Sasser.a greift Windows-Sicherheitslücke an

SicherheitSicherheitsmanagement

Der Schädling nutzt die Mitte des Monats entdeckte Schwachstelle im
Local Security Authority Subsystem (Lsass) von Windows.

Der japanische Hersteller von Antiviren-Software Trend Micro warnt vor
dem Wurm_Sasser.a. Zur Verbreitung führt der Malicious Code einen Scan
zufällig generierter IP-Adressen durch. Darüber hinaus nutzt Sasser.a
eine bereits von Microsoft veröffentlichte Schwachstelle, die zu einem
Buffer Overrun führt. Bislang wurde Trend Micro das Auftreten dieses
Malicious Code aus Europa, Asien und den USA gemeldet.

Worm_Sasser.a attackiert gezielt eine Schwachstelle im Local Security
Authority Subsystem (Lsass) des Windows Betriebssystems. Durch einen
Buffer Overrun kann Code ausgeführt werden, so dass ein Angreifer die
volle Kontrolle über den betroffenen Computer erhält. Zur
Weiterverbreitung führt Sasser.a darüber hinaus einen Scan zufälliger
IP-Adressen durch, um verwundbare Systeme aufzuspüren. Sobald der
Malicious Code ein potenzielles Angriffsziel findet, versendet er ein
speziell präpariertes Datenpaket an die IP-Adresse. Dadurch wird ein
Buffer Overrun in der Lsass.exe ausgelöst, was einen Absturz des
Rechners sowie einen Neustart des System zur Folge hat.

Die
Lsass-Schwachstelle ist seit dem 13. April 2004 bekannt. Bereits 16 Tage
später wurde eine Variante des Wurms Agobot (Worm_Agobot.jf) entdeckt,
der diese Sicherheitslücke ausnutzt. Im Vergleich dazu lagen beim
Blaster-Wurm (August 2003) noch 26 Tage zwischen Veröffentlichung der
Schwachstelle und Ausbruch des Malicious Code. Ein weiterer Beleg dafür,
dass Virenprogrammierer heute in der Lage sind, Sicherheitslücken in
Programmen oder Betriebssystemen immer schneller gezielt anzugreifen.

Der von Worm_Sasser.a verursachte Buffer Overrun ermöglicht es dem Schädling,
den TCP-Port 9996 auf eingehende Verbindungen zu überwachen. Der Wurm
erstellt dann die Skript-Datei Cmd.ftp, die das infizierte System
anweist, eine Kopie von Worm_Sasser.a über FTP herunterzuladen und
auszuführen. Der befallene Host öffnet zudem TCP-Port 5554 und
akzeptiert alle FTP-Anfragen von anderen infizierten Remote-Systemen.
Die heruntergeladene Kopie des Wurms wird unter dem Namen _up.exe (z.B.
12345_up.exe) im Systemverzeichnis von Windows abgelegt.

Bei
neuer Malware ist ein Anstieg von Backdoor-Funktionalitäten um 60
Prozent zu verzeichnen. Das hat eine Analyse aller im Monat April 2004
gemeldeten Viren durch die europäischen Labors von Trend Micro ergeben.
Sasser.a versendet sich als Anhang (16KB) und bedroht Rechner mit den
Betriebssystemen Windows 95, 98, ME, NT, 2000 und XP. Der Wurm ist auch
unter den Synonymen W32/Sasser.worm, Win32.Sasser.A oder W32/Sasser-A
bekannt. (dd)

(
de.internet.com
– testticker.de)

Weitere Infos:

Vireninformationen zu Sasser.a von Trend Micro

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen