TREND MICRO löst Yellow Alert aus: SASSER.A greift Windows-Sicherheitslücke an

(PresseBox) (Unterschleißheim, ) TREND MICRO hat einen globalen Yellow Alert ausgelöst, um die Ausbreitung von WORM_SASSER.A zu verhindern. Zur Verbreitung führt der Malicious Code einen Scan zufällig generierter IP-Adressen durch. Darüber hinaus nutzt SASSER.A eine bereits von Microsoft veröffentlichte Schwachstelle, die zu einem Buffer Overrun führt. Bislang wurde TREND MICRO das Auftreten dieses Malicious Code aus Europa, Asien und den USA gemeldet.

WORM_SASSER.A attackiert gezielt eine Schwachstelle im Local Security Authority Subsystem (LSASS) des Windows Betriebssystems. Durch einen Buffer Overrun kann Remote Code ausgeführt werden, sodass ein Angreifer die volle Kontrolle über den betroffenen Computer erhält. Zur Weiterverbreitung führt SASSER.A darüber hinaus einen Scan zufälliger IP-Adressen durch, um verwundbare Systeme aufzuspüren. Sobald der Malicious Code ein potenzielles Angriffsziel findet, versendet er ein speziell präpariertes Datenpaket an die IP-Adresse. Dadurch wird ein Buffer Overrun in der LSASS.EXE ausgelöst, was einen Absturz des Programms sowie einen Neustart des System zur Folge hat.

Die LSASS-Schwachstelle ist seit dem 13. April 2004 bekannt. Bereits 16 Tage später wurde eine Variante des Wurms AGOBOT (WORM_AGOBOT.JF) entdeckt, der diese Sicherheitslücke ausnutzt. Im Vergleich dazu lagen beim BLASTER-Wurm (August 2003) noch 26 Tage zwischen Veröffentlichung der Schwachstelle und Ausbruch des Malicious Code. Dies ist ein weiterer Beleg dafür, dass Virenprogrammierer heute in der Lage sind, Sicherheitslücken in Programmen oder Betriebssystemen immer schneller gezielt anzugreifen.

Der von WORM_SASSER.A verursachte Overrun ermöglicht es dem Malicious Code, den TCP-Port 9996 auf eingehende Verbindungen zu überwachen, durch die eine Command Shell geöffnet wird. Der Wurm erstellt dann die Skript-Datei CMD.FTP, die das infizierte System anweist, eine Kopie von WORM_SASSER.A über FTP herunterzuladen und auszuführen.

Der befallene Host öffnet zudem TCP-Port 5554 und akzeptiert alle FTP-Anfragen von anderen infizierten Remote-Systemen. Die heruntergeladene Kopie des Wurms wird unter dem Namen _up.exe (z.B. 12345_up.exe) im Systemverzeichnis von Windows abgelegt.

Bei neuer Malware ist ein Anstieg von Backdoor-Funktionalitäten um 60 Prozent zu verzeichnen. Das hat eine Analyse aller im Monat April 2004 gemeldeten Viren durch die europäischen TrendLabs ergeben. Diese Entwicklung resultiert wahrscheinlich aus der steigenden Verbreitung von DSL-Anschlüssen und Heimnetzwerken, die attraktive Angriffsziele für Virenprogrammierer, Hacker und auch Spammer darstellen.

SASSER.A versendet sich als Anhang (16KB) und bedroht Rechner mit den Betriebssystemen Windows 95, 98, ME, NT, 2000 und XP. Der Wurm ist auch unter den Synonymen W32/Sasser.worm, Win32.Sasser.A oder W32/Sasser-A bekannt.

TREND MICRO stellt Pattern-Files zum Download bereit
Kunden von TREND MICRO sind ab dem Pattern-File 879 vor SASSER.A geschützt. Anwender der TREND MICRO Outbreak Prevention Services sollten zudem die OPP 110 herunterladen, um der Verbreitung von SASSER.A entgegenzuwirken. Im Rahmen der TREND MICRO Damage Cleanup Services wird ab sofort das Damage Cleanup Template 331 bereitgestellt, mit dem SASSER.A zuverlässig von befallenen Systemen entfernt werden kann. Die TREND MICRO Network VirusWall 1200 erkennt den Wurm ab Pattern-File 10124. Im Vulnerability-Assessment-Pattern 010 ist darüber hinaus die entsprechende Sicherheitslücke beschrieben.

Unter http://de.trendmicro-europe.com/... bietet TREND MICRO einen kostenlosen Online-Scanner für alle Computernutzer.

TREND MICRO rät allen Kunden dringend, die von Microsoft bereitgestellten Security-Patches für die LSASS-Schwachstelle zu installieren.

Weitere Informationen finden sich unter http://de.trendmicro-europe.com/...

Kontakt

TREND MICRO Deutschland GmbH
Zeppelinstraße 1
D-85399 Hallbergmoos
Vera M. Sander
shortways communications
Social Media