Informationsquellen

Symantec.com > Unternehmen > Security Response > W32.Sasser.Worm
DIESE SEITE DRUCKEN

W32.Sasser.Worm

Risikostufe2: Gering

Entdeckt am:
30 April 2004
Aktualisiert:
13 Februar 2007 12:25:18 PM
Auch bekannt als:
W32/Sasser.worm.a [McAfee], WORM_SASSER.A [Trend], Worm.Win32.Sasser.a [Kaspersky, W32/Sasser-A [Sophos], Win32.Sasser.A [Computer Assoc, Sasser [F-Secure], W32/Sasser.A.worm [Panda]
Typ:
Worm
Infektionslänge:
15.872 Byte
Betroffene Systeme:
Windows 2000, Windows XP
CVE-Referenzen:
CAN-2003-0533

Der Wurm W32.Sasser.Worm versucht, die im Microsoft Bulletin MS04-011 beschriebene Sicherheitslücke auszunutzen. Er verbreitet sich, indem er über willkürlich gewählte IP-Adressen nach anfälligen Systemen sucht.
Hinweise:
  • Rapid Release-Virusdefinitionen der Versionen 30/04/04 Rev. 70 (20040430.070) und höher erkennen diese Bedrohung.
  • Der Wurm besitzt den MD5-Hash-Wert 0xA73C16CCD0B9C4F20BC7842EDD90FC20.

W32.Sasser.Worm kann auch auf Windows 95/98/Me-Computern ausgeführt werden (ohne diese jedoch zu infizieren). Obwohl diese Betriebssysteme nicht infiziert werden können, so können sie jedoch zur Weiterverbreitung des Wurms auf damit verbundene, anfällige Systeme verwendet werden. In diesem Fall verbraucht der Wurm sehr viele Ressourcen. Dadurch können Programme, so auch unser Entfernungsprogramm, nicht mehr richtig ausgeführt werden. (Auf Windows 95/98/Me-Computern sollte das Programm im abgesicherten Modus ausgeführt werden.)

Security Response hat Informationen zusammengestellt, um Netzwerkadministratoren beim Aufspüren von mit W32.Sasser.Worm infizierten Rechnern in ihren Netzwerken zur Hand zu gehen. Weitere Einzelheiten entnehmen Sie bitte dem englischsprachigen Dokument Detecting traffic due to LSASS worms.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version1 Mai 2004
  • Neueste Rapid Release-Version28 September 2010Änderung054
  • Erste Daily Certified-Version1 Mai 2004
  • Neueste Daily Certified-Version28 September 2010Änderung036
  • Datum der ersten Weekly Certified-Version1 Mai 2004
Klicken Sie hier, um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.

Beurteilung der Bedrohung

Im Umlauf

  • Im Umlauf:Low
  • Anzahl der Infektionen:50 - 999
  • Anzahl der Websites:More than 10
  • Geografische Verbreitung:High
  • Bekämpfungschance:Easy
  • Entfernung:Moderate

Schaden

  • Schadensstufe:Low
  • Herabsetzen der Systemleistung:Starke Beeinträchtigung der Systemleistung

Verteilung

  • Grad der Verteilung:Medium
  • Ports:TCP-Ports 445, 5554, 9996
  • Ziel der Infektion:Systeme ohne Patch, die anfällig für die LSASS-Sicherheitslücke sind (Microsoft Bulletin MS04-011)
Dokument verfasst von:Takayoshi Nakayama
Technische Details
©1995 - 2012 Symantec Corporation
Wegweiser|
Rechtliche Hinweise|
Impressum|
Datenschutz|
Kontakt|
Weltweit|
Lizenzvereinbarungen