Aktuelle Virenwarnung: Schutz vor Sasser

Begonnen von Mike, 03. Mai 2004, 22:36:54

« vorheriges - nächstes »

Mike

ZitatNews
   
Meldung vom 03.05.2004 11:17    [<< Vorige]   [Nächste >>]
Informationen zum Schutz vor Sasser

Der am Wochendende aufgetauchte Wurm Sasser hat schon Geschwister bekommen: Sasser.B ist deutlich aktiver als sein Vorgänger; Symantec hat ihn bereits in die Bedrohungsstufe 4 eingeordnet. Auch die Variante Sasser.C ist schon vereinzelt gesichtet worden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits seit Sonntag vor der akuten Bedrohung, auch Microsoft hat eine Warnung vor den Sasser-Würmern veröffentlicht und gibt Tips zum Schutz. Wie bei allen Bedrohungen durch Internetwürmer gilt auch hier der Dreisatz der Sicherheit: Patch einspielen, Firewall aktivieren und dem Wurm mit Reinigungs-Tools zu Leibe rücken. Außer Microsoft stellen auch Symantec (W32.Sasser Removal Tool), NAI (Stinger) und Trend Micro (System Cleaner) Sasser-Entfernungsprogramme bereit.

Die Sasser-Würmer kommen nicht via E-Mail ins Haus, sondern verbreiten sich ähnlich wie Blaster/Lovsan direkt übers Netz. Sie nutzen dazu einen Fehler in einem standardmäßig aktiven Windows-Dienst. Es genügt somit, einen ungepatchten Rechner ohne Firewall ans Internet anzuschließen, um sich Sasser einzufangen. Das Internet Storm Center registriert seit dem Wochenende eine signifikante Zunahme der Scans auf Port 445, den die Schädlinge nutzen, um neue Opfer zu infizieren.

Anwender von Windows XP können zum Schutz die eingebaute Firewall aktivieren. Normalerweise sollte diese ohnehin für DFÜ-Verbindungen aktiviert sein, allerdings hebelt die Zugangssoftware einiger Provider diese Standardeinstellung aus, in dem sie eigene Verbindungen definiert. Im Zweifel sollte der Provider beziehungsweise Hersteller zu Rate gezogen werden. Anwender von Windows 2000 sollten sich eine Personal Firewall installieren. Kostenlose Versionen stellen unter anderem Kerio und ZoneLabs bereit.

Obwohl Sasser an vernünftig konfigurierten Firewall scheitern sollte, lehrt die Erfahrung mit Blaster, dass die Würmer beispielsweise über infizierte Notebooks auch Zugang zu internen Firmennetzen finden werden und dort dann ungehindert unter den oftmals ungepatchten Arbeitsplatzrechnern wüten. Umsichtige Netzwerk-Adminstratoren können vorbeugend mit dem Tool DSScan ihr Netz auf verwundbare Systeme scannen. Findet das kostenlose Programm von Foundstone einen ungepatchten Rechner, kann der Admin dem Anwender auch gleich ein einen passenden Hinweis schicken.

Sasser.A,.B und .C versuchen zwar auch andere Systeme anzugreifen, sind aber nur bei Windows 2000 und XP erfolgreich. Die Meldung, der Computer würde nun heruntergefahren, ist ein Indiz für einen fehlgeschlagenen Versuch des Wurms in den PC einzudringen. Allerdings ist die Wahrscheinlichkeit sehr hoch, dass der PC trotzdem bereits infiziert ist.

Siehe dazu auch:

   * BSI-Warnung zu Sasser
   * Beschreibung Sasser.B von Symantec

(dab/c't)