Informationsquellen

Symantec.com > Unternehmen > Security Response > W32.Sasser.B.Worm
DIESE SEITE DRUCKEN

W32.Sasser.B.Worm

Risikostufe2: Gering

Entdeckt am:
1 Mai 2004
Aktualisiert:
13 Februar 2007 12:25:20 PM
Auch bekannt als:
WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Typ:
Worm
Infektionslänge:
15872 Byte
Betroffene Systeme:
Windows 2000, Windows XP
CVE-Referenzen:
CAN-2003-0533


W32.Sasser.B.Worm ist eine Variante von W32.Sasser.Worm. Der Wurm versucht, die im Microsoft Security Bulletin MS04-011 beschriebene LSASS-Sicherheitslücke auszunutzen, und verbreitet sich, indem er über willkürlich gewählte IP-Adressen nach anfälligen Systemen sucht.

W32.Sasser.B.Worm unterscheidet sich folgendermaßen von W32.Sasser.Worm:
  • Er verwendet eine andere Mutex: Jobaka3.
  • Er verwendet einen anderen Dateinamen: avserve2.exe.
  • Er hat einen anderen MD5-Wert.
  • Er erstellt einen anderen Wert in der Registrierung: "avserve2.exe."

Hinweise:
  • Der MD5-Hash-Wert für diesen Wurm lautet 0x1A2C0E6130850F8FD9B9B5309413CD00.
  • Blockieren Sie auf der Perimeter-Firewall die TCP-Ports 5554, 9996 und 445 und installieren Sie den entsprechenden Microsoft-Patch (MS04-011), um zu verhindern, dass diese Schwachstelle ausgenutzt wird.

W32.Sasser.B.Worm kann auch auf Windows 95/98/Me-Computern ausgeführt werden (ohne diese jedoch zu infizieren). Obwohl diese Betriebssysteme nicht infiziert werden können, so können sie jedoch zur Weiterverbreitung des Wurms auf damit verbundene, anfällige Systeme verwendet werden. In diesem Fall verbraucht der Wurm sehr viele Ressourcen. Dadurch können Programme, so auch unser Entfernungsprogramm, nicht mehr richtig ausgeführt werden. (Auf Windows 95/98/Me-Computern sollte das Programm im abgesicherten Modus ausgeführt werden.)

Security Response hat einige Informationen zur Verfügung gestellt, um Netzwerkadministratoren bei ihren fortwährenden Bemühungen zu helfen, mit W32.Sasser.Worm infizierte Computer in ihren Netzwerken aufzuspüren. Weitere Informationen finden Sie im englischsprachigen Dokument Detecting traffic due to LSASS worms.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version1 Mai 2004
  • Neueste Rapid Release-Version28 September 2010Änderung054
  • Erste Daily Certified-Version1 Mai 2004
  • Neueste Daily Certified-Version28 September 2010Änderung036
  • Datum der ersten Weekly Certified-Version1 Mai 2004
Klicken Sie hier, um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.

Beurteilung der Bedrohung

Im Umlauf

  • Im Umlauf:Medium
  • Anzahl der Infektionen:More than 1000
  • Anzahl der Websites:More than 10
  • Geografische Verbreitung:High
  • Bekämpfungschance:Easy
  • Entfernung:Moderate

Schaden

  • Schadensstufe:Low
  • Herabsetzen der Systemleistung:Starke Beeinträchtigung der Systemleistung

Verteilung

  • Grad der Verteilung:High
  • Ports:TCP-Ports 445, 5554, 9996
  • Ziel der Infektion:Systeme ohne Patches, die für die LSASS-Sicherheitslücke anfällig sind (Microsoft Bulletin MS04-011)
Dokument verfasst von:Heather Shannon
Technische Details
©1995 - 2012 Symantec Corporation
Wegweiser|
Rechtliche Hinweise|
Impressum|
Datenschutz|
Kontakt|
Weltweit|
Lizenzvereinbarungen