Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

07.05.2004 - 

Schädling legt Postbank lahm

Wurm Sasser grassiert im weltweiten Netz

MÜNCHEN (CW) - Für viele Administratoren fiel dieses Jahr der Tanz in den Mai aus. Wurm "Sasser" und seine Varianten befielen binnen weniger Tage weltweit Millionen von Rechnern. Opfer des Schädlings, der eine Sicherheitslücke in Microsoft-Betriebssystemen ausnützt, war unter anderen die Postbank.

Sasser und seine mittlerweile bekannten Varianten B, C und D verbreiten sich im Gegensatz zu Würmern wie "Sober" und "Netsky" nicht als E-Mail-Anhang. Es genügt eine einfache Internet-Verbindung, um sich den Schädling im Netz einzufangen. Damit gleicht die Verbreitungsweise der des Wurms "Blaster".

Sasser nutzt eine Sicherheitslücke im Windows-Dienst Local Security Authority Subsystem Service (LSASS). Betroffen sind Rechner mit den Windows-Varianten XP, 2000 und Server 2003, die diesen Dienst standardmäßig aktiviert haben. Der Wurm verursacht einen Speicherüberlauf und schleust sich über den Port 9996 in das System. Dort trägt sich der Wurm in die Windows-Registry ein, so dass er bei jedem Windows-Start automatisch aktiviert wird. Mit Hilfe von zufällig generierten IP-Adressen verbreitet er sich automatisch weiter.

Bislang wurden keine zusätzlichen Schadensroutinen entdeckt, die weiteres Unheil auf den befallenen Systemen anrichten könnten. Hersteller von Antivirensoftware wie Symantec, Network Associates und Trend Micro stellten auf ihren Web-Seiten Werkzeuge zur Verfügung, mit deren Hilfe sich der Wurm identifizieren und entfernen lässt. Microsoft hat bereits Mitte April Informationen über die Sicherheitslücke veröffentlicht und einen entsprechenden Patch bereitgestellt. Experten äußerten sich erstaunt darüber, wie schnell die Virenprogrammierer darauf reagiert haben - offensichtlich deutlich schneller als die Anwender.

Auch Microsoft-Chef Steve Ballmer räumte ein, dass die Virenschreiber eifrige Leser der Sicherheitsbulletins aus seinem Hause seien. Offenbar hätten die Übeltäter Sicherheitsinformationen dazu genutzt, den Wurm möglichst schnell und effizient in das World Wide Web einzuschleusen, erläuterte Ballmer, der Anfang Mai in Berlin mit Bundesinnenminister Otto Schily über eine verbesserte Zusammenarbeit in Sachen Sicherheit beriet.

Über die Schäden, die Sasser im World Wide Web anrichtete, liegen unterschiedliche Informationen vor. Mikko Hyppönen, Sicherheitsexperte des finnischen Unternehmens F-Secure, schätzte die Zahl der weltweit befallenen Systeme auf rund sechs Millionen. Vertreter der US-amerikanischen Firma Panda Software sprachen sogar von bis zu 18 Millionen infizierten Rechnern.

Erwischt hat es auch das Bankgeschäft der Deutschen Post. Laut einem Bericht der Hannoverschen "Neuen Presse" sei das bundesweite Netz der Bank bei der Abwehr des Wurms zusammengebrochen. Rund 300000 Systeme seien davon betroffen gewesen. Danach habe das Unternehmen das Sicherheitsniveau drastisch erhöht und seine Firewall derart restriktiv konfiguriert, dass die Filialen nur noch eingeschränkt arbeiten konnten. Viele Kunden hätten Geld weder einzahlen noch abheben können. Mittlerweile funktionierten die Systeme wieder, versicherte ein Sprecher der Deutschen Post. Außerdem habe sich der Ausfall für die Kunden nicht schlimm ausgewirkt, da die EC-Automaten von dem Ausfall nicht betroffen gewesen seien.

In Taiwan schlug der Schädling ebenfalls zu. Rund ein Drittel aller Postfilialen konnten dort wegen der Sasser-Attracke nicht arbeiten. Betroffen waren 430 Büros mit etwa 1600 Angestellten. Die finnische Bank Sampo schloss vorsorglich ganz ihre Türen. Man habe es versäumt, den Virenschutz der Bankrechner auf den neuesten Stand zu bringen, räumte das Finanzinstitut ein. (ba)