D3athhunt3r
New member
Die Sasser-Welle ist noch nicht zu Ende!!!!
Sasser nutzte bekanntlich eine bereits von Microsoft per Patch geschlossene Sicherheitslücke im LSA-Shell, um sich zu verbreiten. Dennoch erwischte es viele PC-Besitzer, die im Internet surften und díe Lücke noch nicht geschlossen hatten. Auf genau diese User zielen nun auch zwei neue Würmer ab, die ebenfalls die Lücke im LSA-Shell auszunutzen versuchen. Die Würmer tragen die Namen Bobax und Kibuv.
Bobax verbreitet sich im Internet, in dem er zunächst IP-Bereiche durchwandert und nach Rechnern Ausschau hält, auf denen die Windows-Sicherheitslücke noch nicht geschlossen worden ist. Findet er einen solchen Rechner, dann schlägt er zu. Er löst einen Buffer overflow in der LSASS.EXE aus und schafft es so, einen Remote-Shell zu erstellen.
Zum Teil hat dieser Angriff den bereits seit Sasser bekannten Nebeneffekt, dass LSASS abstürzt und das System nach einer Minute automatisch neu gestartet wird.
Bobax infiziert Explorer.exe
Über den erstellten Remote-Shell wird der eigentliche Wurm-Code per HTTP auf den Rechner übertragen und infiziert. Der Wurm trägt beim Download den Namen SYS.EXE. Auf der Festplatte landet der Wurm aber mit einem zufällig generierten Namen. In der Registry wird folgender Eintrag erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "(Zufälliger Name)" = %SysDir%\(Zufälliger Name).exe
Beim Aufruf erstellt der Wurm eine DLL-Datei und "injiziert" diese in die Explorer.EXE. Teilweise stürzt Explorer.exe dabei ab. Im System eingenistet, sorgt der Wurm für seine Weiterverbreitung und erlaubt ferngesteuerte Zugriffe auf das System durch unauthorisierte Nutzer.
Kibuv kennt noch mehr Sicherheitslücken
Der Wurm Kibuv (Alias Stdbot) greift ebenfalls die LSASS-Lücke in Windows an, kennt aber noch sechs weitere Schwachstellen in Windows XP. Von Bobax und Kibuv geht eine ähnliche Gefahr aus, wie von Sasser. Allen diesen Würmer gemein ist, dass sie nicht per Mail auf Ihren Rechner landen - ungepatchte Systeme können infiziert werden, sobald eine Verbindung ins Internet aufgebaut wird.
Das einzig wirksame Mittel, um einer Infizierung durch Sasser und Konsorten vorzubeugen, ist es, den von Microsoft bereitgestellten Patch zu installieren, der die Sicherheitslücke schließt. Sie finden ihn
Wer sein System bereits gepatcht hat und sich detaillierter darüber informieren möchten, womit sich User herumplagen müssen, die das Update noch nicht aufgespielt haben, findet beispielsweise bei Kaspersky ausführlichere Informationen zu
Sasser nutzte bekanntlich eine bereits von Microsoft per Patch geschlossene Sicherheitslücke im LSA-Shell, um sich zu verbreiten. Dennoch erwischte es viele PC-Besitzer, die im Internet surften und díe Lücke noch nicht geschlossen hatten. Auf genau diese User zielen nun auch zwei neue Würmer ab, die ebenfalls die Lücke im LSA-Shell auszunutzen versuchen. Die Würmer tragen die Namen Bobax und Kibuv.
Bobax verbreitet sich im Internet, in dem er zunächst IP-Bereiche durchwandert und nach Rechnern Ausschau hält, auf denen die Windows-Sicherheitslücke noch nicht geschlossen worden ist. Findet er einen solchen Rechner, dann schlägt er zu. Er löst einen Buffer overflow in der LSASS.EXE aus und schafft es so, einen Remote-Shell zu erstellen.
Zum Teil hat dieser Angriff den bereits seit Sasser bekannten Nebeneffekt, dass LSASS abstürzt und das System nach einer Minute automatisch neu gestartet wird.
Bobax infiziert Explorer.exe
Über den erstellten Remote-Shell wird der eigentliche Wurm-Code per HTTP auf den Rechner übertragen und infiziert. Der Wurm trägt beim Download den Namen SYS.EXE. Auf der Festplatte landet der Wurm aber mit einem zufällig generierten Namen. In der Registry wird folgender Eintrag erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "(Zufälliger Name)" = %SysDir%\(Zufälliger Name).exe
Beim Aufruf erstellt der Wurm eine DLL-Datei und "injiziert" diese in die Explorer.EXE. Teilweise stürzt Explorer.exe dabei ab. Im System eingenistet, sorgt der Wurm für seine Weiterverbreitung und erlaubt ferngesteuerte Zugriffe auf das System durch unauthorisierte Nutzer.
Kibuv kennt noch mehr Sicherheitslücken
Der Wurm Kibuv (Alias Stdbot) greift ebenfalls die LSASS-Lücke in Windows an, kennt aber noch sechs weitere Schwachstellen in Windows XP. Von Bobax und Kibuv geht eine ähnliche Gefahr aus, wie von Sasser. Allen diesen Würmer gemein ist, dass sie nicht per Mail auf Ihren Rechner landen - ungepatchte Systeme können infiziert werden, sobald eine Verbindung ins Internet aufgebaut wird.
Das einzig wirksame Mittel, um einer Infizierung durch Sasser und Konsorten vorzubeugen, ist es, den von Microsoft bereitgestellten Patch zu installieren, der die Sicherheitslücke schließt. Sie finden ihn
You do not have permission to view link please Anmelden or Registrieren
.Wer sein System bereits gepatcht hat und sich detaillierter darüber informieren möchten, womit sich User herumplagen müssen, die das Update noch nicht aufgespielt haben, findet beispielsweise bei Kaspersky ausführlichere Informationen zu
You do not have permission to view link please Anmelden or Registrieren
und bei Mcafee Infos zum
You do not have permission to view link please Anmelden or Registrieren
