02.05.2004

WIE BLASTER

Wurm "Sasser" setzt sich Windows fest

Der neue Wurm "Sasser" hat laut Anti-Viren-Firmen gestern bereits "weltweit" Rechner mit den Betriebssystemen Windows 2000, Windows XP sowie Windows Server 2003 infiziert, deren Zahl schon "in die Millionen" gehen könnte.

Sasser verbreitet sich ähnlich wie "Blaster" nicht über E-Mails, sondern nützt eine bekannte Sicherheitslücke aus, um nach dem Zufallsprinzip ohne Zutun des jeweiligen Nutzers neue Rechner zu befallen.

Der Wurm "MSBlaster" machte sich ebenfalls eine bekannte Sicherheitslücke im Betriebssystem Windows zu Nutze und verbreitete sich im letzten August rasant rund um den Erdball.

Danach sprach Microsoft davon, dass Blaster "einem Denkprozess" im Konzern ausgelöst habe und vor allem der Kontakt mit den privaten PC-Nutzern "intensiviert werden müsse".

"MSBlaster" wurmt Microsoft

Lücke seit dem 13. April bekannt

Die Lücke, die Sasser jetzt zur Verbreitung ausnutzt, ist seit dem 13. April offiziell bekannt und "gestopft":

An diesem Tag veröffentlichte Microsoft das Security Bulletin MS04-011, in dem vor insgesamt 14 Lücken gewarnt und das entsprechende Patch angeboten wurde.

Die Warnung wurde zudem von Microsoft am 28. April aktualisiert, weil der erste bösartige Code ["Exploit"] aufgetaucht war, mittels dessen ein Angreifer versuchen kann, eine der Sicherheitslücken auszunutzen.

Zusammen mit dem Security Bulletin MS04-011 wurden noch zwei weitere Warnungen veröffentlicht:

Microsoft warnt vor 20 Sicherheitslücken
Böser Code für Windows-Löcher

Bereits zwei Varianten

Sasser nutzt konkret einen Fehler im "Local Security Authority Subsystem Service" [LSASS] aus, der es ermöglicht, beliebigen Code in auf die nicht gepatchten Rechner mit den betroffenen Windows-Varianten einzuschleusen.

Wenn Sasser einen Rechner befallen hat, generiert er zufällige IP-Adressen und versucht in die zugehörigen System einzudringen. Gelingt dies, wird zunächst ein Code installiert, der den eigentlichen Wurm von infizierten Rechnern mittels des eigenen FTP-Servers herunter lädt.

Eine Schadenroutine im engeren Sinn bringt Sasser zwar nicht mit, allerdings kann der Wurm den LSA-Dienst durch einen Speicherüberlauf abstürzen lassen, was zu einem Neustart des Systems in der nächsten Minute führt - wenn der Nutzer nicht eingreift, kann der Rechner damit in eine Reboot-Schleife verfallen.

Inzwischen wird Sasser schon in den Varianten A und B gemeldet.

McAfee zu Sasser
Symantec zu Sasser

Potential

Sasser habe weltweit möglicherweise bereits Millionen von Rechnern infiziert, meint Mikko Hyppoenen von F-Secure. "Es genügt, dass ein PC angeschaltet ist." Der Wurm sei allerdings aus technischer Sicht harmlos.

Hyppoenen zufolge wisse man noch nicht, wer die jüngste Wurm-Attacke verursachte. Möglicherweise seien es aber "Amateure" oder jugendliche Hacker gewesen, die "ihre Fähigkeiten zeigen und angeben wollten".

Hinter dem Wurm stünden vermutlich keine kriminellen Absichten und er öffne keine Hintertüren in den betroffenen Betriebssystemen. Sasser könne jedoch möglicherweise noch mehr Computer infizieren als der millionenfach verbreitete Wurm Blaster im August vergangenen Jahres.

F-Secure zu Sasser