W32/Sasser

Der neue Wurm wurde am 1. Mai 2004 entdeckt und hat sich bereits auf viele ungepatchte Systeme verbreitet. Davon bekommt der Benutzer des Systems nichts mit, ausser einer allfälligen Fehlermeldung, die besagt, dass der Computer innert 60 Sekunden heruntergefahren wird. Nach Ablauf des Countdowns startet der Computer automatisch neu.

Dies mag an Blaster [1] erinnern. Allerdings wird bei Sasser nicht die RPC-Sicherheitslücke missbraucht, sondern ein Windows-Dienst namens "Local Security Authority Subsystem Service" (LSASS, lsass.exe). Ist auf einem PC mit Win2000/XP das notwendige Update nicht installiert, kopiert sich der Sasser-Wurm unter dem Dateinamen avserve.exe in den Windows-Ordner.

Die eingepflanzte Datei trägt der Wurm in diesen Registry-Zweig ein, sodass er bei jedem Windows-Start gleich wieder mitgeladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Der Eintrag lautet: "avserve.exe" = C:\WINDOWS\avserve.exe

Nachdem er sich somit installiert hat, durchsucht der Wurm zufällig gewählte IP-Adressen nach einem möglichen Einfalls-Tor. Hierbei prüft er, ob er unter dem TCP-Port 445 eindringen kann. Hat er einen anfälligen PC gefunden, öffnet er auf diesem den TCP-Port 9996 und weist ihn an, vom TCP-Port 5554 des angreifenden PCs die Schädlings-Datei herunterzuladen. Die Übertragung des Wurms auf andere infizierte Rechner protokolliert der Schädling in einer Datei namens C:\win.log.

Der Wurm erstellt im Windows-System-Ordner (C:\Windows\System32 oder C:\Winnt\System32) noch zusätzliche Kopien von sich selber, nach dem Muster #####_up.exe (wobei ##### eine fünfstellige Zahl ist). Beispielsweise:

C:\WINDOWS\system32\11583_up.exe

C:\WINDOWS\system32\16913_up.exe

C:\WINDOWS\system32\29739_up.exe

Prävention:

Benutzer einer Hardware- oder Desktop-Firewall werden sich den Wurm kaum zuziehen. Auch ein Einschalten der Internetverbindungs-Firewall von Windows XP sollte die Angriffe fernhalten. Trotzdem sollten alle PC-Benutzer die Windows-Update-Seite aufsuchen (im Internet Explorer im Menü "Extras") und alle Patches installieren, die nach einem Klick auf "Updates suchen" unter "Wichtige Updates" erscheinen. Informationen über die Sicherheitslücke finden Sie im Microsoft Security Bulletin MS04-011 [2].

Microsoft hat zudem eine Informations-Seite aufgeschaltet [3], die weitere Informationen und Links zum Sasser-Wurm und zur betroffenen Sicherheitslücke enthält.

Beseitigung:

Wenn Sie sich den W32/Sasser-Wurm eingefangen haben, müssen Sie zuerst das Update installieren (siehe MS Bulletin MS04-011), bevor Sie den Wurm entfernen; sonst steckt sich der PC sofort wieder an. Danach können Sie den Wurm mit einem Beseitigungs-Tool entfernen. Einige Antivirus-Hersteller, wie z.B. F-Secure [4] und McAfee [5] haben ein solches zum kostenlosen Download bereit gestellt.

Variante W32/Sasser.B:

Obiges gilt weitgehend auch für eine zweite Variante des Sasser-Wurms. Siehe z.B. die Informationen von F-Secure [6]. Die von Sasser.B abgelegte Datei heisst nicht AVSERVE.EXE, sondern AVSERVE2.EXE. Das Beseitigungs-Tool von F-Secure funktioniert aber auch mit der zweiten Sasser-Variante.