Sasser in neuer Version - Deutsche Post lahm gelegt

Der Sasser-Wurm hat mit der Versionsnummer "D" eine Modifizierung erhalten, die verwundbare Systeme laut Symantec über ICMP-Echo-Requests sucht. Die Deutsche Post soll die Abwehr von Sasser übertrieben haben und legte sich selbst lahm.

Sasser.D hat neben dieser Änderung auch eine andere Größe, erzeugt andere Registry-Einträge und öffnet einen anderen Port (9995) für die Remote-Shell. Dass Sasser.D mittels ICMP Echo-Request nach seinen Opfern sucht, verhindert laut Symantec wahrscheinlich, dass er auf Windows-2000-Systemen richtig ausgeführt wird. Ungeschützte Windows-2000-Rechner werden zwar ausgemacht und der Wurm kopiert sich auch auf den Rechner, versagt dann aber beim Ausführen des Codes. Die folgende Fehlermeldung erscheint: "The procedure entry point IcmpSendEcho could not be located in the dynamic link library iphlpapi.dll."

Die neue Scan-Methode erhöht allerdings die Netzlast, die die Würmer mit sich bringen. Symantec stellt wie auch andere Antivirenspezialisten - ein Tool zum Entfernen von Sasser.D und seiner Verwandtschaft zur Verfügung.

Prominentes Opfer der Sasser-Würmer wurde die Post AG. Laut einem Bericht der in Hannover erscheinenden "Neuen Presse" hat die Post die Firewall-Einstellungen zur Abwehr von Sasser so rigide hochgefahren, dass deutschlandweit das Bankgeschäft großteils lahm gelegt wurde. Rund 300.000 Post-Computer im Bundesgebiet seien betroffen, berichtete das Blatt (Dienstagsausgabe). Die Postbank teilte mit, dass Geldautomaten sowie Telefon- und Online-Banking normal funktionieren. Barauszahlungen in den Filialen seien allerdings mit Wartezeiten verbunden gewesen.

Wie berichtet nutzt Sasser eine Windows-Lücke, die mit dem im April erschienenen Update geschlossen wird. (uba)