AA

Internet: Warnung vor Sasser-Wurm

Vom neuesten Computerwurm "W32.Sasser" sind nach Beobachtungen des Viren-Experten Thomas Mandl im Internet "ziemlich viele Pakete unterwegs".

Einer exakten Zählung der Infektionsraten entzieht sich der Wurm, der seit Samstag in drei Varianten – A, B und C – sein Unwesen treibt, allerdings dadurch, dass er sich nicht via e-mail verbereitet, sondern ungeschützte Computer direkt attackiert. Das bedeutet auch, dass es nicht nötig ist, irgendwo doppelzuklicken, um ihn sich einzufangen.

Sasser dringt wie der mittlerweile berühmte „Blaster.Worm“ direkt in den Computer ein, und zwar via TCP, dem „Transmission Control Protocol“, das für die Interneteinbindung sorgt. Extrem gefährlich ist Sasser im Prinzip nicht – eine Infektion führt „nur“ tendenziell zum Absturz des Computers durch Überlastung (volle CPU-Belastung, ersichtlich im Taskmanager unter „Systemleistung“). Schließlich geht das infizierte System durch eine Sicherheitslücke alle paar Minuten in einen Reboot-Vorgang. Betroffen sind laut Ikarus nur Betriebssysteme von Windows (WinXP, Win2000 und Windows Server2003) betroffen, nicht jedoch Linux Derivate und Apple Systeme.

Laut Mandl wird die Verbreitung von Sasser solange nicht zurückgehen bzw. sogar steigen, bis möglichst viele Internet-User den von Microsoft angebotenen „Sicherheitspatch“, der die Lücke im System schließt, installiert oder eine Personal Firewall aktiviert haben. Der Microsoft-Sicherheitspatch ist unter folgender Adresse kostenlos erhältlich:
www.microsoft.com. Eine ebenfalls kostenlose Shareware-Firewall wie etwa „ZoneAlarm“ reicht übrigens ebenfalls, um Sasser abzuwehren (Download der Gratis-Home-Edition via www.zonelabs.com/). Diagnostizieren lässt sich ein Sasser-Befall laut Ikarus Software durch die Existenz der Datei „avserve2.exe“ oder „avserve2.exe“ im Windows-Verzeichnis sowie den zusätzlichen Task „avserve.exe“ im Taskmanager. Hat der Wurm einen PC erfolgreich infiziert, startet er 128 Prozesse, die alle nach zufällig generierten IP-Adressen suchen, an die sich der Wurm weiterverschicken möchte. Dies kostet derart viel CPU Leistung, dass selbst leistungsstarke PC beinahe unbedienbar werden. Der Wurm schützt diesen „Scann-Vorgang“ nach neuen Zielen zusätzlich, indem er einen Abbruch oder Restart mit Hilfe der Abort-System-Shutdown API verhindert.

  • VIENNA.AT
  • Chronik
  • Internet: Warnung vor Sasser-Wurm
  • Kommentare
    Die Kommentarfunktion ist für diesen Artikel deaktiviert.