Sasser-Wurm legt Unternehmen lahm

 


 


In seinem Security Bulletin MS04-011 vom 13.04.2004 beschrieb Microsoft mehrere Sicherheitsschwachstellen und die dazugehörigen Sicherheitsupdates. Für die Ausnutzung der Schwachstellen ist, wie auch schon beim Blaster-Wurm, keine E-Mail notwendig. Bereits 10 Tage später warnte das Unternehmen bereits vor ersten Exploits, die auf diesen Schwachstellen aufsetzen und sich noch nicht aktualisierte Rechner als Ziel suchen.



Ein Schutz vor diesen Attacken ist recht einfach. Zum einen sollte auf einem PC immer eine Firewall aktiviert sein (die in Windows XP integrierte reicht hierfür völlig aus, eine komfortablere Lösung wären etwa die Kaspersky Hacker Tools im Doppelpack mit einem WCM-Abo), zum anderen sollten auch alle aktuellen Sicherheitsupdates eingespielt werden. Eine Antivirus-Software kann bei dieser Form von Attacken zumeist nur in im Nachhinein helfen.



Sind Infektionen mit dem Sasser-Wurm auf Privat-PC noch irgendwie nachvollziehbar - „der Computer soll funktionieren, mich interessiert das alles nicht” - so kommt man bei den Meldungen über infizierte Firmen-Netzwerke doch ins Grübeln. Nach den letzten Wurm-Angriffen hätte es doch jedem Unternehmen klar sein müssen, dass entsprechende Maßnahmen gesetzt werden müssen. Aber anscheinend wird nur etwas unternommen, wenn der Schaden bereits aufgetreten ist.



Laut Sophos ist W32/Sasser-A ist ein Netzwerkwurm, der sich verbreitet, indem er die Microsoft LSASS Schwachstelle ausnutzt. Der Wurm kopiert sich mit dem Dateinamen avserve.exe in den Windows-Ordner und erstellt den folgenden Registrierungsschlüssel, damit er bei der Benutzeranmeldung automatisch startet:


HKLM\Software\MicrosoftWindows\CurrentVersion\Run\a\vserve = avserve.exe


W32/Sasser-A versucht, sich an Port TCP/9996 und TCP/445 zu verbinden und die LSASS-Schwachstelle auszunutzen. Daraufhin wird ein FTP-Skript heruntergeladen und ausgeführt, das sich wiederum mit Port 5554 verbindet, um eine Kopie des Wurms via FTP herunterzuladen.



Auch W32/Sasser-B ist ein Netzwerkwurm, der sich verbreitet, indem er die Microsoft LSASS Schwachstelle an Port 445 ausnutzt. Wenn er erstmals ausgeführt wird, kopiert sich W32/Sasser-B laut Sphos als avserve2.exe in den Windows-Ordner und erstellt den folgenden Registrierungseintrag, damit avserve2.exe automatisch beim Start von Windows aktiviert wird:


HKLM\Software\MicrosoftWindows\CurrentVersion\Run
avserve2.exe = %WINDOWS%avserve2.exe



Im C:\ Stammordner wird eine harmlose Textdatei namens win2.log erzeugt.



Die Antivirushersteller haben ihre Siganturen bereits aktualisiert, um die Schädlinge auf den PCs zu erkennen und zu entfernen. Wirkliche Sicherheit bieten aber nur eine Firewall sowie ein Einspielen der Patches von Microsoft.



Bugs & Exploits bei Microsoft

Microsoft Security Bulletin MS04-011: Sicherheitsupdate für Microsoft Windows (835732)




Glossar

Exploit:
Ein Exploit (englisch to exploit - ausnutzen) ist ein Computerprogramm, welches spezifische Schwächen beziehungsweise Fehlfunktionen eines anderen Computerprogrammes ausnutzt (z. B. bei DoS-Attacken). Dies erfolgt in der Regel mit destruktiver Absicht.
Ein Exploit wird oft auch zur Demonstration einer Sicherheitslücke geschrieben und veröffentlicht. Dadurch soll erreicht werden, dass Hersteller von Software gezwungen werden möglichst schnell auf bekannt gewordene Sicherheitslücken zu reagieren.

Wurm:
Ein Computerwurm ist eine selbständige Programmroutine, die sich selbst reproduziert, indem sie über ein Computernetzwerk an Computerprogrammen oder Betriebssystemen anderer Computern Manipulationen vornimmt.
Ein Wurm kann eine spezielle Schadensroutine enthalten, muss aber nicht. Da ein Wurmprogramm auf befallenen Systemen Ressourcen zur Weiterverbreitung bindet, können selbst Würmer ohne spezielle Schadensroutinen gewaltige wirtschaftliche Schäden erzeugen.

Virus:
In der Fachsprache ist ein Computervirus eine nicht selbständige Programmroutine, die sich selbst reproduziert, indem sie sich an andere Computerprogramme oder Bereiche des Betriebssystems anhängt und, einmal gestartet, vom Anwender nicht kontrollierbare Manipulationen an selbigen vornimmt.
Aus Wikipedia, der freien Enzyklopädie

Martin Leyrer

Die Meldung finden Sie im Original unter http://www.wcm.at/story.php?id=6468

Tagged as: , | Author:
[Montag, 20040503, 09:00 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, eu, EU, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, it, IT, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, Linux, linux, linuxwochen, linuxwochenende, live, living, lol, london, lost+found, lotus, Lotus, lotus notes, Lotus Notes, lotusnotes, LotusNotes, Lotusphere, lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, surveillance, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, videoüberwachung, vienna, Vim, vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, Web20, web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist