Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 19723

TREND MICRO Deutschland GmbH Parkring 29 85748 Garching, Deutschland http://www.trendmicro.de
Ansprechpartner:in Frau Vera M. Sander +49 89 8906670
Logo der Firma TREND MICRO Deutschland GmbH
TREND MICRO Deutschland GmbH

TREND MICRO löst Yellow Alert aus: SASSER.A greift Windows-Sicherheitslücke an

(PresseBox) (Unterschleißheim, )
TREND MICRO hat einen globalen Yellow Alert ausgelöst, um die Ausbreitung von WORM_SASSER.A zu verhindern. Zur Verbreitung führt der Malicious Code einen Scan zufällig generierter IP-Adressen durch. Darüber hinaus nutzt SASSER.A eine bereits von Microsoft veröffentlichte Schwachstelle, die zu einem Buffer Overrun führt. Bislang wurde TREND MICRO das Auftreten dieses Malicious Code aus Europa, Asien und den USA gemeldet.

WORM_SASSER.A attackiert gezielt eine Schwachstelle im Local Security Authority Subsystem (LSASS) des Windows Betriebssystems. Durch einen Buffer Overrun kann Remote Code ausgeführt werden, sodass ein Angreifer die volle Kontrolle über den betroffenen Computer erhält. Zur Weiterverbreitung führt SASSER.A darüber hinaus einen Scan zufälliger IP-Adressen durch, um verwundbare Systeme aufzuspüren. Sobald der Malicious Code ein potenzielles Angriffsziel findet, versendet er ein speziell präpariertes Datenpaket an die IP-Adresse. Dadurch wird ein Buffer Overrun in der LSASS.EXE ausgelöst, was einen Absturz des Programms sowie einen Neustart des System zur Folge hat.

Die LSASS-Schwachstelle ist seit dem 13. April 2004 bekannt. Bereits 16 Tage später wurde eine Variante des Wurms AGOBOT (WORM_AGOBOT.JF) entdeckt, der diese Sicherheitslücke ausnutzt. Im Vergleich dazu lagen beim BLASTER-Wurm (August 2003) noch 26 Tage zwischen Veröffentlichung der Schwachstelle und Ausbruch des Malicious Code. Dies ist ein weiterer Beleg dafür, dass Virenprogrammierer heute in der Lage sind, Sicherheitslücken in Programmen oder Betriebssystemen immer schneller gezielt anzugreifen.

Der von WORM_SASSER.A verursachte Overrun ermöglicht es dem Malicious Code, den TCP-Port 9996 auf eingehende Verbindungen zu überwachen, durch die eine Command Shell geöffnet wird. Der Wurm erstellt dann die Skript-Datei CMD.FTP, die das infizierte System anweist, eine Kopie von WORM_SASSER.A über FTP herunterzuladen und auszuführen.

Der befallene Host öffnet zudem TCP-Port 5554 und akzeptiert alle FTP-Anfragen von anderen infizierten Remote-Systemen. Die heruntergeladene Kopie des Wurms wird unter dem Namen _up.exe (z.B. 12345_up.exe) im Systemverzeichnis von Windows abgelegt.

Bei neuer Malware ist ein Anstieg von Backdoor-Funktionalitäten um 60 Prozent zu verzeichnen. Das hat eine Analyse aller im Monat April 2004 gemeldeten Viren durch die europäischen TrendLabs ergeben. Diese Entwicklung resultiert wahrscheinlich aus der steigenden Verbreitung von DSL-Anschlüssen und Heimnetzwerken, die attraktive Angriffsziele für Virenprogrammierer, Hacker und auch Spammer darstellen.

SASSER.A versendet sich als Anhang (16KB) und bedroht Rechner mit den Betriebssystemen Windows 95, 98, ME, NT, 2000 und XP. Der Wurm ist auch unter den Synonymen W32/Sasser.worm, Win32.Sasser.A oder W32/Sasser-A bekannt.

TREND MICRO stellt Pattern-Files zum Download bereit
Kunden von TREND MICRO sind ab dem Pattern-File 879 vor SASSER.A geschützt. Anwender der TREND MICRO Outbreak Prevention Services sollten zudem die OPP 110 herunterladen, um der Verbreitung von SASSER.A entgegenzuwirken. Im Rahmen der TREND MICRO Damage Cleanup Services wird ab sofort das Damage Cleanup Template 331 bereitgestellt, mit dem SASSER.A zuverlässig von befallenen Systemen entfernt werden kann. Die TREND MICRO Network VirusWall 1200 erkennt den Wurm ab Pattern-File 10124. Im Vulnerability-Assessment-Pattern 010 ist darüber hinaus die entsprechende Sicherheitslücke beschrieben.

Unter http://de.trendmicro-europe.com/... bietet TREND MICRO einen kostenlosen Online-Scanner für alle Computernutzer.

TREND MICRO rät allen Kunden dringend, die von Microsoft bereitgestellten Security-Patches für die LSASS-Schwachstelle zu installieren.

Weitere Informationen finden sich unter http://de.trendmicro-europe.com/...
Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.