Netzwerk-Wurm Sasser
Maßnahmen zu Schutz und Entfernung
Seit der Nacht vom 30.04. zum 01.05. verbreitet sich der Windows Netzwerkwurm
Sasser zunehmend stark. Er ist inzwischen in den
sechs Varianten a bis f im Umlauf (Stand: 11.05., 20 Uhr).
Betroffene Systeme:
-
Windows 2000, Windows XP, Windows Server 2003
Nicht betroffen:
-
Windows 95, Windows 98, Windows ME, Windows NT 4.0
B.) Ursache:
Dieser Wurm gelangt über eine Sicherheitslücke in Windows im "Local Security Authority Subsystem Service" (LSASS) auf nicht gepatchte Systeme, das heißt auf Systeme, für die
diese Sicherheitsupdates von Mitte April 2004 nicht installiert wurden.
Achtung! Die Datei
lsass.exe selbst ist nicht der Wurm. Es handelt sich dabei um eine Windows Systemdatei!
Für eine Infektion reicht - unter obiger Voraussetzung - also bereits das bloße Herstellen einer Internetverbindung aus! Allerdings muss nicht zwangsläufig jede lsass-Fehlermeldung auf eine erfolgte Installation des Wurmes hindeuten - auch ein
fehlgeschlagener Installationsversuch kann derartige Meldungen zur Folge haben. Ob nun eine wurmtypische Datei auf dem System entdeckt werden kann oder nicht - auf den fehlenden Patch sind diese Probleme in jedem Fall ein Hinweis.
Hier die Patches (Deutsche Versionen) zum Direktdownload für die beiden gängigsten Betriebssysteme Windows 2000 und Windows XP:
D.) Wichtige Hinweise:
Mit Hilfe der erläuterten Maßnahmen können der offensichtliche Wurm entfernt sowie die Sicherheitslücke geschlossen werden, über die sich dieser Wurm verbreitet.
Das heißt aber ausdrücklich nicht, dass damit ein sauberes System sichergestellt ist, denn eine Systemkompromittierung, also ein Befall mit einem Wurm oder einer anderen Schadsoftware sollte immer ein Neuaufsetzen des Systems nach sich ziehen. Nur auf diese Weise ist wieder ein vertrauenswürdiges System zu gewährleisten, mit dem man auch beruhigt arbeiten kann.
Allerdings müssen dann
vor der ersten Internetverbindung die hier erläuterten Absicherungsmaßnahmen getroffen werden. Heißt also: Einspielen von Service-Packs und Patches, Konfigurieren der Dienste gemäß
http://www.ntsvcfg.de.
Des Weiteren ist im Allgemeinen das stete Aktuellhalten des Betriebssystems, also auch das Versorgen mit wichtigen Sicherheitsupdates ein
Muss für jeden Internetnutzer. Alle 14 Tage sollte z.B. über einen Besuch der Seite
http://windowsupdate.microsoft.com geprüft werden, ob neue Patches zur Verfügung stehen. Weitere Updatemöglichkeiten:
-
Kostenfreie Update-CD von Microsoft zum Aufspielen grundlegender großer Update-Pakete (der Rest muss allerdings weiterhin über das Internet nachgeladen werden).
-
Diese großen Update-Pakete finden sich auch auf einigen Zeitschriften-CD's. Hier gilt ebenso: die aktuellsten Patches sind aus dem Internet nachzuladen.
-
Aktivieren des Windows Auto-Updates.
© Markus Klaffke 2004 |
Impressum | Kommentare, Anregungen, Verbesserungsvorschläge bitte an
email@klaffke.de mailen - vielen Dank!