Alias Namen: Worm/Sasser.A, WORM_SASSER.A, Worm.Win32.Sasser.a, W32.Sasser.Worm
Virentyp: Wurm (ca. 15 KB)
Verbreitung: Über Netzwerk, nutzt dabei Sicherhheitlücke "LSASS (Local Security Authority Subsystem Service)" des Windows - Betriebssystems. Achtung! - NICHT über E-Mail!!!
Erkennbare Anzeichen einer Infektion: "avserve.exe", "avserve2.exe" oder "skynetave.exe" (es gibt mehrere Wurm-Varianten) im Windows Verzeichnis, Fehlermeldung Absturz des Dienstes LSA Shell - Rechner fährt von alleine herunter und startet immer wieder neu.
Bekannte Schäden: W32/Sasser scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die ebenfalls diese Sicherheitslücke aufweisen und verbreitet sich über diesen Wege weiter. Lädt den Wurm von infizierten Systemen via FTP nach (über Port 5554). Verursacht Systemabstürze (siehe unter "Erkennbare Anzeichen...). Legt Eintrag in der Registry zwecks Autostart an, kopiert sich mehrfach unter verschiedenen Namen in das Windows - Verzeichnis. Diese Kopien tragen Dateinamen nach dem Muster "xxxxx_up.exe" (wobei "x" für ein zufällig gewählte Ziffernfolge steht) Lokale Schäden wie z.B. Datenveränderungen oder -verluste sind nicht bekannt.
Gegenmittel: Zur Vorbeugung und auch Nachsorge wird DRINGEND empfohlen den entsprechenden Sicherheitspatch der Firma Microsoft zu installieren!!! Nur entfernen reicht nicht aus, da der Wurm wiederkehren kann!!! Entfernung als kostenloses Removal Tool bei uns erhältlich oder von Symantec ,"Stinger" von McAfee
Informationen Englisch: Sophos | McAfee | Symantec | F-Secure | Norman | CAI |
Informationen Deutsch: H+BEDV | Ikarus | TrendMicro | |