computerwoche.de

Web

Wurm Sasser geistert durchs Netz

03.05.2004

Seit Ende der vergangenen Woche breitet sich der Internet-Wurm "Sasser" rasant aus. Mittlerweile sind die Varianten A bis C im Umlauf. Im Gegensatz zu Schädlingen wie "Sober" und "Netsky" ist Sasser nicht auf das Ausführen von E-Mail-Anhängen angewiesen. Vielmehr nutzt er eine Sicherheitslücke im Windows-Dienst "LSASS" aus, vor der Microsoft Ende April warnte (Computerwoche.de berichtete).

Betroffen sind die Windows-Varianten 2000, XP und Server 2003, bei denen der Dienst standardmäßig aktiviert ist. Sasser verursacht den Experten von Trend Micro zufolge zunächst einen Speicherüberlauf, der es einer Schadroutine ermöglicht, den Port 9996 auf eingehende Verbindungen zu überwachen. Dadurch sei es möglich, eine Command Shell zu öffnen über die der Wurm via FTP auf das betroffene System kopiert wird.

Im Windows-Verzeichnis infizierter Rechner findet sich je nach Sasser-Version die Datei "avserve.exe" oder "avserve2.exe", die in der Registrierdatenbank unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" eingetragen wird, so dass der Wurm beim Starten von Windows automatisch aktiviert wird.

Via FTP verbreitet sich die Schadroutine von befallenen Rechnern über den Port 5554 weiter, heißt es bei Symantec. Sasser versuche zudem, über den Port 445 an zufällig generierte IP-Adressen zu gelangen. Microsoft geht davon aus, dass auch über den Port 139 Verbindungen zu anderen Rechnern aufgebaut werden.

Experten wie Marc Maiffret, Chief Hacking Officer bei eEye Digital Security, zeigen sich verwundert über die schnelle Verbreitung des Wurms. Er sei amateurhaft programmiert, so dass "der Code kaum funktioniert". Laut Alfred Huger, Senior Director des Symantec Security Response Center, hätte Sasser weit schlimmere Folgen, wenn der Code besser wäre. Das sei jedoch für kommende Wurm-Varianten nicht auszuschließen.

Die Experten empfehlen deshalb, die entsprechenden Patches von Microsoft einzuspielen und die Konfiguration der Firewall zu überprüfen. Tools, die infizierte Systeme von Sasser befreien sollen, bieten unter anderem Symantec, Network Associates und Trend Micro. (lex)