Würmer : Wurm "Sasser" nutzt Windows-Sicherheitslü

Fragen und Empfehlungen: Software, Tools, Treiber. Hier seit ihr richtig!

Würmer : Wurm "Sasser" nutzt Windows-Sicherheitslü

UNREAD_POSTvon Kobolds|Eraser am 02 Mai 2004, 19:15:51

[align=center]Wurm "Blaster" lässt grüßen ......


Nachdem Microsoft im April zahlreiche Sicherheitslücken gestopft hat, war es abzusehen das ein Wurm auftauchen wird, der genau diese Lücken ausnutzt. In diesem Fall wird die Sicherheitslücke im Local Security Authority Subsystem Service (LSASS) vom Wurm "Sasser" ausgenutzt.

Einmal ausgeführt, generiert der Wurm zufällige IP-Adressen und nimmt mit diesen Kontakt auf. Findet er hinter dieser IP einen Rechner ohne aktuelle Sicherheitspatches, nutzt er einen Exploit um sich einzuschleusen und läd anschließend über Port 5554 den eigentlichen Code nach. Danach beginnt das Spiel wieder von vorn.

Betroffen sind die Betriebssysteme Windows 2000 und XP. Wie damals beim Blaster-Wurm kann es auch bei Sasser vorkommen, dass der LSA-Dienst abstürzt und deshalb ein Dialog eingeblendet wird, der darüber informiert, dass Windows in 60 Sekunden heruntergefahren wird.

Um sich zu schützen reicht es in diesem Fall aus, den Patch aus dem Security Bulletin MS04-011 zu installieren. http://www.microsoft.com/germany/ms/tec ... 04-011.htm


Edit:

Microsoft hat ein Tool zur Verfügung gestellt, mit dem sich der neue Wurm Sasser einfach entfernen lässt. Natürlich ist dieses Programm nutzlos, wenn der Patch aus dem Security Bulletin MS04-011 nicht installiert wurde.

Sasser.A und Sasser.B Worm Removal-Tool:

http://www.microsoft.com/downloads/deta ... layLang=en

Edit 2:

W32.Sasser: Neue Variante und erste Opfer

Anfangs verbreitete sich der neue Wurm W32.Sasser recht zaghaft im Internet. Inzwischen kann sich kaum ein Rechner der Infektion entziehen, wenn der Patch aus dem Security Bulletin MS04-011 nicht installiert ist oder keine Firewall verwendet wird.

Nach Sasser.A und Sasser.B ist jetzt eine weitere Variante aufgetaucht. Sasser.D versendet bis zu 30 Pings pro Sekunde um andere ungepatchte Systeme zu finden. Weiterhin werden Multicast-Scans genutzt um andere Rechner zu finden. Dies führt in Einzelfällen dazu, dass Router den Dienst aufgeben, da die Last sehr hoch ist.

Erstes indirektes Opfer des Wurms wurde die Postbank. Dadurch, dass man sich vor dem Wurm durch härtere Firewall-Einstellungen schützen wollte, wurde nicht nur der Wurm sondern auch die Rechner in den Postfilialen blockiert.

Quelle: Winfuture.de [/align]
BildBild
Benutzeravatar
Kobolds|Eraser
Super Moderator
Super Moderator


Beiträge: 1298
Registriert: 03 Mär 2004, 21:13:48
Wohnort: im wunderschönen Bayern!

Zurück zu Software Forum

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste

Powered by phpBB | Design thanks to 65th-Setish - © 2001-2016 | 15 years Kobolde & friends