||||
Symantec.com > Security Response > W32.Sasser.Worm
DIESE SEITE DRUCKEN

W32.Sasser.Worm

Risikostufe 2: Gering

Entfernungsprogramm herunterladen | Druckansicht

Entdeckt am: 30 April 2004
Aktualisiert: 13 Februar 2007 12:25:18 PM
Auch bekannt als: W32/Sasser.worm.a [McAfee], WORM_SASSER.A [Trend], Worm.Win32.Sasser.a [Kaspersky, W32/Sasser-A [Sophos], Win32.Sasser.A [Computer Assoc, Sasser [F-Secure], W32/Sasser.A.worm [Panda]
Typ: Wurm
Infektionslänge: 15.872 Byte
Betroffene Systeme: Windows 2000, Windows XP
CVE-Referenzen: CAN-2003-0533


Der Wurm W32.Sasser.Worm versucht, die im Microsoft Bulletin MS04-011 beschriebene Sicherheitslücke auszunutzen. Er verbreitet sich, indem er über willkürlich gewählte IP-Adressen nach anfälligen Systemen sucht.
Hinweise:
  • Rapid Release-Virusdefinitionen der Versionen 30/04/04 Rev. 70 (20040430.070) und höher erkennen diese Bedrohung.
  • Der Wurm besitzt den MD5-Hash-Wert 0xA73C16CCD0B9C4F20BC7842EDD90FC20.

W32.Sasser.Worm kann auch auf Windows 95/98/Me-Computern ausgeführt werden (ohne diese jedoch zu infizieren). Obwohl diese Betriebssysteme nicht infiziert werden können, so können sie jedoch zur Weiterverbreitung des Wurms auf damit verbundene, anfällige Systeme verwendet werden. In diesem Fall verbraucht der Wurm sehr viele Ressourcen. Dadurch können Programme, so auch unser Entfernungsprogramm, nicht mehr richtig ausgeführt werden. (Auf Windows 95/98/Me-Computern sollte das Programm im abgesicherten Modus ausgeführt werden.)

Security Response hat Informationen zusammengestellt, um Netzwerkadministratoren beim Aufspüren von mit W32.Sasser.Worm infizierten Rechnern in ihren Netzwerken zur Hand zu gehen. Weitere Einzelheiten entnehmen Sie bitte dem englischsprachigen Dokument Detecting traffic due to LSASS worms.

Schutz

  • Erste Version der Rapid Release-Definitionen: 1 Mai 2004
  • Neueste Version der Rapid Release-Definitionen: 19 Juli 2008 Änderung 019
  • Erste Version der Daily Certified-Definitionen: 1 Mai 2004
  • Neueste Version der Daily Certified-Definitionen: 20 Januar 2009 Änderung 048
  • Anfangsdatum der Weekly Certified-Definitionen: 1 Mai 2004

Klicken Sie hier, um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.

Beurteilung der Bedrohung

Im Umlauf

  • Im Umlauf: Gering
  • Anzahl der Infektionen: 50 - 999
  • Anzahl der Websites: More than 10
  • Geografische Verbreitung: Hoch
  • Bekämpfungschance: Einfach
  • Entfernung: Mittel

Schaden

  • Schadensstufe: Gering
  • Herabsetzen der Systemleistung: Starke Beeinträchtigung der Systemleistung

Verteilung

  • Grad der Verteilung: Mittel
  • Ports: TCP-Ports 445, 5554, 9996
  • Ziel der Infektion: Systeme ohne Patch, die anfällig für die LSASS-Sicherheitslücke sind (Microsoft Bulletin MS04-011)

Dokument verfasst von: Takayoshi Nakayama
Bis zu 20 € sparen mit einem zweijährigen Abonnement.
©1995 - 2009 Symantec Corporation
Wegweiser|
Rechtliche Hinweise|
Impressum|
Datenschutz|
Kontakt|
Weltweit|
Lizenzvereinbarungen