Neuer Wurm treibt sein Unwesen: Laut Experten ziemlich viele "Pakete" unterwegs

Seit ein paar Tagen treibt ein neuer Computerwurm namens "Sasser" sein Unwesen im Web: Von "W32.Sasser" sind nach Beobachtungen des Viren-Experten Thomas Mandl derzeit "ziemlich viele Pakete unterwegs". Einer exakten Zählung der Infektionsraten entzieht sich der Wurm, der in drei Varianten - A, B und C - auftaucht, allerdings dadurch, dass er sich nicht via e-mail verbereitet, sondern ungeschützte Computer direkt attackiert. Das bedeutet auch, dass es nicht nötig ist, irgendwo doppelzuklicken, um ihn sich einzufangen.

Sasser dringt wie der mittlerweile berühmte "Blaster.Worm" direkt in den Computer ein, und zwar via TCP, dem "Transmission Control Protocol", das für die Interneteinbindung sorgt. Extrem gefährlich ist Sasser im Prinzip nicht - eine Infektion führt "nur" tendenziell zum Absturz des Computers durch Überlastung (volle CPU-Belastung, ersichtlich im Taskmanager unter "Systemleistung"). Schließlich geht das infizierte System durch eine Sicherheitslücke alle paar Minuten in einen Reboot-Vorgang. Betroffen sind laut Ikarus nur Betriebssysteme von Windows (WinXP, Win2000 und Windows Server2003) betroffen, nicht jedoch Linux Derivate und Apple Systeme.

Laut Mandl wird die Verbreitung von Sasser solange nicht zurückgehen bzw. sogar steigen, bis möglichst viele Internet-User den von Microsoft angebotenen "Sicherheitspatch", der die Lücke im System schließt, installiert oder eine Personal Firewall aktiviert haben. Der Microsoft-Sicherheitspatch ist unter folgender Adresse kostenlos erhältlich: www.microsoft.com/technet/security/bulletin/MS04-011.mspx . Eine ebenfalls kostenlose Shareware-Firewall wie etwa "ZoneAlarm" reicht übrigens ebenfalls, um Sasser abzuwehren.

Diagnostizieren lässt sich ein Sasser-Befall laut Ikarus Software durch die Existenz der Datei "avserve.exe" oder "avserve2.exe" im Windows-Verzeichnis sowie den zusätzlichen Task "avserve.exe" im Taskmanager. Hat der Wurm einen PC erfolgreich infiziert, startet er 128 Prozesse, die alle nach zufällig generierten IP-Adressen suchen, an die sich der Wurm weiterverschicken möchte. Dies kostet derart viel CPU Leistung, dass selbst leistungsstarke PC beinahe unbedienbar werden. Der Wurm schützt diesen "Scann-Vorgang" nach neuen Zielen zusätzlich, indem er einen Abbruch oder Restart mit Hilfe der Abort-System-Shutdown API verhindert.

Klarer werde die Sache zudem, wenn sich ein File namens "win.log" oder "win2.log" auf der C-Platte findet ("C:\win.log" oder "C:\win2.log") und Traffic (Informationstransfer) über die TCP-Ports 445, 5554 sowie 9996 generiert wird. Klar erkennbar ist der Sasser-Wurm auf infizierten PC durch die Meldung: "Message: The System process "C:\WINNT\system32\lsass.exe" terminated unexpetetly with status code 0. The system will now shot down and restart."

Dann zählt der Wurm einen "Countdown" von 60 Sekunden bis 0 herab und verursacht den Reboot der infizierten Maschine. Dieses Spiel wiederholt alle paar Minuten nach dem Reboot. WindowsXP User können zusätzlich die Nachricht "LSA Shell (Export Version) has encountered a problem and needs to close. We are sorry for the inconvenience." auf ihrem Bildschirm vorfinden - immerhin: Wenigstens höflich ist Sasser...

Glücklicherweise verfügt Sasser laut Ikarus Software über keine explizite Schadensfunktion. Er kann auch ohne Remover (spezielle "Killer"-Software) relativ einfach entfernt werden. (apa/red)

Info-Links:
Microsoft-Sicherheits-Patch
Zonelabs-Website