Schädling verbreitet sich per Mail
Neuer Computerwurm nutzt bekannte Sicherheitslücke aus

Obwohl die LASS-Sicherheitslücke seid Mai bekannt ist und bereits Updates kostenlos zur Verfügung stehen, ist ein neuer Computerwurm, der die LASS-Lücke ausnutzt, erfolgreich.

hiz DÜSSELDORF. Die Antivirenspezialisten der H+BEDV Datentechnik warnen alle Anwender von Windows-Betriebssysteme vor dem neuen Internet-Wurm Maslan.B. Der Wurm nutzt die Sicherheitslücke im Windows Sicherheitsdienst LSASS (Local Security Authority Subsystem Service) aus, die erstmals im Mai vom Sasser-Wurm ausgenutzt wurde. Der neue Schädling verbreitet sich über den Email-Versand und zusätzlich über das Netzwerk. Nach Einschätzung der Fachleute besteht eine sehr hohe Infektionsgefahr.

Der Wurm Maslan.B versendet sich per Mail als Datei mit einer Größe von 54 784 Bytes. Dazu nutzt er ein eigenes Mailprogramm, eine so genannte SMTP-Engine. Ist ein Rechner infiziert, versendet sich der Schädling selbst an alle Email-Adressen, die er auf dem System vorfindet. Der Wurm öffnet in dem befallenen System zudem die Ports 135 und 445 und ermöglicht somit einen Zugriff mit Hilfe der LSASS-Sicherheitslücke von außen. Hierzu scannt der Wurm den nächstliegenden IP-Adressenbereich. Sollte er dabei einen Rechner finden, der nicht die aktuellen Sicherheitsaktualisierungen installiert hat, sendet er auf diesen per FTP die Datei "___u.exe" und führt sie dort aus.

Nach dem Befall sind zwei Programme aktiv, eines ist der Wurm selbst und das andere Programm ist ein so genannter IRC-Bot. Bei dem IRC-Backdoor (Schleusenprogramm) handelt es sich um ein Programm, das sich in das Windows- oder Windows-Systemverzeichnis kopiert und einen Eintrag in der Registry, einen sogenannten Registrierungsschlüssel, erstellt, über den die Datei bei jeder Windows-Sitzung gestartet wird. Ein Hacker oder Wurm kann über die IRC-Schnittstelle Befehle an den IRC-Bot übermitteln. Dadurch können gezielt Dateien nachgeladen und ausgeführt werden. Die Steuerdateien und alle anderen vom Wurm abgelegten Dateien sind nicht sichtbar. Der Wurm nutzt die LSASS-Sicherheitslücke zusätzlich, um sich auf andere Systeme auszubreiten, die ebenfalls noch anfällig.

Da die angelegten Dateien für die Anwender nicht sichtbar sind, kann Maslan.B nur manuell im abgesicherten Modus gelöscht werden. Aktuelle Virenscanner erkennen den neuen Wurm.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%