TREND MICRO (Nasdaq: TMIC, TSE:4704), einer der weltweit führenden Hersteller von Web-basierter Antiviren- und eSecurity-Software, warnt alle Computernutzer vor einer neuen Malware-Familie, die unter dem Namen WORM_SASSER bekannt geworden ist. Zur Verbreitung scannen die Würmer der SASSER-Familie nach dem Zufallsprinzip eine Vielzahl von IP-Adressen. Wird dabei ein potenzielles Opfer gefunden, nutzt der Malicious Code eine bereits von Microsoft veröffentlichte Schwachstelle des Windows Betriebssystems, um einen Buffer Overrun auszulösen. Von der SASSER-Familie sind grundsätzlich alle Computersysteme mit Internetanbindung bedroht, vom Unternehmensnetzwerk bis zum Heim-PC mit Breitband-Verbindung. Seit dem 1. Mai 2004 wurde TREND MICRO das Auftreten verschiedener Wurm-Varianten aus Europa, Asien, Lateinamerika und den USA gemeldet. SASSER ist zwar nicht der erste Malicious Code, der die beschriebene Windows-Schwachstelle ausnutzt, aber durch die eingesetzten Methoden erreicht der Wurm exponentielle Verbreitungsraten.
WORM_SASSER attackiert gezielt eine Schwachstelle im Local Security Authority Subsystem (LSASS) des Windows Betriebssystems. Durch einen Buffer Overrun kann Remote Code ausgeführt werden, sodass ein Angreifer die volle Kontrolle über den betroffenen Computer erhalten kann. Zur Weiterverbreitung führen SASSER-Varianten darüber hinaus einen Scan zufälliger IP-Adressen durch, um verwundbare Systeme aufzuspüren. Sobald der Malicious Code ein potenzielles Angriffsziel findet, versendet er ein speziell präpariertes Datenpaket an die IP-Adresse. Dadurch wird ein Buffer Overrun in der LSASS.EXE ausgelöst, was einen Absturz des Programms sowie einen Windows-Neustart zur Folge hat.
Wie schon bei den MSBLAST-Varianten ist es auch bei SASSER sehr wichtig, alle Windows-Stationen, die über eine Netzwerkverbindung verfügen, mit dem entsprechenden Patch von Microsoft auszustatten. Das Sicherheitsupdate steht unter http://www.microsoft.com/... zum Download bereit.
Durch die Verwendung von IP-Adressen können SASSER-Varianten im globalen Internet sowie innerhalb ganzer Netzwerk-Segmente nach potenziell verwundbaren Computern suchen. Die Zahl der Infektionen steigt dabei exponentiell, da jedes befallene System wiederum für das Aufspüren neuer Angriffsziele eingesetzt wird.
"Eine wachsende Zahl von Infektionen kann zu einem Ansteigen des Netzwerk-Datenverkehrs führen. Das Ergebnis ist eine ernsthafte Beeinträchtigung der Netzwerk-Leistung, zu vergleichen mit einer internen Denial-of-Service-Attacke", so Joe Hartmann, Senior Virus Researcher und Analyst bei TREND MICRO.
Die LSASS-Schwachstelle ist seit dem 13. April 2004 bekannt. Bereits 16 Tage später wurde eine Variante des Wurms AGOBOT (WORM_AGOBOT.JF) entdeckt, der diese Sicherheitslücke angriff. Im Vergleich dazu lagen beim BLASTER-Wurm (August 2003) noch 26 Tage zwischen Veröffentlichung der Schwachstelle und Ausbruch des Malicious Code. Dies ist ein weiterer Beleg dafür, dass Virenprogrammierer heute in der Lage sind, Sicherheitslücken in Programmen oder Betriebssystemen immer schneller gezielt anzugreifen. Auch der BLASTER-Wurm suchte über zufällig generierte IP-Adressen nach Angriffszielen und nutzte eine bekannte Schwachstelle aus. WORM_AGOBOT.JF verbreitete sich in Netzwerken über bestimmte SMB-Shares. Dies erklärt die geringere Infektionsrate, da SMB nur in lokalen Netzen eingesetzt wird.
Varianten von WORM_SASSER versenden sich als Datei (16KB) über das FTP Protokoll, allerdings nicht über die Standardports 20 und 21 sondern über die Ports 5554 und 9996. Bedroht sind Rechner mit den Betriebssystemen NT, 2000 und XP. Windows 9x/ME-basierte Systeme könnten die Datei zwar ausführen, aber die Verbreitung durch die Routinen der WORM_SASSER-Varianten schlägt auf diesen Systemen trotzdem fehl.
TREND MICRO stellt Pattern-Files zum Download bereit
Kunden von TREND MICRO sind ab dem Pattern-File 883 vor dem Malicious Code geschützt. Anwender der TREND MICRO Outbreak Prevention Services sollten zudem die OPP 112 herunterladen, um der Verbreitung entgegenzuwirken. Im Rahmen der TREND MICRO Damage Cleanup Services wird ab sofort das Damage Cleanup Template 334 zur Wiederherstellung befallener Systeme bereitgestellt. Die TREND MICRO Network VirusWall 1200 erkennt die Bedrohung ab Pattern-File 10124. Im Vulnerability-Assessment-Pattern 010 ist darüber hinaus die entsprechende Sicherheitslücke beschrieben.
TREND MICRO rät allen Kunden dringend, die von Microsoft bereitgestellten Security-Patches für die LSASS-Schwachstelle zu installieren.
Unter http://de.trendmicro-europe.com/... bietet
TREND MICRO einen kostenlosen Online-Scanner für alle Computernutzer
Weitere Informationen finden sich unter
http://de.trendmicro-europe.com/...
WORM_SASSER attackiert gezielt eine Schwachstelle im Local Security Authority Subsystem (LSASS) des Windows Betriebssystems. Durch einen Buffer Overrun kann Remote Code ausgeführt werden, sodass ein Angreifer die volle Kontrolle über den betroffenen Computer erhalten kann. Zur Weiterverbreitung führen SASSER-Varianten darüber hinaus einen Scan zufälliger IP-Adressen durch, um verwundbare Systeme aufzuspüren. Sobald der Malicious Code ein potenzielles Angriffsziel findet, versendet er ein speziell präpariertes Datenpaket an die IP-Adresse. Dadurch wird ein Buffer Overrun in der LSASS.EXE ausgelöst, was einen Absturz des Programms sowie einen Windows-Neustart zur Folge hat.
Wie schon bei den MSBLAST-Varianten ist es auch bei SASSER sehr wichtig, alle Windows-Stationen, die über eine Netzwerkverbindung verfügen, mit dem entsprechenden Patch von Microsoft auszustatten. Das Sicherheitsupdate steht unter http://www.microsoft.com/... zum Download bereit.
Durch die Verwendung von IP-Adressen können SASSER-Varianten im globalen Internet sowie innerhalb ganzer Netzwerk-Segmente nach potenziell verwundbaren Computern suchen. Die Zahl der Infektionen steigt dabei exponentiell, da jedes befallene System wiederum für das Aufspüren neuer Angriffsziele eingesetzt wird.
"Eine wachsende Zahl von Infektionen kann zu einem Ansteigen des Netzwerk-Datenverkehrs führen. Das Ergebnis ist eine ernsthafte Beeinträchtigung der Netzwerk-Leistung, zu vergleichen mit einer internen Denial-of-Service-Attacke", so Joe Hartmann, Senior Virus Researcher und Analyst bei TREND MICRO.
Die LSASS-Schwachstelle ist seit dem 13. April 2004 bekannt. Bereits 16 Tage später wurde eine Variante des Wurms AGOBOT (WORM_AGOBOT.JF) entdeckt, der diese Sicherheitslücke angriff. Im Vergleich dazu lagen beim BLASTER-Wurm (August 2003) noch 26 Tage zwischen Veröffentlichung der Schwachstelle und Ausbruch des Malicious Code. Dies ist ein weiterer Beleg dafür, dass Virenprogrammierer heute in der Lage sind, Sicherheitslücken in Programmen oder Betriebssystemen immer schneller gezielt anzugreifen. Auch der BLASTER-Wurm suchte über zufällig generierte IP-Adressen nach Angriffszielen und nutzte eine bekannte Schwachstelle aus. WORM_AGOBOT.JF verbreitete sich in Netzwerken über bestimmte SMB-Shares. Dies erklärt die geringere Infektionsrate, da SMB nur in lokalen Netzen eingesetzt wird.
Varianten von WORM_SASSER versenden sich als Datei (16KB) über das FTP Protokoll, allerdings nicht über die Standardports 20 und 21 sondern über die Ports 5554 und 9996. Bedroht sind Rechner mit den Betriebssystemen NT, 2000 und XP. Windows 9x/ME-basierte Systeme könnten die Datei zwar ausführen, aber die Verbreitung durch die Routinen der WORM_SASSER-Varianten schlägt auf diesen Systemen trotzdem fehl.
TREND MICRO stellt Pattern-Files zum Download bereit
Kunden von TREND MICRO sind ab dem Pattern-File 883 vor dem Malicious Code geschützt. Anwender der TREND MICRO Outbreak Prevention Services sollten zudem die OPP 112 herunterladen, um der Verbreitung entgegenzuwirken. Im Rahmen der TREND MICRO Damage Cleanup Services wird ab sofort das Damage Cleanup Template 334 zur Wiederherstellung befallener Systeme bereitgestellt. Die TREND MICRO Network VirusWall 1200 erkennt die Bedrohung ab Pattern-File 10124. Im Vulnerability-Assessment-Pattern 010 ist darüber hinaus die entsprechende Sicherheitslücke beschrieben.
TREND MICRO rät allen Kunden dringend, die von Microsoft bereitgestellten Security-Patches für die LSASS-Schwachstelle zu installieren.
Unter http://de.trendmicro-europe.com/... bietet
TREND MICRO einen kostenlosen Online-Scanner für alle Computernutzer
Weitere Informationen finden sich unter
http://de.trendmicro-europe.com/...
