Millionen Rechner leiden unter „Sasser“

Larz · 4. Mai 2004, 18:16

Millionen Rechner leiden unter „Sasser“

04. Mai 2004 Ein neuer Computerwurm hat sich zum Wochenbeginn in kurzer Zeit in den weltweiten Datennetzen verbreitet. Ähnlich wie der „Blaster“-Wurm im vergangenen Jahr infiziert „Sasser“ den PC nicht über eine E-Mail, sondern allein durch den Anschluß ans Netz. Ein befallener Rechner muß immer wieder neu starten, so daß man nicht mehr mit ihm arbeiten kann. Weltweit sind nach Schätzungen des finnischen Virusexperten Mikko Hyppoenen mindestens sechs Millionen Rechner befallen, amerikanische Schätzungen gehen sogar von 18 Millionen beeinträchtigten Rechnern aus. Eine B-Variante sowie eine C-Variante des Virus' sind ebenfalls unterwegs, so daß weitere Ausfälle durch „Sasser“ zu befürchten sind.

Betroffen sind Computer mit den Betriebssystemen Windows 2000 und Windows XP, die ohne den zusätzlichen Schutz einer „Firewall“ direkt mit dem Computernetz verbunden sind. In diesen Fällen reicht bereits eine Internet-Verbindung von wenigen Sekunden, um mit „Sasser“ infiziert zu werden. Die Schadenssoftware installiert sich in das „Run“-Verzeichnis der Windows-Registry, dem Herzstück des Betriebssystems, und startet damit automatisch im Anschluß an das Booten, also den Startvorgang von Windows.

BSI: Sehr hohe Verbreitung

Um sich effektiv zu verbreiten, erzeugt der Wurm zufällige IP-Adressen, also jene Ziffernfolge, die jeden Computer im Netz eindeutig bezeichnen. Danach versucht der Wurm, über einen bestimmten „Port“ einzudringen - das ist eine Übergabestelle für Daten aus dem Netz. Der Wurm nutzt eine Sicherheitslücke im so genannten „Local Security Authority Subsystem Service“ (LSASS) des Betriebssystems aus. Beim Start des befallenen Rechners erscheint eine entsprechende Fehlermeldung mit dem Hinweis auf die Datei lsass.exe.

Michael Dickopf, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) sagte am Montag, der Wurm habe sich bereits sehr weit verbreitet - auch auf zahlreichen Rechnern in Deutschland. Um den Kreislauf der ständigen Neustarts zu unterbrechen und einen „Patch“ von Microsoft zur Schließung der Sicherheitslücke aufzuspielen, sollte man unter „Start, Ausführen“ den Befehl eingeben: „shutdown /a“. Danach läßt sich der Wurm auch mit Hilfe eines kleinen Programms beseitigen, den Hersteller von Antivirus-Software oder Microsoft selbst bereitstellen.

Tausende Arbeitsplätze nicht nutzbar

Beträchtliche Schäden wurden außer aus Deutschland auch aus Griechenland , Andorra und Spanien gemeldet. Vor allem aber waren die Vereinigten Arabischen Emirate, Panama, Estland und Taiwan betroffen. In Taiwan lähmte der Wurm ein Drittel der Postfilialen. Rund 1600 Arbeitsplätze in den 430 Büros konnten nach Angaben des staatlichen Unternehmens nicht benutzt werden. Am stärksten betroffen waren die Bankgeschäfte der Post. Das Fernsehen zeigte Bilder von langen Schlangen, die sich vor vielen Postfilialen bildeten.

In Finnland schloß die drittgrößte Bank des Landes, Sampo, ihre 130 Zweigstellen. Die Vorsichtsmaßnahme sei getroffen worden, weil der Virusschutz der Bankcomputer nicht aufgefrischt worden sei, sagte Banksprecher Hannu Vuolo. Sampo hat rund eine Million Kunden weltweit. In den USA mußten bereits am Sonntag Flüge der „Delta Airlines“ gestrichen werden - auch dies eine Folge von „Sasser“.

User mißachten Sicherheitspatches

Daß viele Computer-Nutzer trotz zahlreicher Virenangriffe in den vergangenen Monaten kein Reparaturprogramm auf ihren Windows-Rechner geladen haben, liegt nach Ansicht des BSI daran, daß es analog zur Flut der Viren auch eine Flut an Sicherheitspatches gegeben habe. Diese würden von vielen Anwedern allerdings kaum noch beachtet, erläuterte BSI-Sprecher Dickopf. Viele Computerbesitzer ließen sich für Windows-Sicherheitsprobleme erst dann sensibilisieren, wenn es bereits zu spät und der eigene Rechner befallen sei.

Die Firma Microsoft, deren Betriebssystem Windows in erster Linie von „Sasser“ betroffen ist, bietet auf folgender Webseite Abhilfe-Patches und Informationen für betroffene User an:

microsoft.com/germany/ms/security/sasser.mspx

Text: @dho, mit Material von dpa und AFP

wer ( hat schon ) von euch den virus gehabt ? ich hab ein router aber kein sicherheits programm wie zb. Norton .... ich bin mir nicht sicher aber jemand sagte mir wen du ein router hast dan kan dir nix passieren stimt das ? -.-

xeNi · 4. Mai 2004, 18:45

ich habe den nicht. will den auch nicht haben

zudem denke ich das mein Rechner soweit sicher vor sowas ist werden wir ja sehen

Mr. Pain · 4. Mai 2004, 18:47

ka, aber ich denke die meisten hier benutzen eine Firewall,
ist ja auch sehr wichtig im Internet!

MfG
Mr. Pain

Quacks · 4. Mai 2004, 19:45

Eine Firewall ist ganz gut, nützt aber nichts wenn sie nicht aktuell gehalten wird!

Commander21 · 4. Mai 2004, 21:49

router mit sicherheitseinstellungen + free-av.de (ziemlich guter gratisscanner) + ständig aktuelle patches + eingeschränkte benutzerrechte unter windows im normalbetrieb (extra admin-konto für systemwartung und installationen)

das ist mein sicherheitsprogramm, und das hat mich bisher vor so ziemlich jedem virus/wurm bewahrt.

Cr4$H !T · 4. Mai 2004, 22:14

ich hab kurz meine firewall ausgemacht, weil ich dachte das sie was blockt, was sie nicht blocken sollte und zack, sasser drauf

hab ihn aber schon wieder weg gebracht

schaegi · 5. Mai 2004, 09:39

Hatte auch grad den scheiß Sasser drauf, habe jetzt WinXP komplett geupdatet und diese Sasser-Entfernungsprogramme laufen lassen.

Ich hoffe, dass jetzt wieder alles in Ordnung ist.

Helfen denn eigentlich Virenscanner gegen sowas nicht, braucht man da zusätzlich noch eine Firewall?

Sunrise · 5. Mai 2004, 11:36

Die ersten Tage hatte ich den noch nicht.

Aber gestern hats gleich meine beiden Rechner erwischt.
mit dem Laptop war ich grad mal 2 Minuten im Internet, schon hatte ich ihn.

Nützlich is auch noch wenn man weis, das man die Shutdown-Routine die der Wurm auslösen kann, beenden kann indem man in die Eingabeaufforderung folgendes eingibt: "shutdown -a"

Primo · 5. Mai 2004, 12:36

ein Verwandter hatte den, der Virus is aber ansich nicht schlimm
Sicherheitspatch drauf, Stinger (McaAfee "tool") über die Festplatte zur Sicherheit laufen lassen und weg is er
Verbreitet hat er sich echt schnell

Toxic*9 · 5. Mai 2004, 12:55

also, ich hatte mir den auch gefangen, musste daraufhin mein system neu aufsetzen.

hab aber bevor ich ins netz gegangen bin, mir ne mcafee firewall und nen antivirus draufgezogen und hab nun keine probleme mit viren, hackern aller art!

Larz · 5. Mai 2004, 21:00

also ich hatte bis jetzt noch gar kein problem ich hab gehört wen man outlook aufmacht dan komt der wurm ( habe ich gemacht ... ) und ich hab nur ein router kein antivirus programm nix .... o0 und habe den wurm nicht bekommen .... -.- liegt das dan am router ne ? die haben bestimt nur bestimte ports offen wo sonst keiner rein kann ;p sry kenn mich net so gut aus mit ports und router *hrhr*

mfG Larz

Teilen