Stabsstelle D4  IT-Sicherheit und Datenschutz [DESY Home Page]

englisch Informationen zum Sasser-Wurm

Der Sasser-Wurm bedroht in mehreren Varianten seit dem 30. April 2004 Rechner mit Windows-Betriebsystemen  Er nutzt eine am 13. April 2004 veröffentlichte Schwachstelle im Windows-Betriebssystem (http://www.heise.de/security/news/meldung/47037 , Microsoft Security Bulletin MS04-011).

Der Wurm verbreitet sich, ähnlich wie seinerzeit der Lovsan-Wurm direkt von Rechner zu Rechner, also nicht per e-mail Attachments. Die für diese Verbreitung benutzten Ports sind im DESY-Firewall, der das DESY-Intranet gegen Angriffe aus dem Internet sichert, gesperrt. Insofern können DESY-Rechner nicht direkt aus dem Internet infiziert werden. Allerdings kann der Wurm durch Rechner eindringen, die sich in einem unsichern Netz infiziert haben und anschließend an das DESY-Intranet angeschlossen werden bzw. per VPN oder Maxbox Zugang bekommen haben.

Wie kann ich mich schützen?
Woran erkenne ich, dass mein Rechner infiziert wurde?
Was ist zu tun, wenn mein Rechner infiziert wurde?
Pressemeldungen zu dem Sasser-Wurm
Geschädigte
Weitere Würmer, die dieselbe Schwachstelle wie Sasser ausnutzen

Wie kann ich mich schützen? >top

Patches installieren

Der beste Schutz ist die Beseitigung der Schwachstelle durch Einspielen der entsprechenden Microsoft-Patches. DESY empfiehlt, sowohl die Patches Q835732-MS04-011 gegen die vom Sasser-Wurm ausgenutze Schwachstelle als auch Q828741-MS04-012 gegen weitere gefährliche Schwachstellen zu installieren.

Bitte gehen Sie wie folgt vor:

Neue Domäne

Patches gegen die betroffenen Schwachstellen wurden bereits automatisch per Software Update Service (SUS) verteilt. Danach wurden Sie zu einem Reboot aufgefordert. Erst dadurch werden die Patches vollständig aktiviert. Deshalb, vergessen Sie nicht das Reboot.

Alte Domäne

Die Patches stehen zur Verfügung unter: System: "Sicherheits-Update von Microsoft fuer Windows XP (828741 und 835732)".
Windows XP Nutzer werden außerdem seit dem 3.5. 2004 zur Installation der aktuellen Patches automatisch beim Restart des Rechners aufgefordert
Die Patches steht zur Verfügung unter: System: "Sicherheits-Update von Microsoft fuer Windows NT (828741 und 835732)".
Die Patches stehen zum manuellen Aufspielen im S-Laufwerk (\\desyntdfs1\dfs) der alten Domaene DESYNT bereit unter:

Rechner zu Hause

Wenn Sie einen Rechner zu Hause haben, den Sie mit dem DESY-Intranet über VPN oder die Maxbox verbinden, müssen Sie ebenfalls umgehend die Patches installieren. Für diesen Zweck wird eine entsprechende CD im UCO bereitgehalten.

Virenscanner aktualisieren

Sorgen Sie dafür, dass Sie einen aktuellen Virenscanner haben. Die derzeit aktuelle Version des bei DESY eingesetzten McAfee Virenscanners ist VirusScan Enterprise 7.1.0. Der Virenscanner hat eine Scan-Engine, die Daten auf bestimmte Merkmale (Signaturen) untersucht. Die aktuelle Version der Scan-Engine ist 4.3.20. Die Signaturen werden von Mcafee mindestens einmal wöchentlich, bei Bedarf jedoch auch häufiger erneuert. Sie werden zeitnah auf einem DESY-Server gespeichert. Sie sollten dafür sorgen, dass Ihr Virenscanner mindestens einmal täglich dort nach neuen Signaturen sucht. Darüberhinaus ist geplant, die Update-Frequnz auf sechsmal pro Tag zu erhöhen und eine entsprechende Konfiguration automatisch auf allen 7.1.0 Scannern vorzunehmen. Weitere Hinweise zur Aktualisierung der Signaturen finden Sie unter http://www.desy.de/d4/Virenwarnungen.html#regeln .

Die derzeit bekannten Sasser-Würmer werden mit folgenden Signaturen erkannt:
Aktuelle Informationen zu Viren und den jeweilis erforderlichen Signaturen finden Sie unter http://www.desy.de/d4/Virenwarnungen.html .

Rechner zu Hause

Wenn Sie einen Rechner zu Hause haben, den Sie mit dem DESY-Intranet über VPN oder die Maxbox verbinden, müssen Sie ebenfalls einen aktuellen Virenscanner verwenden. Für diesen Zweck wird eine entsprechende CD im UCO bereitgehalten. Bzgl.Lizenzfragen für diese Nutzung beachten Sie bitte den folgenden Link: http://www.desy.de/d4/intern/Virenscanner-extern-de.html

Woran erkenne ich, dass mein Rechner infiziert wurde? >top

Ein typisches Merkmal für einen infizierten Rechner sind die folgenden Fenster:


Danach rebootet der Rechner.

Weitere Einzelheiten entnehmen Sie bitte den McAfee Beschreibungen der Sasser-Würmer, auf die in der D4 Virenseite http://www.desy.de/d4/Virenwarnungen.html verwiesen wird.

Was ist zu tun, wenn mein Rechner infiziert wurde? >top

Bitte wenden Sie sich umgehend an Ihren Windows-Administrator (http://www.desy.de/cgi-bin/admins) oder wenden Sie sich an das UCO. Dort gibt es Datenträger mit dem Stinger-Tool von McAfee, das den Wurm entfernt.

Stinger kann vom S-Laufwerk (\\desyntdfs1\dfs) der alten Domaene DESYNT unter products\stinger oder direkt von Network Associates heruntergeladen werden.

Mehr Informationen zu Stinger finden Sie unter: http://www-it.desy.de/systems/services/security/stinger.html

Pressemeldungen zu dem Sasser-Wurm >top

Heise
21.5. http://www.heise.de/security/news/meldung/47546
13.5. http://www.heise.de/security/news/meldung/47330
12.5. http://www.heise.de/security/news/meldung/47299
10.5. http://www.heise.de/security/news/meldung/47243
  8.5. http://www.heise.de/security/news/meldung/47212
  8.5. http://www.heise.de/security/news/meldung/47205
  4.5. http://www.heise.de/security/news/meldung/47097
  1.5. http://www.heise.de/security/news/meldung/47037

New Scientist
10.5. http://www.newscientist.com/news/print.jsp?id=ns99994973

CNN
10.5. http://www.cnn.com/2004/TECH/internet/05/10/sasser.arrest.reut/index.html
  8.5. http://www.cnn.com/2004/TECH/internet/05/08/sasser.arrest.ap/index.html

BBC
  8.5. http://news.bbc.co.uk/2/hi/europe/3695857.stm

Reuters
  8.5. http://news.com.com/2102-1009_3-5208655.html?tag=st.util.print

Geschädigte >top

Von folgenden Firmen ist bekannt, dass sie Opfer des Sasser-Wurms sind:

T-Online
Post in Deutschland
Rundfunk in Deutschland
Europäische Kommision
British Airways
British Coast Guard
American Express
Delta Airlines
Eisenbahnen in Australien
Post in Taiwan
Krankenhäuser in HongKong
etc.

Weitere Würmer, die dieselbe Schwachstelle wie Sasser ausnutzen >top

Nach Sasser sind folgende weitere Würmer aufgetaucht, die ebenfalls die LSASS-Schwachstelle ausnutzen:

 
3.6.2004:  Plexus
http://www.heise.de/security/news/meldung/47946
http://vil.nai.com/vil/content/v_126116.htm

  3.6.2004:  Korgo
http://www.heise.de/security/news/meldung/47927
http://www.heise.de/security/news/meldung/47888

19.5.2004:  Bobax
http://www.heise.de/security/news/meldung/47488




DESY Homepage    D4 Homepage    top
Dietrich Mönkemeyer