Diesmal kein Bagle-Wurm, aber ein nicht weniger gefährlicher Kumpane: W32.Sasser.Worm ist ein klassischer Internetwurm, der eine Sicherheitslücke in den Betriebssystemen Windows XP, 2000 und 2003 ausnutzt. Ältere Betriebssysteme sind nicht betroffen. Im "Local Security Authority Subsystem Service (LSASS)" wird über einen Pufferüberlauf ein Programmcode ausgeführt, um die Kontrolle über die Computer zu gelangen. Die Schwachstelle ist seit dem 14. April bekannt und kann durch das Sicherheitsupdate KB835732 geschlossen werden (
Windows 2000,
Windows XP). Diesmal verbreitet sich der Wurm
nicht über Emailnachrichten, Sasser benötigt
keine Aktion des Anwenders! Aus diesem Grund ist die Verbreitung auch bereits als hoch eingestuft worden, die Sicherheitsbedenken sind mittel. Sasser verwendet unterschiedliche Methoden, um den PC zu infizieren. In der Regel kommt es zu einer Fehlermeldung.
[img]images/news/xpfehler.gif[/img] Sasser läd bei erfolgreichem Angriff per FTP eine Datei in das Verzeichnis :windowssystem32 und startet anschließend 128 Angriffe auf benachbarte Computer oder das Internet. Meistens nennt sich die Datei avserve.exe und ist 15.872 Bytes groß. Mit dem Registrierungs-Schlüssel
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"avserve.exe"="%windir%avserve.exe" wird Sasser beim Rechnerstart aktiviert. Eine weitere Version des Wurms kann sich unter c:windowssystem32?????_up.exe befinden.
Zunächst muß die Sicherheitslücke im Rechner geschlossen werden. Anschließend ist der Computer im abgesicherten Modus bei ausgeschalteter Systemwiederherstellung zu säubern. Tools, die den Virus bereits erkennen, sind unter anderem das
McAfee Stinger-Tool.