Sasser
| Sasser | |
|---|---|
| Name | Sasser |
| Bekannt seit | 2004 |
| Herkunft | Deutschland |
| Typ | Netzwerkwurm |
| Autoren | Sven Jaschan |
| Dateigröße | 15.872 Bytes |
| Verbreitung | Exploit in LSASS |
| System | Windows 2000 und XP |
| Programmiersprache | C++ |
Der Computerwurm Sasser verbreitete sich ab dem 13. April 2004 lawinenartig und mit hoher Geschwindigkeit auf Computern mit den Microsoft-Betriebssystemen Windows 2000 und Windows XP.
Der Name des Wurms ist ein Wortspiel, zusammengesetzt aus dem englischen Verb „to sass“, zu deutsch „freche Antworten geben“, und der Tatsache, dass er eine Schwachstelle im Dienst LSASS für seine Verbreitung ausnutzte.
Versionen und Derivate[Bearbeiten | Quelltext bearbeiten]
Der Name des Wurmes wurde von Microsoft als W32.Sasser festgelegt, die Originalversion wird zur Unterscheidung auch Sasser.A genannt.
Innerhalb kurzer Zeit tauchten mehrere Varianten des Wurms auf: Sasser.B, Sasser.C und Sasser.D.
Funktion[Bearbeiten | Quelltext bearbeiten]
Vervielfältigung[Bearbeiten | Quelltext bearbeiten]
Sasser wurde im Gegensatz zu vielen anderen Computerwürmern, die im Jahr 2004 ausbrachen, nicht als E-Mail-Anhang versandt. Sobald sich ein Benutzer mit dem Internet verbindet, nutzte der Wurm eine Sicherheitslücke in einem Windows-Systemdienst mit dem Namen Local Security Authority Subsystem Service (LSASS) aus. Fand er einen verwundbaren Rechner, infizierte er ihn mit einem Code, der den eigentlichen Wurm von bereits infizierten Rechnern kopierte. Dazu startete er auf Port 5554 einen FTP-Server.[1][2]
Microsoft hatte bereits vor dem Ausbruch von Sasser einen Patch (MS04-011) veröffentlicht, der das Exploit im LSASS-Dienst schloss. Doch viele Unternehmen und Einzelpersonen hatten ihn nicht installiert.
Sasser und seine Varianten infizierten etwa zwei Millionen Rechner weltweit.
Payload[Bearbeiten | Quelltext bearbeiten]
Der befallene Rechner wurde von dem Wurm in unregelmäßigen Abständen ausgeschaltet. Der materielle Schaden war schwer zu bemessen, da er im Wesentlichen aus allgemeinen Produktivitätsverlusten in Unternehmen bestand und darin, dass Dritte (z. B. Kunden und Interessenten) Internetseiten zeitweise nicht erreichen und nutzen konnten.
Das Herunterfahren konnte mit dem Befehl shutdown -a unter Start > Ausführen verhindert werden.[3]
Entfernung[Bearbeiten | Quelltext bearbeiten]
Das Einspielen der damals verfügbaren Windows-Updates schütze sicher vor einer Infektion. Für alle etablierten Antimalware-Programme wurden Suchmuster entwickelt, um den Wurm auf befallenen Systemen zu erkennen und zu beseitigen. Zeitgemäße Betriebssysteme kann Sasser nicht infizieren, anfällige Rechner werden heutzutage wohl nur noch in seltenen Ausnahmefällen betrieben.
Folgen[Bearbeiten | Quelltext bearbeiten]
Unter den betroffenen Systemen waren Computer bei Banken, Reiseunternehmen und öffentlichen Einrichtungen. Betroffen waren die Computer der deutschen Postbank, der finnischen Sampo Bank, der Delta Air Lines und der Europäischen Kommission sowie weiterer Unternehmen und Behörden weltweit.[4]
Trittbrettfahrer[Bearbeiten | Quelltext bearbeiten]
Ein weiterer Wurm mit dem Namen Phatbot schloss die Hintertüren, die andere Würmer geöffnet hatten, und löschte beispielsweise bei den Würmern Bagle oder Mydoom den Schädling. Sasser jedoch wurde von Phatbot modifiziert, um alle IP-Adressen des Wurms herauszufinden und folgte Sasser nach, um die befallenen Rechner zu infizieren. Man kann diese Infektion an einer Datei mit dem Namen wormride.dll im Windows-Rootverzeichnis erkennen. Ist diese Datei vorhanden, ist der Rechner mit beiden Würmern infiziert.
Zudem nutzte ein E-Mail-Wurm mit dem Namen Netsky.AC die Angst von Anwendern vor Sasser aus: Als Absender gab er sich als ein Hersteller von Antivirensoftware aus und tarnte sich unter anderem als Programm zum Entfernen von Sasser.B.
Der Autor[Bearbeiten | Quelltext bearbeiten]
Der Softwarekonzern Microsoft hatte für Hinweise auf den Urheber von Sasser eine Belohnung von 250.000 US-Dollar ausgesetzt. Daraufhin meldeten sich Mitwisser an die Polizei.
Der Programmierer von Sasser, Sven Jaschan, ein damals 17-jähriger Schüler aus Waffensen bei Rotenburg (Wümme), wurde am 7. Mai 2004 vorübergehend festgenommen. Er besuchte zu dieser Zeit eine Berufsfachschule für Informatik. Jaschan war auch für die ursprünglichen Versionen der Netsky-Computerwürmer verantwortlich.[5]
Am 8. Juli 2005 wurde Sven Jaschan vom Jugendschöffengericht des Landgerichts Verden zu einer Jugendstrafe von einem Jahr und neun Monaten auf Bewährung und 30 Stunden gemeinnütziger Arbeit verurteilt.[6]
Einzelnachweise[Bearbeiten | Quelltext bearbeiten]
- ↑ virus.wikidot.com Fachwiki-Eintrag zu Netsky
- ↑ virus.wikidot.com Fachwiki-Eintrag zu Sasser
- ↑ Netzwerk-Wurm Sasser – Maßnahmen zu Schutz und Entfernung. Abgerufen am 15. April 2020.
- ↑ Datenschutzbeauftragter von Microsoft sagt im Sasser-Prozess aus. heise online, 6. Juli 2005, abgerufen am 28. Januar 2009.
- ↑ FAZ.net 9. Mai 2004: Von Waffensen in die Welt
- ↑ rotenburger-rundschau.de Sven Jaschan infizierte 2004 mit seinen Computerwürmern Netsky und Sasser Millionen Rechner weltweit, 19. November 2016
Weblinks[Bearbeiten | Quelltext bearbeiten]
- Alfred Krüger: Würmer made in Germany. Telepolis, 9. August 2004, abgerufen am 28. Januar 2009.
- Sasser-Prozess: Microsoft zahlt 250.000 US-Dollar Kopfgeld. Heise Security, 8. Juli 2005, abgerufen am 28. Januar 2009.
- "Sasser"-Programmierer: Der Wurm von der Wümme. Stern, 17. Juni 2004, abgerufen am 24. Januar 2016.
- faz.net Millionen Rechner leiden unter „Sasser“, 4. Mai 2004