W32.Sasser.B.Worm

POWER BOARD
Verfügbare Informationen zu "W32.Sasser.B.Worm"
  • Qualität des Beitrags: 0 Sterne
  • Beteiligte Poster: driver87
  • Forum: POWER BOARD
  • Forenbeschreibung: Das ultimative Board
  • aus dem Unterforum: Aktuelle Viren
  • Antworten: 1
  • Forum gestartet am: Freitag 02.07.2004
  • Sprache: deutsch
  • Link zum Originaltopic: W32.Sasser.B.Worm
  • Letzte Antwort: vor 19 Jahren, 9 Monaten, 21 Tagen, 16 Stunden, 41 Minuten

    • Alle Beiträge und Antworten zu "W32.Sasser.B.Worm"

    Re: W32.Sasser.B.Worm

    driver87 - 03.07.2004, 18:23

    W32.Sasser.B.Worm
    W32.Sasser.B.Worm ist eine Variante von W32.Sasser.Worm. Der Wurm versucht, die im Microsoft Security Bulletin MS04-011 beschriebene LSASS-Sicherheitslücke auszunutzen, und verbreitet sich, indem er über willkürlich gewählte IP-Adressen nach anfälligen Systemen sucht.

    W32.Sasser.B.Worm unterscheidet sich folgendermaßen von W32.Sasser.Worm:

    * Er verwendet eine andere Mutex: Jobaka3.
    * Er verwendet einen anderen Dateinamen: avserve2.exe.
    * Er hat einen anderen MD5-Wert.
    * Er erstellt einen anderen Wert in der Registrierung: "avserve2.exe."

    Hinweise:

    * Der MD5-Hash-Wert für diesen Wurm lautet 0x1A2C0E6130850F8FD9B9B5309413CD00.
    * Symantec Security Response hat ein Programm zur Entfernung von W32.Sasser.B.Worm-Infektionen entwickelt.
    * Blockieren Sie auf der Perimeter-Firewall die TCP-Ports 5554, 9996 und 445 und installieren Sie den entsprechenden Microsoft-Patch (MS04-011), um zu verhindern, dass diese Schwachstelle ausgenutzt wird.

    W32.Sasser.B.Worm kann auch auf Windows 95/98/Me-Computern ausgeführt werden (ohne diese jedoch zu infizieren). Obwohl diese Betriebssysteme nicht infiziert werden können, so können sie jedoch zur Weiterverbreitung des Wurms auf damit verbundene, anfällige Systeme verwendet werden. In diesem Fall verbraucht der Wurm sehr viele Ressourcen. Dadurch können Programme, so auch unser Entfernungsprogramm, nicht mehr richtig ausgeführt werden. (Auf Windows 95/98/Me-Computern sollte das Programm im abgesicherten Modus ausgeführt werden.)

    Security Response hat einige Informationen zur Verfügung gestellt, um Netzwerkadministratoren bei ihren fortwährenden Bemühungen zu helfen, mit W32.Sasser.Worm infizierte Computer in ihren Netzwerken aufzuspüren. Weitere Informationen finden Sie im englischsprachigen Dokument Detecting traffic due to LSASS worms.

    Auch bekannt als: WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky], W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Associates]
    Varianten: W32.Sasser.Worm
    Typ: Wurm
    Infektionslänge: 15872 Byte



    Betroffene Systeme: Windows 2000, Windows XP
    Nicht betroffene Systeme: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003

    TECHNISCHE DETAILS

    Bei Ausführung geht W32.Sasser.B.Worm folgendermaßen vor:

    1. Er versucht, eine Mutex mit dem Namen JumpallsNlsTillt zu erstellen. Schlägt dies fehl, so wird der Wurm nicht ausgeführt. Hierdurch wird sichergestellt, dass immer nur eine Instanz des Wums zur selben Zeit auf dem Computer ausgeführt wird.

    2. Er versucht, eine Mutex mit dem Namen Jobaka3 zu erstellen. Diese Mutex scheint keinen besonderen Zweck zu haben.

    3. Er kopiert sich nach %Windir%\Avserve2.exe.

    Hinweis: %Windir% ist eine Variable. Der Wurm sucht den Windows-Installationsordner (üblicherweise C:\Windows oder C:\Winnt) und kopiert sich dorthin.
    4. Er fügt den Wert

    "avserve2.exe"="%Windir%\avserve2.exe"

    dem folgenden Registrierungsschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.

    5. Er verhindert mithilfe der API AbortSystemShutdown den Versuch, den Computer herunterzufahren und neu zu starten.

    6. Er startet über den TCP-Port 5554 einen FTP-Server. Mithilfe dieses Servers kann sich der Wurm auf andere Hosts verbreiten.

    7. Er beschafft sich die IP-Adressen des infizierten Computers über das Windows-API gethostbyname.

    Hinweis: Der Wurm ignoriert die folgenden Adressen:
    * 127.0.0.1
    * 10.x.x.x
    * 172.16.x.x - 172.31.x.x (einschließlich)
    * 192.168.x.x
    * 169.254.x.x

    8. Auf der Grundlage einer dieser IP-Adressen vom infizierten Computer generiert der Wurm dann eine weitere IP-Adresse.
    * In 25 % der Fälle werden die letzten zwei Oktetts der IP-Adresse durch willkürliche Zahlen ersetzt. Wenn die unter Schritt 7 erhaltene IP-Adresse beispielsweise A.B.C.D ist, so werden C und D willkürlich gewählt.
    * In 23 % der Fälle werden die letzten drei Oktetts der Adresse durch willkürliche Zahlen ersetzt. Wenn die unter Schritt 7 erhaltene IP-Adresse beispielsweise A.B.C.D ist, so werden B, C und D willkürlich gewählt.
    * In 52 % der Fälle wird die IP-Adresse völlig willkürlich gewählt.

    Hinweise:
    * Da der Wurm in 52 % der Fälle völlig beliebige Adressen erstellen kann, können alle IP-Bereiche infiziert werden, also auch die unter Schritt 7 ignorierten.
    * Der Prozess besteht aus 128 Threads und beansprucht daher sehr viel CPU-Zeit. Daher kann ein infizierter Computer sehr stark verlangsamt oder gar kaum mehr benutzbar werden.
    9. Er stellt über den TCP-Port 445 eine Verbindung zur generierten IP-Adresse her, um festzustellen, ob ein entfernter Computer online ist.

    10. Wenn eine Verbindung zu einem Computer hergestellt werden konnte, sendet der Wurm Shellcode an diesen Computer, durch den der Wurm eine Remote-Shell auf dem TCP-Port 9996 öffnen kann.

    11. Der Wurm verwendet die Shell auf dem Remote-Computer, um auf Port 5554 wieder eine Verbindung zum FTP-Server des infizierten Computers herzustellen und eine Kopie des Wurms abzurufen. Der Name dieser Kopie besteht aus vier oder fünf Ziffern und der angehängten Zeichenfolge _up.exe (z. B. 74354_up.exe).

    12. Der Prozess Lsass.exe stürzt ab, nachdem der Wurm die LSASS-Schwachstelle von Windows ausgenutzt hat. Windows zeigt eine Warnmeldung an und schaltet das System dann innerhalb von einer Minute ab.

    13. Er erstellt eine Datei unter C:\win2.log, die die IP-Adresse des Computers enthält, den der Wurm als letztes zu infizieren versucht hat. Außerdem enthält die Datei die Anzahl der infizierten Computer.


    Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken


    Weitere Beiträge aus dem Forum POWER BOARD

    Harry Potter und der Gefangene von Askaban - gepostet von driver87 am Freitag 02.07.2004


    Ähnliche Beiträge wie "W32.Sasser.B.Worm"

    "Sasser"-Wurm wird von neuem Wurm "Dabber&quo - RaymannStyleZ (Samstag 15.05.2004)
    Keiner mehr da!!! - Lotti (Mittwoch 20.10.2010)
    Griechenland - Hilfspaket und PIIGS - Klaus (Mittwoch 28.04.2010)
    jazz und sasser - [Zero] (Montag 01.11.2004)
    Angriff auf Worm.. - happl (Sonntag 06.03.2005)
    WORM_SOHANAD.A - intihaar (Dienstag 05.12.2006)
    Sasser - Mohr (Montag 17.05.2004)
    Sasser Hilfe! - Compy-Papst (Freitag 11.08.2006)
    Virus Sasser - Update ! - RaymannStyleZ (Montag 03.05.2004)
    ML und SAssER - SAssER (Mittwoch 03.11.2004)

    Menü

    iphpbb Statistik

    weitere Themen

    Thema 80041-80080
    Thema 509601-509640
    Thema 737761-737800