Wurm Sasser nutzt LSASS-Lücke

Trend Micro will den Schädling in der Version A in Europa, Asien und den USA entdeckt haben, Version B soll in Lateinamerika sein Unwesen treiben. Außer der Verbreitung und dem Neustart des Rechners ist laut dem Antivirenexperten aber keine Schadensfunktion bekannt. Sasser.A und sein Nachfolger Sasser.B attackieren laut Trend Micro gezielt eine Schwachstelle im Local Security Authority Subsystem (LSASS) des Windows-Betriebssystems. Durch einen Buffer Overrun kann dadurch Code ausgeführt werden. Der Angreifer erhält so die Kontrolle über den betroffenen Rechner. Zur Weiterverbreitung führt Sasser.A/B einen Scan zufälliger IP-Adressen durch, um verwundbare Systeme aufzuspüren. Findet er einen anfälligen Rechner, schickt er ein präpariertes Datenpaket an die IP-Adresse, führt den Buffer Overrun in der LSASS.EXE aus und lässt das System abstürzen und neu starten.

Den Pufferüberlauf nutzt Sasser, um laut Trend Micro den TCP-Port 9996 auf eingehende Verbindungen zu überwachen, durch die eine Command Shell geöffnet wird. Der Wurm erstellt so die Skript-Datei CMD.FTP, die das infizierte System anweist, eine Kopie von Sasser.A/B über FTP herunterzuladen und auszuführen. Der befallene Host öffnet TCP-Port 5554 und akzeptiert alle FTP-Anfragen von infizierten Systemen. Die heruntergeladene Kopie des Wurms wird unter dem Namen nach de Muster, <Zufällige Integer-Zahl>_up.exe (z.B. 12345_up.exe) im Systemverzeichnis abgelegt. Die neuesten Signaturen der Antivirenhersteller sollten Sasser entdecken und entfernen. Patches für die SSL- sowie die LSASS-Lücke hatte Microsoft am Patch-Day des Monats April veröffentlicht. Die zugehörigen tecCHANNEL-Security-Reports zu beiden Lücken finden Sie hier.

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security-Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (uba)