Wurm nutzt Wurm-Lücke.....

D3athhunt3r

New member
Wurm nutzt Wurm-Lücke: Dabber attackiert mit Sasser befallene PCs


Im Internet kursiert mit Dabber ein neuer Wurm, der sich etwas von den bisherigen Würmern unterscheidet. Andere Würmer befallen Rechner oft, indem sie eine Lücke des Betriebssystems ausnutzen. Dabber dagegen nutzt eine Lücke, die in einem anderen Wurm, dem Sasser, steckt, um in einen Rechner zu gelangen. Mit Sasser infizierte Rechner sind somit das Angriffsziel von Dabber.

Dabber nutzt eine Lücke in der FTP-Server-Komponente des Sasser-Wurms, berichten die Sicherheitsexperten von LURHQ. Laut Ansicht der Experten soll Dabber der erste Wurm überhaupt sein, der sich ausbreitet, indem er eine Lücke eines anderen Wurms angreift.

Dabber enthält einen Programmcode, der die FTP-Lücke angreift. Dieser Programmcode ist erst kürzlich im Internet veröffentlich worden. Der Wurm scannt im Internet über den Port 5554 und sucht Windows-Rechner, die mit dem Sasser-Wurm infiziert sind. Sobald es einen solchen Rechner entdeckt hat, attackiert es den Sasser-Wurm und nutzt dessen Lücke, um über FTP eine Datei mit dem Namen "package.exe" auf den Rechner zu laden.

Sobald diese Datei ausgeführt wird, wird der Sasser-Wurm auf dem Rechner "abgestoßen" und künftig daran gehindert, neu zu starten. Dabber öffnet außerdem den TCP-Port 9898 als Backdoor und wartet dann auf Kommandos des Angreifers.

Dabber verbreitet sich laut LURHQ derzeit nur langsam. Die Zahl der Infektionen "eskaliere" allerdings. Das deutet also darauf hin, dass noch viele Rechner mit dem Sasser-Wurm infiziert sind und die Anwender ihn noch nicht entfernt haben.

Dabber lässt sich leicht beseitigen
Dabber kann relativ leicht vom Rechner entfernt werden. Eine Anleitung hierfür finden Sie auf der Website von LURHQ . Kurz zusammengefasst:


Beenden Sie den Prozess "package.exe" im Taskmanager,
Entfernen Sie den "sassfix"-Registry-Eintrag in Software\Microsoft\CurrentVersion\Run
Entfernen Sie alle package.exe-Dateien auf dem Rechner

Dabber reiht sich in die Reihe der Würmer ein, die nicht als Mail-Anhang bei den Anwendern ankommen. Wie beim Sasser und Blaster genügt für eine Infizierung, wenn der Rechner eine Verbindung zum Internet herstellt und nicht mittels der Microsoft-Updates oder einer Firewall geschützt ist.

Ein Wurm der einen anderen Wurm bekämpft, ist nichts Neues. Bereits Netsky, der vom mutmaßlichen Programmierer des Sasser-Wurms stammen soll, hatte es auf den Wurm Bagle abgesehen. Die beiden Würmer lieferten sich über mehrere Versionen einen "Kleinkrieg", in dem sie versuchten, den jeweils anderen von den PCs zu fegen. Reine Spekulation wäre es allerdings derzeit, anzunehmen, dass Dabber und Bagle aus der Feder des selben Crackers stammen.