Name:	W32.Sasser.Worm
Alias:	W32/Sasser.worm [McAfee]
Art:	Wurm
Größe des Anhangs:	15.872 Bytes
Betriebssystem:	Windows XP, Windows 2000 nicht betroffen: Windows 98/Me/NT
Art der Verbreitung:	Ausnutzung einer Sicherheitslücke
Verbreitung:	hoch
Risiko:	mittel
Schadensfunktion:	Systemabstürze, verminderte Systemleistung
Spezielle Entfernung:	Tool
bekannt seit:	30.04.2004

Beschreibung:

W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 verbreitet.

Es sind mehrere Varianten bekannt, die sich in ihrer Funktion nicht wesentlich unterscheiden.

Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen. Microsoft stellt eine deutsche Beschreibung dieser Sicherheitslücke zur Verfügung. Die Schwachstelle wird mit dem Sicherheits-Update KB835732 geschlossen.
Für die weitverbreiteten Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter:
Microsoft Windows 2000 (SP2, SP3 und SP4)
Microsoft Windows XP und Microsoft Windows XP SP1
Updates für alle übrigen Windows-Betriebssysteme befinden sich in der Microsoft-Beschreibung zur Sicherheitslücke.

Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders!

Bei der Infektion (oder dem Infektionsversuch) eines Systems kann es zu einer der folgenden Fehlermeldungen mit anschließendem automatischen Neustart des Systems kommen.

Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher!), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen.

Wenn man den Computer anschließend herunterfahren will, kann es zu folgender Meldung kommen.

Der Computer kann mit der Tastenkombination Strg-Alt-Entf und anschließendem Klick auf die Schaltfläche Herunterfahren... dennoch heruntergefahren werden.

Bei einem erfolgreichen Angriff lädt Sasser von dem angreifenden Computer eine Datei per FTP in das Verzeichnis c:\windows\system32. Anschließend wird diese Datei ausgeführt und damit der angegriffene Computer infiziert. Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk.

Der Wurm kopiert sich im infizierten System unter %Windir%\avserve.exe. Diese Datei ist 15.872 Bytes groß.

Hinweis:
%windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.

Mit dem Registrierungs-Schlüssel

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe"="%windir%\avserve.exe"

wird Sasser beim Rechnerstart aktiviert.

Eine weitere Kopie des Wurms befindet sich unter:

c:\windows\system32\?????_up.exe

wobei ????? beliebige Ziffern sind.
Beispiele:
c:\windows\system32\12345_up.exe
c:\windows\system32\27583_up.exe

Entfernung des Wurms Sasser

Zur Entfernung des Wurms sind folgende Schritte durchzuführen:

(Erstellt: 02.05.2004)
(Aktualisiert: 04.05.2004)