hi folks,
Der neue Wurm Sasser benötigt - wie ehemals Blaster - keinerlei Zutun des Anwenders, um sich auf dem Rechner des Opfers zu installieren.
Er nutzt dabei ein Sicherheitsloch im Microsoft Local Security Authority Subsystem Service (LSASS) (lsasrv.dll) der unter anderem zur Authentifizierung von Systemen in Netzwerken dient um sich zu verbreiten.
Microsoft hat zwar bereits einen Patch für diese Schwachstelle bereitgestellt, nur führt diese bei diversen Systemen zur vollständigen Systemauslastung bis hin zum Systemabsturz (siehe Heise).
heise.de/newsticker/meldung/46716
Details:
- Sasser scant auf willkürlich generierten IP-Adressen den Port 445 TCP
- Auf den betroffenen Systemen installiert der Wurm einen FTP-Server, der auf Port 5554 TCP listet
- weiterhin öffnet er eine Remoteshell, die auf demPort 9996 TCP listet
- Auf befallenen Systemen wird folgender Registry-Key abgelegt:
- Das Programm befindet sich im Windows-Stammordner und nennt sich avserve.exe
!!! --> also auf dem System nach avserve suchen <--- !!!
- Weiterhin wird eine Datei namens c:win.log angelegt
Über folgende Ports kann die LSASS-Schwachstelle
ausgenutzt werden:
TCP 135, 139, 445, 593 und UDP 135, 137, 138, 445
!!!! --> also diese Ports schliessen <-- !!!!
Gefahrenpotential:
Da Sasser über keine bisher bekannte Schadroutine
verfügt, ist das Gefahrenpotential die direkt von diesem Wurm ausgeht eher gering.
Da er jedoch Dienste von aussen erreichbar macht bzw.
nachinstalliert ist alleine durch diesen Umstand ein sehr hohes Gefahrenpotential vorhanden.
Das Prob ist, ein mit Sasser infizierter Rechner
ist für jeden beliebigen Internetuser über die
Telnetshell erreichbar.
Da dieser auch mit Admin-Rechten ausgestattet ist, kann
der Angreifer beliebige Aktionen auf dem System ausführen!
(d.h. er kann und darf ALLES MACHEN)!!!
XX(
Mit hoher Wahrscheinlichkeit stellen jedoch "nur" die
Nachfolgevarianten Sasser b und c eine solche Loginshell zur Verfügung,
da alle getesteten Systeme über eine Datei namens c:win2.log verfügten,
der ursprüngliche Sasser-Wurm a jedoch die Datei c:win.log anlegt
Da in einem relativ schmalen Adressbereich immerhin 18
Hosts mit Sasser infiziert waren,
kann von einer geringen Verbreitung nicht mehr die Rede sein.
Abhilfe:
Die sicherste Methode ist, den Patch von Microsoft zu installieren;
da dieser jedoch u.U. Dein System instabil machen kann
raten wir, bis zum Update des Patches zu warten
[hatte keine Probs]
und die betroffenen Ports entweder über windowseigene Mittel zu schliessen
(IP-Filter in den Netzwerkoptionen)
oder einen Paketfilter nachzuinstallieren.
Norton/Symantec - Removaltool:
securityresponse.symantec.com/….sasser.removal.tool.html
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
auspacken,
kurz in die Info schauen,
!!-- ins Internet einwählen --!!
auf die Exe ein Doppelklick,
dann müsste oben links Eure augenblickliche IP stehen
xxx.xxx.xxx.xxx,
neben der IP einmal auf -> klicken, damit die IP
übertragen wird (nach rechts)
nun noch auf das blaue Dreieck zum Scannen klicken und
schauen, ob man als volunerable (gefährdet/verletzlich) gilt;)
thats all
... be carefull & have fun ...
Der neue Wurm Sasser benötigt - wie ehemals Blaster - keinerlei Zutun des Anwenders, um sich auf dem Rechner des Opfers zu installieren.
[es ist also nur eine Frage der Zeit, wann es einen ungeschützten Rechner trifft !!!]
gilt für Win2000 und XP
gilt für Win2000 und XP
Er nutzt dabei ein Sicherheitsloch im Microsoft Local Security Authority Subsystem Service (LSASS) (lsasrv.dll) der unter anderem zur Authentifizierung von Systemen in Netzwerken dient um sich zu verbreiten.
Microsoft hat zwar bereits einen Patch für diese Schwachstelle bereitgestellt, nur führt diese bei diversen Systemen zur vollständigen Systemauslastung bis hin zum Systemabsturz (siehe Heise).
heise.de/newsticker/meldung/46716
Details:
- Sasser scant auf willkürlich generierten IP-Adressen den Port 445 TCP
- Auf den betroffenen Systemen installiert der Wurm einen FTP-Server, der auf Port 5554 TCP listet
- weiterhin öffnet er eine Remoteshell, die auf demPort 9996 TCP listet
- Auf befallenen Systemen wird folgender Registry-Key abgelegt:
- Das Programm befindet sich im Windows-Stammordner und nennt sich avserve.exe
!!! --> also auf dem System nach avserve suchen <--- !!!
- Weiterhin wird eine Datei namens c:win.log angelegt
Über folgende Ports kann die LSASS-Schwachstelle
ausgenutzt werden:
TCP 135, 139, 445, 593 und UDP 135, 137, 138, 445
!!!! --> also diese Ports schliessen <-- !!!!
Gefahrenpotential:
Da Sasser über keine bisher bekannte Schadroutine
verfügt, ist das Gefahrenpotential die direkt von diesem Wurm ausgeht eher gering.
Da er jedoch Dienste von aussen erreichbar macht bzw.
nachinstalliert ist alleine durch diesen Umstand ein sehr hohes Gefahrenpotential vorhanden.
Das Prob ist, ein mit Sasser infizierter Rechner
ist für jeden beliebigen Internetuser über die
Telnetshell erreichbar.
Da dieser auch mit Admin-Rechten ausgestattet ist, kann
der Angreifer beliebige Aktionen auf dem System ausführen!
(d.h. er kann und darf ALLES MACHEN)!!!
XX( Mit hoher Wahrscheinlichkeit stellen jedoch "nur" die
Nachfolgevarianten Sasser b und c eine solche Loginshell zur Verfügung,
da alle getesteten Systeme über eine Datei namens c:win2.log verfügten,
der ursprüngliche Sasser-Wurm a jedoch die Datei c:win.log anlegt
Da in einem relativ schmalen Adressbereich immerhin 18
Hosts mit Sasser infiziert waren,
kann von einer geringen Verbreitung nicht mehr die Rede sein.
Abhilfe:
Die sicherste Methode ist, den Patch von Microsoft zu installieren;
da dieser jedoch u.U. Dein System instabil machen kann
raten wir, bis zum Update des Patches zu warten
[hatte keine Probs]
und die betroffenen Ports entweder über windowseigene Mittel zu schliessen
(IP-Filter in den Netzwerkoptionen)
oder einen Paketfilter nachzuinstallieren.
Norton/Symantec - Removaltool:
securityresponse.symantec.com/….sasser.removal.tool.html
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
für alle die mehrere Rechner betreuen und nicht
Wissen oder sicher sind ob der Patch (gegen den
Sasser-Wurm) eingespielt ist, gibt es ein Tool das
entweder einzelne IP-Adressen oder definierbare
Ranges scannt und einem mitteilt, welcher Rechner
ungeschützt ist.
Wenn man möchte, kann man an die entsprechenden
ungepatchten Rechner auch eine Nachricht senden.
Das Tool nennt sich DSScan und ist von Foundstone.
Unter folgendem Link kann das Tool gedownloadet werden:
foundstone.com/resources/termsofuse.htm?file=dsscan.zip
auspacken,
kurz in die Info schauen,
!!-- ins Internet einwählen --!!
auf die Exe ein Doppelklick,
dann müsste oben links Eure augenblickliche IP stehen
xxx.xxx.xxx.xxx,
neben der IP einmal auf -> klicken, damit die IP
übertragen wird (nach rechts)
nun noch auf das blaue Dreieck zum Scannen klicken und
schauen, ob man als volunerable (gefährdet/verletzlich) gilt;)
thats all
... be carefull & have fun ...
