update für die fehlerhafte Komponente zur Verfügung gestellt. Diese kann entweder über Windows Update oder über Microsofts Website heruntergeladen werden. Ungepatchte Systeme können durch den Einsatz einer Firewall entsprechend geschützt werden.

Update: Microsoft bringt Removal Tool für Sasser-Würmer

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

13 Kommentare zu Sasser-Wurm treibt sein Unwesen

Kommentar hinzufügen
  • Am 3. Mai 2004 um 10:34 von Peter Jung Suma AG Schweiz

    Es ist nicht zu fassen
    Kein Mensch kann verstehen, was diese Leute mit diesen Würmern erreichen möchten.

    • Am 3. Mai 2004 um 14:57 von Karlauer

      AW: Es ist nicht zu fassen
      Dazu kann ich nur sagen wer bischen betriebswirtschaftlich denken kann weiss sehr wohl was damit verfolgt wird…

      Antivirenspezialisten kanns nur geben wenns genügend Viren gibt, na geht ein Licht auf ???

      Mir schon…

      ABer mir auch egal hab ne gute Firewall die so oder so alle PortScans abblockt darüber kann man doch nur Lachen als Systemadministrator und Notebooks die einfach ans Netzwerk angeschlossen werden sind ein sofortiger Kündigungsgrund… hat halt alles bischen mit Management zu tun…

      Also dann auf zum fröhlichen Patchen…

    • Am 3. Mai 2004 um 20:57 von Lumaja

      AW: Es ist nicht zu fassen
      Ein grosser Teil dieser Programmierer versucht nur Lücken im Betriebssystem aufzudecken, nur ein kleiner Teil dieser Leute will Schaden anrichten.
      Die guten zeigen nur die Fehler auf aber die bösen, die richten leider den Schaden an. Wahrscheinlich aus purem Frust oder weil sie sich profilieren wollen.

    • Am 4. Mai 2004 um 10:22 von ???

      AW: AW: Es ist nicht zu fassen
      Wenn die Firmennotebooks, so konfiguriert sind, dass ein einfaches einstecken in eine Netzwerkdose, diese zu vollwertigen Netzrechnern macht, und zudem Datenabgleich betrieben werden muß, wird trotz evtl. anders lautender Dienstanweisung, ein Betrieb dieser Notebooks am Netz keiner Kündigungsklage standhalten. Wenn deine Firma, das Anschliessen von Notebooks ans Firmennetzwerk mit Kündigungen sanktionieren möchte, dann darf sie auch keine Netzconnectivity für die Notebooks anbieten. Ein Sysad, der das dann trotzdem tut, verletzt VORSÄTZLICH seine Sorgfaltspflicht, was eine außerordentliche Kündigung nach sich ziehen kann. Im Übrigen hat nicht Nachdenken aber mit Kündigung drohen, absolut nichts mit Management zu tun.

    • Am 4. Mai 2004 um 20:15 von aKupke

      AW: AW: AW: Es ist nicht zu fassen
      Womit bei so konsequenter Abschottung der Notebooks vom Netz selbige in vielen Firmen witzlos werden, weil nahezu alle die Rechner einsetzen doch heute auf einen Netzwerkzugang angewiesen sind um Software und Server der Firma nutzen und somit im Sinne der Aufgaben arbeiten zu können.

      Da sollte man sinvoller bei den ganzen Patches, Updates und anderen sicherheitssystemen wie Firewalls ansetzen und zusätzlich Notebooks eventuell in ein eigenes Subnetz verbannen.

  • Am 3. Mai 2004 um 16:51 von Roger Jost

    Was macht man nach einer Sasser Infektion ?
    Kann es wirklich so einfach sein? Bei mir läuft Internet nicht mehr und Windows ist instabil und erkennt Befehle zum Teil nicht mehr…….
    Aktiviere die interne Firewall von XP – download das neuste Update von Microsoft – entferne den Virus mittels Norton z.B.
    Oder muss ich man noch mehr machen, damit die Kiste wieder sauber läuft?

    • Am 3. Mai 2004 um 22:53 von O-Brian

      AW: Was macht man nach einer Sasser Infektion ?
      Plattmachen, format C: und System neu draufbügeln.. Leider sind dann auch die Daten wech, da es unter Windows XP auch kaum möglichkeiten gibt auf die Festplatte mit einer NTFS5 zuzugreifen wenn man nur einen PC hat.

      Oder gleich Plattmachen und auf Linux umsteigen. Dann hat es endlich ein Ende mit den blöden Viren.

      Gruß O-Brian

    • Am 3. Mai 2004 um 22:56 von wolfgang weinrich

      AW: Was macht man nach einer Sasser Infektion ?
      zuerst die Systemwiederherstellung abschalten und dann mit dem aktuellen "stinger" das Laufwerk, meist C scannen. C:/Windows reicht vielleicht auch. Und dann patchen, Microsoft bietet ja so einiges an. Über Microsoft meckern nützt nichts, nur aktuell updaten hilft. Ach ja, und schnell sollte man bei Sasser sein, damit man die Systemsteuerung aufrufen kann bevor das System schon wieder heruntergefahren wurde… Good luck!

    • Am 3. Mai 2004 um 23:05 von O-Brian

      AW: Was macht man nach einer Sasser Infektion ?
      Mir fällt noch etwas dazu ein, wenn Du das System reparieren möchtest und der Reechner gerade herunterfahren will muss man etwas schnell sein und cmd aufrufen bei Ausführen im Startmenü und shutdown -a eingeben. Damit werden versuche den Rechner herunterzufahren unterbunden (bei XP)
      Danach hat man dann etwas mehr zeit das System zu untersuchen oder zu reparieren.

      Gruß O-Brian

  • Am 3. Mai 2004 um 22:58 von O-Brian

    Noch mehr Viren für Windows
    Nicht nur dass ich 10 mal täglich den Nesky*@mm geschickt bekomme nun treiben sich auch noch andere und noch üblere Viren rum bei mir ist schluss mit Lustig. (Jetzt ist Linux angesagt)
    Nie wieder Angst eine Mail aufzumachen dass einem gleich die Kiste um die Ohren fliegt, Nie wieder Stress mit ONLINE oder "LIVE-UPDATES" Viele Programme Lizenzfrei und keinen Mist mit irgendwelchen Produktschlüseln oder Online-Registrierung !!!

    Ich verstehe die Leute nicht. Alles jammert rum, Virus hier, Wurm da.. Ihr solltet mal über alternative Betriebssysteme nachdenken. Leider ist die Auswahl nicht sehr gross. Linux, Be-Os oder Apple OS…. Also mich hat Linux inzwischen überzeugt.
    Leider breiten sich Schädlinge in Monokulturen immer stark und schnell aus. Das ist in der Natur so und warum sollte es in der Computerwelt anders sein ?
    Ich habe keine Probleme mit irgendwelchen "Gewürm" oder sonstigen Viren.
    Lange lebe Linux, M$ sucks…

    • Am 4. Mai 2004 um 20:09 von aKupke

      AW: Noch mehr Viren für Windows
      Schön gedacht und eine Idee über die viele, nicht nur Privatleute wirklich mal ernsthaft nachdenken sollten.
      Ich finde es ausserdem einen witz, dass ich einen neuen Rechner ab ca 300 EUR oder weniger bekomme, aber allein für Windows schon mehr als die Hälfte dieses Preises investieren muss, ohne dann auch nur ein zusätzliches Programm zu haben (Es lebe OpenOffice).

      Man darf aber auch nicht vergessen, das mit sehr hoher warscheinlichkeit auch die Menge der Viren für Linux Systeme zunehmen wird, sobald Linux sich weiter verbreitet (wovon ich ausgehe).

    • Am 4. Mai 2004 um 20:50 von Olli P aus L

      AW: AW: Noch mehr Viren für Windows
      Meine ersten Gehversuche mit Linux beschränken sich auf Installation und ein wenig "rumprobieren". Ja, ich muss sagen "es gefällt mir sehr gut", nur ist es für mich als Windoof User halt schon etwas ungewohnt… dass würde sich natürlich mit dem täglichen Umgang ändern, ich weiß…
      Ich bin aber leidenschaftlicher Online-Spieler und da gibt es die bevorzugten Spiele nicht für Linux… und von Xwin oder wie auch immer die Emulationen heißen mögen hab ich keinen Schimmer oder es fehlt das nötige Kleingeld, denn da hat OpenOffice nämlich sein Ende gefunden ….

  • Am 4. Mai 2004 um 11:24 von Roger Jost

    Was macht man nach einer Sasser Infektion ?
    Also ich habe folgendes gestern während 5 Stunden gemacht:
    1. Aktivierung der XP Firewall
    2. Internetverbindungen, DFü gelöscht und komplett neu eingegeben. Login, Passwort etc.
    3. Shutdown gemacht und einen Restart
    4. Dann sofort ins Internet auf die Microsoft Sasser Homepage.
    5. Den Sasser Check gemacht und versucht zu removen. (Hat vielleicht nicht geklappt)
    6. Norton Antivirus hat im Anschluss 23 Files isoliert und in Quarantäne gelegt)
    7. System läuft wieder.
    Aber anyway besten Dank für Eure guten Ratschläge.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *