Aktuelle Bedrohung: Sasser

McAfee Avert Stinger: Viren- und Wurm-Killer

Aktuelle Bedrohung: Sasser

Seit kurzem verbreitet sich der neue Internet-Wurm Sasser mit rasantem Tempo. Wie schon der berüchtigte Blaster-Wurm nutzt er eine Sicherheits-Lücke in Windows für die Verbreitung.


		Sasser: Der Wurm kann durch einen Crash des betroffenen Windows-Service einen Neustart verursachen.

Die neueste Wurm-Bedrohung für Windows-Nutzer kommt nicht per E-Mail, sondern über eine Lücke im Betriebssystem. Der Schädling Sasser, bisher in vier Ausprägungen unterwegs, sucht durch zufällig erzeugte IP-Adressen infizierbare Rechner.

Wird Sasser fündig, kopiert er sich als Datei avserve.exe ins Windows-Verzeichnis. Außerdem legt er einen Registry-Eintrag an, der ihn bei jedem Windows-Start automatisch hochfährt. Sasser erzeugt einen Buffer-Overflow, installiert einen FTP-Server und lädt die eigentliche Schadroutine nach, die dann wieder versucht, andere anfällige Rechner zu finden.

Betroffen sind Windows 2000, XP und Server 2003. Patches und Beschreibung der Lücke hat Microsoft bereits Mitte April im Security-Bulletin MS04-011 bereit gestellt. Darin wird empfohlen, die Updates so schnell wie möglich einzuspielen.

Runterfahren des Systems verhindern
Ein Problem ergibt sich, falls der von Sasser genutzte Windows-Dienst crasht. Windows will dann das System neu starten. Mit dem Befehl "shutdown -a" können Sie den Neustart verhindern. Die bessere Alternative: Trennen Sie den infizierten Rechner vom Netz und holen Sie sich Stinger von einem Zweit-PC.