Achtung Wichtig Wurm Sasser.A

    Achtung:


    Seit heute Nacht (01.05.04) ist ein neuer Wurm im Umlauf, der wie seinerzeit "Blaster" eine bestehende Sicherheitslücke zur Verbreitung ausnutzt!


    Name: Wurm Sasser.A


    Infektion und Verbreitung:


    Der Wurm nutzt eine Schwachstelle im LSASS Dienst (Local Security Authority Subsystem Service). Über einen Buffer Overflow ist es möglich beliebigen Code auszuführen. Eine Infektion des Systems endet im Beenden des Dienstes und einem Herunterfahren des Systems. Der Wurm erstellt ein ftp-Script und startet einen ftp-Server auf der Remote-Maschine (Port 5554). Der Wurm startet ftp.exe auf dem Zielsystem und lädt mit Hilfe des ftp-Scripts die Wurm-.exe herunter und speichert diese als "xxxx_up.exe" (xxxx = vierstellige Zufallszahl) im Windowsverzeichnis. Der Wurm kopiert sich als avserve.exe in das Windowsverzeichnis (%Windows%) und fügt folgenden Registry-Eintrag hinzu, damit er bei jedem Systemstart automatisch gestartet wird:


    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = "%Windows%\avserve.exe"


    Der Wurm öffnet einen ftp-Port (5554) und scannt IP Adressen nach verwundbaren Systemen (TCP port 445.)


    Im Security Bulletin vom 13. April 2004 werden auch noch diverse andere Sicherheitslücken angesprochen. Da der Wurm noch relativ neu ist liegen noch keine detaillierten Informationen vor. Neben den beschriebenen Symptomen sind auch noch andere "Auffälligkeiten" denkbar!


    Betroffene Systeme:


    * Microsoft Windows 2000 Service Pack 2 + 3 + 4
    * Microsoft Windows XP und Microsoft Windows XP Service Pack 1
    * Microsoft Windows XP 64-Bit Edition Service Pack 1
    * Microsoft Windows XP 64-Bit Edition Version 2003
    * Microsoft Windows Server 2003
    * Microsoft Windows Server 2003 64-Bit Edition


    Hinweise zur Entfernung:


    Eine Infektion lässt sich an einem laufenden Prozess avserve.exe (15,872 Bytes, PECompact gepackt) erkennen.


    Zur Entfernung den Prozess über den Taskmanager beenden, die Registry bereinigen und die Datei löschen. Weiter Infos siehe Links zu den Herstellern von AV-Software. Das Herunterfahren sollte auf XP / 2k3 Systemen per Start -> Ausführen -> shutdown -a abgebrochen werden können!


    Wichtig:


    Auf allen potentiell betroffenen Systemen sollten unbedingt asap die nötigen Patches installiert werden!


    microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-011.htm


    Windows-Update durchführen um auch andere potentielle Lücken zu schliessen:


    v4.windowsupdate.microsoft.com/de/default.asp


    Weitere Infos:


    www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
    securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html

    In Bezug auf meinen gestrigen Beitrag :


    http://www.pc-special.net/?ida…61d9dd98206f12d3111cd8675


    folgende Ergänzung.


    Sasser.A nutzt eine Sicherheitslkücke im MS-Betriebssystem ! Er kann also ohne Zutun des Anwenders auf den Rechner gelangen und dort aktiv werden ! Danach scannt er über die Rechnerports (TCP 445 / TCP 9996 ) nach weiteren Rechnern mit der Sicherheitslücke.Der Wurm selber dringt über den FTP-Port 5554 von bereits infizierten Systemen ein.


    Wie gestern angekündigt haben die Hersteller von Antivirensoftware reagiert. Das wichtigste ist der aktuelle Patch von Microsoft der die Sicherheitslücke schließt. Zum Cleanen des Systems empfehle ich als unkompliziertestes Mittel Stinger von McAffee.


    Beide Programme sind sehr schnell unter http://www.pits-security.de/welcome1.html


    herunterzuladen.


    Mit freundlichen Grüßen