Willkommen bei WCM
Um alle Funktionen dieser Website nutzen zu können müssen Sie sich Einloggen oder Registrieren. Die Registrierung ist unverbindlich und dauert nur einen Moment.
Veröffentlicht am 03.05.2004 09:00:36
Montag, halb neun, irgendwo in Österreich. EDV-technisch geht nichts mehr. Der Sasser-Wurm hat zugeschlagen und das komplette System außer Gefecht gesetzt. Nachdem am Wochenende wieder einmal zahlreiche Privat-PCs Opfer des neuesten Wurms wurden, sind jetzt die Unternehmensnetze dran. Dabei wäre ein Schutz so einfach. In seinem Security Bulletin MS04-011 vom 13.04.2004 beschrieb Microsoft mehrere Sicherheitsschwachstellen und die dazugehörigen Sicherheitsupdates. Für die Ausnutzung der Schwachstellen ist, wie auch schon beim Blaster-Wurm, keine E-Mail notwendig. Bereits 10 Tage später warnte das Unternehmen bereits vor ersten Exploits, die auf diesen Schwachstellen aufsetzen und sich noch nicht aktualisierte Rechner als Ziel suchen.
Ein Schutz vor diesen Attacken ist recht einfach. Zum einen sollte auf einem PC immer eine Firewall aktiviert sein (die in Windows XP integrierte reicht hierfür völlig aus, eine komfortablere Lösung wären etwa die Kaspersky Hacker Tools im Doppelpack mit einem WCM-Abo), zum anderen sollten auch alle aktuellen Sicherheitsupdates eingespielt werden. Eine Antivirus-Software kann bei dieser Form von Attacken zumeist nur in im Nachhinein helfen.
Sind Infektionen mit dem Sasser-Wurm auf Privat-PC noch irgendwie nachvollziehbar - „der Computer soll funktionieren, mich interessiert das alles nicht“ - so kommt man bei den Meldungen über infizierte Firmen-Netzwerke doch ins Grübeln. Nach den letzten Wurm-Angriffen hätte es doch jedem Unternehmen klar sein müssen, dass entsprechende Maßnahmen gesetzt werden müssen. Aber anscheinend wird nur etwas unternommen, wenn der Schaden bereits aufgetreten ist.
Laut Sophos ist W32/Sasser-A ist ein Netzwerkwurm, der sich verbreitet, indem er die Microsoft LSASS Schwachstelle ausnutzt. Der Wurm kopiert sich mit dem Dateinamen avserve.exe in den Windows-Ordner und erstellt den folgenden Registrierungsschlüssel, damit er bei der Benutzeranmeldung automatisch startet:
HKLM\Software\MicrosoftWindows\CurrentVersion\Run\a\vserve = avserve.exe
W32/Sasser-A versucht, sich an Port TCP/9996 und TCP/445 zu verbinden und die LSASS-Schwachstelle auszunutzen. Daraufhin wird ein FTP-Skript heruntergeladen und ausgeführt, das sich wiederum mit Port 5554 verbindet, um eine Kopie des Wurms via FTP herunterzuladen.
Auch W32/Sasser-B ist ein Netzwerkwurm, der sich verbreitet, indem er die Microsoft LSASS Schwachstelle an Port 445 ausnutzt. Wenn er erstmals ausgeführt wird, kopiert sich W32/Sasser-B laut Sphos als avserve2.exe in den Windows-Ordner und erstellt den folgenden Registrierungseintrag, damit avserve2.exe automatisch beim Start von Windows aktiviert wird:
HKLM\Software\MicrosoftWindows\CurrentVersion\Run avserve2.exe = %WINDOWS%avserve2.exe
Im C:\ Stammordner wird eine harmlose Textdatei namens win2.log erzeugt.
Die Antivirushersteller haben ihre Siganturen bereits aktualisiert, um die Schädlinge auf den PCs zu erkennen und zu entfernen. Wirkliche Sicherheit bieten aber nur eine Firewall sowie ein Einspielen der Patches von Microsoft.
Bugs & Exploits bei Microsoft
Microsoft Security Bulletin MS04-011: Sicherheitsupdate für Microsoft Windows (835732)
Exploit: |
Martin Leyrer