rocky7-Board, das Allround-Forum » News&.Allgemeines zu IT-Security » Computersicherheit » [ Computer - Ecke ] » Vireninfos » Sasser.E

Sasser.E

-=LiLiaN=-
Neue Sasser-Variante im Umlauf


Trotz der Verhaftung des Sasser-Programmierers ist eine neue Variante des Wurms im Internet aufgetaucht. Sasser.E nutzt die selbe LSASS-Lücke (Local Security Authority Subsystem Service) wie seine Vorgängerversionen. Anwender sind also mit dem von Microsoft vor einigen Wochen bereitgestellten Patch auf der sicheren Seite.
Im Unterschied zu W32/Sasser.worm.d weist die E-Variante laut den Sicherheitsspezialisten von McAfee folgende Unterschiede auf:

  • Nutzt den Dateinamen lsasss.exe, um Verwirrung zu stiften
  • Erstellt eine Remote Shell (TCP-Port 1022 statt 9995)
  • Nutzt die Datei c:\ftplog.txt (statt c:\win2.log)
  • FTP läuft über Port 1023
  • Versucht Bagle-Varianten außer Gefecht zu setzen, indem Registry-Einträge entfernt werden


Das Risiko für die Benutzergruppen (Home und Corporate User) stuft McAfee indes als "gering" ein.

PandaLabs hält das Auftauchen der neuen Variante für ein Zeichen dafür, dass eine "organisierte Gruppe von Delinquenten" am Werk ist.

Die Jagd-Funktionen von Sasser.E auf die Bagle-Varianten deuten zudem auf eine Art Cyber-Krieg zwischen den Erschaffern der Bagle-, Mydoom-, Netsky- und Sasser-Malware hin. Infolgedessen wird es zu noch vielen weiteren Wurm-Varianten führen, so PandaLabs in einem Bericht.



© AOL DEUTSCHLAND
rocky7
Wie kann man das verstehen?

Zitat:
Nutzt den Dateinamen lsasss.exe, um Verwirrung zu stiften
hellfire
weils einen windows prozess gibt der lsass.exe heißt Augenzwinkern
-=LiLiaN=-
Na Windows hat doch eine Systemdatei mit dem Namen "lsass.exe".

Diese wird allerdings nur mit 2 "s" hinten geschrieben, anstatt -wie bei Sasser.E- mit 3 "s".


Und es gibt bestimmt einige Leute, die zuerst denken, dass die Datei zu Windows gehört Augenzwinkern

-edit-

menno hellfire, ich wollte *g Zunge raus Augenzwinkern
rocky7
genau den Prozess lsass.exe habe ich, der vom Troja ist wohl dann der lsasss.exe?
-=LiLiaN=-
ganz genau smile
rocky7
Na dann passt`s scho...
hellfire
reingefallen *gggg* ?? großes Grinsen
rocky7
Naja so kann Mann`s nicht sehen, habe den NAV mitlaufen. Könnte aber doch sein der Troja hebelt ihn aus.
Paulchen
Deswegen sollte man seinen NAV auch immer ne aktuelle Haustierliste spendieren, das kann man mitlerweile fast täglich machen, da immer was neues am Start ist....feix.
-=LiLiaN=-
Jo genau, das kann man ja auch einstellen, dass der automatisch nachschaut und wenn nötig runterlädt.

Find ich praktischer, spar ich mir Arbeit Augenzwinkern
Paulchen
Na soviel Arbeit isses doch nicht, hab den Link in den Favos drinne, geht doch dann ganz fix.
-=LiLiaN=-
noch schneller gehts aber, wenn man den nav das selber machen lässt Augenzwinkern

bei uns klappt das zumindest sehr gut, noch nie n prob gehabt.
Borderline
^^ Hab das auch so und das praktischste ist ja dabei, dass er sich nur meldet wenns auch was neues gibt (sonst nicht) Freude
-=LiLiaN=-
jo, das is voll cool.

da hab ich dann immer so n kleines compi-icon mit animierten sendestrahlen rechts unten ^^
rocky7
Ja is doch logisch, habe es auch auf auto gesetzt. Macht er auch immer ganz ordentlich, gibt aber auch mal was, wo der Troja schneller sein kann als ihn NAV identifizieren kann. Denn eins inst klar, NAV kann nicht schneller sein als der Ersteller der Tierchen.
-=LiLiaN=-
Jop, das is klar.

Obwohls so n NAV mit Hellseherfähigkeiten doch gar nich mal so schlecht wär Augenzwinkern
Forensoftware: Burning Board 2.3.6 pl2, entwickelt von WoltLab GmbH