||||
Symantec.com > Security Response > W32.Sasser.B.Worm
DIESE SEITE DRUCKEN

W32.Sasser.B.Worm

Risikostufe 2: Gering

Entfernungsprogramm herunterladen | Druckansicht

Entdeckt am: 1 Mai 2004
Aktualisiert: 13 Februar 2007 12:25:20 PM
Auch bekannt als: WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Typ: Wurm
Infektionslänge: 15872 Byte
Betroffene Systeme: Windows 2000, Windows XP
CVE-Referenzen: CAN-2003-0533


Bei Ausführung geht W32.Sasser.B.Worm folgendermaßen vor:
    1. Er versucht, eine Mutex mit dem Namen JumpallsNlsTillt zu erstellen. Schlägt dies fehl, so wird der Wurm nicht ausgeführt. Hierdurch wird sichergestellt, dass immer nur eine Instanz des Wums zur selben Zeit auf dem Computer ausgeführt wird.

    2. Er versucht, eine Mutex mit dem Namen Jobaka3 zu erstellen. Diese Mutex scheint keinen besonderen Zweck zu haben.

    3. Er kopiert sich nach %Windir%\Avserve2.exe.

      Hinweis: %Windir% ist eine Variable. Der Wurm sucht den Windows-Installationsordner (üblicherweise C:\Windows oder C:\Winnt) und kopiert sich dorthin.

    4. Er fügt den Wert

      "avserve2.exe"="%Windir%\avserve2.exe"

      dem folgenden Registrierungsschlüssel hinzu:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.

    5. Er verhindert mithilfe der API AbortSystemShutdown den Versuch, den Computer herunterzufahren und neu zu starten.

    6. Er startet über den TCP-Port 5554 einen FTP-Server. Mithilfe dieses Servers kann sich der Wurm auf andere Hosts verbreiten.

    7. Er beschafft sich die IP-Adressen des infizierten Computers über das Windows-API gethostbyname.

      Hinweis: Der Wurm ignoriert die folgenden Adressen:
      • 127.0.0.1
      • 10.x.x.x
      • 172.16.x.x - 172.31.x.x (einschließlich)
      • 192.168.x.x
      • 169.254.x.x


    8. Auf der Grundlage einer dieser IP-Adressen vom infizierten Computer generiert der Wurm dann eine weitere IP-Adresse.
      • In 25 % der Fälle werden die letzten zwei Oktetts der IP-Adresse durch willkürliche Zahlen ersetzt. Wenn die unter Schritt 7 erhaltene IP-Adresse beispielsweise A.B.C.D ist, so werden C und D willkürlich gewählt.
      • In 23 % der Fälle werden die letzten drei Oktetts der Adresse durch willkürliche Zahlen ersetzt. Wenn die unter Schritt 7 erhaltene IP-Adresse beispielsweise A.B.C.D ist, so werden B, C und D willkürlich gewählt.
      • In 52 % der Fälle wird die IP-Adresse völlig willkürlich gewählt.

        Hinweise:
      • Da der Wurm in 52 % der Fälle völlig beliebige Adressen erstellen kann, können alle IP-Bereiche infiziert werden, also auch die unter Schritt 7 ignorierten.
      • Der Prozess besteht aus 128 Threads und beansprucht daher sehr viel CPU-Zeit. Daher kann ein infizierter Computer sehr stark verlangsamt oder gar kaum mehr benutzbar werden.

    9. Er stellt über den TCP-Port 445 eine Verbindung zur generierten IP-Adresse her, um festzustellen, ob ein entfernter Computer online ist.

    10. Wenn eine Verbindung zu einem Computer hergestellt werden konnte, sendet der Wurm Shellcode an diesen Computer, durch den der Wurm eine Remote-Shell auf dem TCP-Port 9996 öffnen kann.

    11. Der Wurm verwendet die Shell auf dem Remote-Computer, um auf Port 5554 wieder eine Verbindung zum FTP-Server des infizierten Computers herzustellen und eine Kopie des Wurms abzurufen. Der Name dieser Kopie besteht aus vier oder fünf Ziffern und der angehängten Zeichenfolge _up.exe (z. B. 74354_up.exe).

    12. Der Prozess Lsass.exe stürzt ab, nachdem der Wurm die LSASS-Schwachstelle von Windows ausgenutzt hat. Windows zeigt eine Warnmeldung an und schaltet das System dann innerhalb von einer Minute ab.

    13. Er erstellt eine Datei unter C:\win2.log, die die IP-Adresse des Computers enthält, den der Wurm als letztes zu infizieren versucht hat. Außerdem enthält die Datei die Anzahl der infizierten Computer.


    5400-Serie von Symantec Gateway Security und Symantec Gateway Security V. 1.0
    • Virenschutzkomponente: Es ist eine Aktualisierung für die Symantec Gateway Security AntiVirus-Engine verfügbar, die Ihr System vor W32.Sasser.B.Worm schützt. Benutzern der 5000-Serie von Symantec Gateway Security wird empfohlen, LiveUpdate auszuführen.
    • IDS/IPS-Komponente: Eine Signatur für die 5400-Serie von Symantec Gateway Security, die Angriffe auf die Microsoft LSASS-Sicherheitslücke erkennt, ist in der am 14. April herausgebrachten Sicherheitsaktualisierung SU 8 enthalten.
      Außerdem wurde eine Signatur für SGS 1.0 herausgebracht, die Angriffe auf die Microsoft LSASS-Schwachstelle erkennt. Benutzern der 5000-Serie von Symantec Gateway Security wird empfohlen, LiveUpdate auszuführen.
    • Vollständige Anwendungsinspektions-Firewall-Komponente: Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Sasser.B.Worm, indem Angreifern der Zugriff auf den TCP-Port 445 sowie die Hintertür-Ports (TCP-Ports 5554 und 9996) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien auf diesen Ports keinen eingehenden Verkehr zulassen.


    Symantec Enterprise Firewall 8.0
    Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Sasser.B.Worm, indem Angreifern der Zugriff auf den TCP-Port 445 sowie die Hintertür-Ports (TCP-Ports 5554 und 9996) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien auf diesen Ports keinen eingehenden Verkehr zulassen.

    Symantec Enterprise Firewall 7.0.x und Symantec VelociRaptor 1.5
    Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Sasser.B.Worm, indem Angreifern der Zugriff auf den TCP-Port 445 sowie die Hintertür-Ports (TCP-Ports 5554 und 9996) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien auf diesen Ports keinen eingehenden Verkehr zulassen.

    Symantec Clientless VPN Gateway 4400 Series
    Diese Bedrohung hat keine Auswirkungen auf Symantec Clientless VPN Gateway V. 5.0. Standardmäßig blockiert das Sicherheits-Gateway den Zugriff auf die TCP-Ports 445, 5554 und 9996.

    Symantec Gateway Security 300 Series
    Die vollständige Inspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig davor, dass Angreifer bei internen Systemen auf den TCP-Port 445 und auf die Hintertür-Ports (TCP-Ports 5554 und 9996) bei infizierten Computern zugreifen können. Wir empfehlen Administratoren, sicherzustellen, dass die Sicherheitsrichtlinien keinen eingehenden Verkehr auf den TCP-Ports 445, 5554 und 9996 zulassen. Außerdem sollte die AVpe-Funktion der 300-Serie von SGS verwendet werden, um sicherzustellen, dass alle Antivirus-Clients über die aktuellsten Virusdefinitionen verfügen.

    100/200-Serie von Symantec Firewall/VPN
    Die vollständige Inspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig davor, dass Angreifer bei internen Systemen auf den TCP-Port 445 und auf die Hintertür-Ports (TCP-Ports 5554 und 9996) bei infizierten Computern zugreifen können.

    Symantec Host IDS 4.1/4.1.1
    Prävention gegen diesen Wurm und alle bekannten Varianten ist für Symantec Host IDS 4.1/4.1.1 über LiveUpdate verfügbar.

    Intruder Alert 3.6
    Für diesen Wurm ist Erkennung verfügbar: Symantec hat Intruder Alert 3.6 W32_Sasser_Worm.pol herausgebracht.

    Symantec ManHunt
    Am 13. April 2004 wurde das Security Update 22 herausgebracht, mit dem alle Versuche, die LSASS-Sicherheitslücke auszunutzen, mit der Signatur "Microsoft RPC LSASS DS Request" erkannt werden. Daher waren Benutzer von Symantec ManHunt bereits geschützt und zu keinem Zeitpunkt anfällig, als W32.Sasser.B.Worm in Umlauf gebracht wurde.

    Symantec Client Security
    Symantec hat einen Patch für Symantec Client Security 1.x und 2.0 herausgebracht, durch den die LSASS-Sicherheitslücke mit der Signatur MS_Windows_LSASS_RPC_DS_Request erkannt wird, sobald der Wurm versucht, das System zu infizieren. Wenn der Sasser-Wurm sich bereits auf dem System befindet, wird der Benutzer durch alle Versionen von Symantec Client Security, die über die standardmäßigen Firewall-Richtlinien verfügen, dazu aufgefordert, eine Zulassungs-/Blockierungs-/Konfigurierungsregel für den Wurm zu erstellen, wenn dieser versucht, den FTP-Server zu starten und ausgehende Daten zu senden. Virusdefinitionen vom 1. Mai 2004 oder später schützen Sie vor diesem Wurm und sind über LiveUpdate oder den Intelligent Updater verfügbar.

    Symantec NetRecon
    Das Symantec NetRecon Security Update 17, das am 4. Mai 2004 herausgebracht wurde, entdeckt und meldet die LSASS-Sicherheitslücke.

    Empfehlungen

    Symantec Security Response empfiehlt allen Benutzern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

    • Beenden und entfernen Sie alle nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht unbedingt erforderlich sind, z. B. FTP-Server, Telnet und Web-Server. Diese Dienste öffnen Angreifern Tür und Tor. Durch ihr Entfernen wird die Angriffsfläche für komplexe Bedrohungen reduziert, und Sie müssen weniger Programme mit Patch-Updates auf dem neuesten Stand halten.
    • Wenn eine komplexe Bedrohung einen oder mehrere Netzwerkdienste angreift, deaktivieren oder sperren Sie diese so lange, bis ein entsprechender Patch installiert wurde.
    • Halten Sie Ihre Patches immer auf dem neuesten Stand, insbesondere auf Computern, auf denen öffentliche Dienste installiert sind und auf die über die Firewall zugegriffen werden kann (z. B. auf HTTP-, FTP-, E-Mail- und DNS-Dienste). So sollte beispielsweise auf allen Windows-basierten Computern das aktuellste Service Pack installiert sein. Darüber hinaus sollten Sie alle in diesem Dokument, in vertrauenswürdigen Sicherheitsmitteilungen oder auf den Webseiten der Hersteller erwähnten Sicherheits-Updates installieren.
    • Erstellen Sie eine Kennwortrichtlinie und sorgen Sie für ihre Durchsetzung. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf Computern, deren Sicherheit nicht mehr intakt ist. Dadurch können Schäden verhindert oder begrenzt werden, wenn ein Computer angegriffen wurde.
    • Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails mit Dateianhängen, über die häufig Viren verbreitet werden (z. B. Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr), blockiert oder entfernt werden.
    • Isolieren Sie infizierte Computer schnellstmöglich, um weitere Schäden zu verhindern. Führen Sie eine forensische Analyse durch, und reparieren Sie die Computer mithilfe zuverlässiger Medien.
    • Schulen Sie Ihre Mitarbeiter, so dass sie keine Anhänge öffnen, die unaufgefordert eingesendet werden. Führen Sie außerdem keine aus dem Internet heruntergeladene Software aus, die zuvor nicht auf Viren geprüft wurde. Schon allein der Besuch einer infizierten Internet-Seite kann zu einer Infektion führen, wenn bestimmte Browser-Schwachstellen nicht behoben werden.

    Dokument verfasst von: Heather Shannon
    Bis zu 20 € sparen mit einem zweijährigen Abonnement.
    ©1995 - 2009 Symantec Corporation
    Wegweiser|
    Rechtliche Hinweise|
    Impressum|
    Datenschutz|
    Kontakt|
    Weltweit|
    Lizenzvereinbarungen