||||
Symantec.com > Security Response > W32.Sasser.B.Worm
DIESE SEITE DRUCKEN

W32.Sasser.B.Worm

Risikostufe 2: Gering

Entfernungsprogramm herunterladen | Druckansicht

Entdeckt am: 1 Mai 2004
Aktualisiert: 13 Februar 2007 12:25:20 PM
Auch bekannt als: WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Typ: Wurm
Infektionslänge: 15872 Byte
Betroffene Systeme: Windows 2000, Windows XP
CVE-Referenzen: CAN-2003-0533



W32.Sasser.B.Worm ist eine Variante von W32.Sasser.Worm. Der Wurm versucht, die im Microsoft Security Bulletin MS04-011 beschriebene LSASS-Sicherheitslücke auszunutzen, und verbreitet sich, indem er über willkürlich gewählte IP-Adressen nach anfälligen Systemen sucht.

W32.Sasser.B.Worm unterscheidet sich folgendermaßen von W32.Sasser.Worm:
  • Er verwendet eine andere Mutex: Jobaka3.
  • Er verwendet einen anderen Dateinamen: avserve2.exe.
  • Er hat einen anderen MD5-Wert.
  • Er erstellt einen anderen Wert in der Registrierung: "avserve2.exe."

Hinweise:
  • Der MD5-Hash-Wert für diesen Wurm lautet 0x1A2C0E6130850F8FD9B9B5309413CD00.
  • Blockieren Sie auf der Perimeter-Firewall die TCP-Ports 5554, 9996 und 445 und installieren Sie den entsprechenden Microsoft-Patch (MS04-011), um zu verhindern, dass diese Schwachstelle ausgenutzt wird.

W32.Sasser.B.Worm kann auch auf Windows 95/98/Me-Computern ausgeführt werden (ohne diese jedoch zu infizieren). Obwohl diese Betriebssysteme nicht infiziert werden können, so können sie jedoch zur Weiterverbreitung des Wurms auf damit verbundene, anfällige Systeme verwendet werden. In diesem Fall verbraucht der Wurm sehr viele Ressourcen. Dadurch können Programme, so auch unser Entfernungsprogramm, nicht mehr richtig ausgeführt werden. (Auf Windows 95/98/Me-Computern sollte das Programm im abgesicherten Modus ausgeführt werden.)

Security Response hat einige Informationen zur Verfügung gestellt, um Netzwerkadministratoren bei ihren fortwährenden Bemühungen zu helfen, mit W32.Sasser.Worm infizierte Computer in ihren Netzwerken aufzuspüren. Weitere Informationen finden Sie im englischsprachigen Dokument Detecting traffic due to LSASS worms.

Schutz

  • Erste Version der Rapid Release-Definitionen: 1 Mai 2004
  • Neueste Version der Rapid Release-Definitionen: 20 August 2008 Änderung 017
  • Erste Version der Daily Certified-Definitionen: 1 Mai 2004
  • Neueste Version der Daily Certified-Definitionen: 20 Januar 2009 Änderung 048
  • Anfangsdatum der Weekly Certified-Definitionen: 1 Mai 2004

Klicken Sie hier, um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.

Beurteilung der Bedrohung

Im Umlauf

  • Im Umlauf: Mittel
  • Anzahl der Infektionen: More than 1000
  • Anzahl der Websites: More than 10
  • Geografische Verbreitung: Hoch
  • Bekämpfungschance: Einfach
  • Entfernung: Mittel

Schaden

  • Schadensstufe: Gering
  • Herabsetzen der Systemleistung: Starke Beeinträchtigung der Systemleistung

Verteilung

  • Grad der Verteilung: Hoch
  • Ports: TCP-Ports 445, 5554, 9996
  • Ziel der Infektion: Systeme ohne Patches, die für die LSASS-Sicherheitslücke anfällig sind (Microsoft Bulletin MS04-011)

Dokument verfasst von: Heather Shannon
Bis zu 20 € sparen mit einem zweijährigen Abonnement.
©1995 - 2009 Symantec Corporation
Wegweiser|
Rechtliche Hinweise|
Impressum|
Datenschutz|
Kontakt|
Weltweit|
Lizenzvereinbarungen