MastersForum

Zitat

Achtung:

Seit heute Nacht (01.05.04) ist ein neuer Wurm im Umlauf, der wie seinerzeit "Blaster" eine bestehende Sicherheitslücke zur Verbreitung ausnutzt!

Name: Wurm Sasser.A

Infektion und Verbreitung:

Der Wurm nutzt eine Schwachstelle im LSASS Dienst (Local Security Authority Subsystem Service). Über einen Buffer Overflow ist es möglich beliebigen Code auszuführen. Eine Infektion des Systems endet im Beenden des Dienstes und einem Herunterfahren des Systems. Der Wurm kopiert sich als avserve.exe in das Windowsverzeichnis (%Windows%) und fügt folgenden Registry-Eintrag hinzu, damit er bei jedem Systemstart automatisch gestartet wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = "%Windows%\avserve.exe"

Der Wurm öffnet einen ftp-Port (5554) und scannt IP Adressen nach verwundbaren Systemen.

Im Security Bulletin vom 13. April 2004 werden auch noch diverse andere Sicherheitslücken angesprochen. Da der Wurm noch relativ neu ist liegen noch keine detaillierten Informationen vor. Neben den beschriebenen Symptomen sind auch noch andere "Auffälligkeiten" denkbar!

Betroffene Systeme (vollständige Liste gem. MS-04-011):

* Microsoft Windows NT Workstation 4.0 Service Pack 6a
* Microsoft Windows NT Server 4.0 Service Pack 6a
* Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
* Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 + Service Pack 4
* Microsoft Windows XP und Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 64-Bit Edition
* Microsoft NetMeeting
* Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME)

Hinweise zur Entfernung:

Eine Infektion lässt sich an einem laufenden Prozess avserve.exe (15,872 Bytes, PECompact gepackt) erkennen.

Zur Entfernung den Prozess über den Taskmanager beenden, die Registry bereinigen und die Datei löschen. Weiter Infos siehe Links zu den Herstellern von AV-Software. Das Herunterfahren sollte auf XP / 2k3 Systemen per Start -> Ausführen -> shutdown -a abgebrochen werden können!

Wichtig:

Alle potentiell betroffenen Systeme sollten unbedingt asap die nötigen Patches installieren!

http://microsoft.com/germany/ms/technets…tinms04-011.htm

Windows-Update durchführen um auch andere potentielle Lücken zu schliessen:

http://v4.windowsupdate.microsoft.com/de/default.asp

Weitere Infos:

http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
http://securityresponse.symantec.com/avc…asser.worm.html