Neue Varianten von Sasser deutlich gefährlicher

Vom erstmals am Freitag aufgetauchten Internet-Wurm Sasser sind drei neue Varianten gesichtet worden, die deutlich gefährlicher sind als das Original und inzwischen rund eine halbe Million Rechner infiziert haben sollen.

Auch Sasser.B, Sasser.C und Sasser.D nutzen eine Sicherheitslücke in Windows 2000 und XP, die es den Schädlingen ermöglicht, sich ohne Zutun des Nutzers zu verbreiten. Sasser.B wurde das erste Mal am Samstag registriert, während Sasser.C und Sasser.D erstmals am Montag aufgetreten sind.

„Der Wurm wurde erheblich verbessert“, so Alfred Huger vom Symantec Security Response Center. Am frühen Montag lagen Symantec rund 10.000 bestätigte Infektionen vor, wobei das Unternehmen von mehreren hunderttausend infizierten Systemen ausgeht.

Was Experten schon am Wochenende vorhersagten, hat sich vielerorts bestätigt. Mitarbeiter, die ihre bereits infizierten Notebooks mit zur Arbeit gebracht haben, sorgten für eine deutlich schnellere Ausbreitung des Schädlings. Die Universität Massachusetts beispielsweise berichtet von 1100 infizierten Rechnern. „Alle Geräte, die mit dem Virus befallen sind, waren nicht gepatcht“, so Scott Conti, Network Operations Manager der Universität.

Übers Wochenende verbreitete sich der Wurm relativ langsam. Die neueren Varianten sind jedoch deutlich aggressiver. So prüfen Sasser.C und Sasser.D 1024 IP-Adressen gleichzeitig, ob sich dahinter eventuell ungepatchte Rechner verbergen.

Eine zweite Blaster-Epedemie scheint möglich. „Der Wurm könnte genauso viele Rechner infizierten wie MS Blaster“, so Partick Hinojosa vom Viren-Spezialisten Panda Software. Zwar beschädigt Sasser die infizierten Systeme nicht direkt, sondern schränkt deren Verfügbarkeit ein. „Sasser könnte bei infizierten Systemen ständige Reboots verursachen“, so Hinojosa.

Wer sein System noch nicht mit den entsprechenden Patches ausgestattet hat, sollte sich diese entweder über Windows Update oder von der speziell für den Wurm eingerichteten Webseite bei Microsoft herunterladen.

So entfernen Sie den Sasser-Wurm:

1. Starten Sie den Rechner. Beim Erscheinen des „System Shutdown“-Fensters brechen Sie den Vorgang mit folgendem Befehl ab:
   Start –> Ausführen –> „shutdown -a“ (ohne Anführungszeichen)
2. Laden Sie das für Ihre Windows-Version entsprechende Update MS04-011 herunter und installieren Sie den Patch:
• Windows 2000 mit SP3, SP3 oder SP4
• Windows XP und Windows XP mit SP1
• Windows XP 64-Bit Edition mit SP1
• Windows XP 64-Bit Edition Version 2003
• Windows Server 2003
• Windows Server 2003 64-Bit Edition
• Windows NT Workstation 4.0 mit SP6a
• Windows NT Server 4.0 mit SP6a
• Windows NT Server 4.0 Terminal Server Edition mit SP6
• (alternativ können Sie den Patch über Windows Update beziehen)
3. Laden Sie das Microsoft Sasser Worm Removal Tool herunter und starten Sie das Säuberungs-Programm

Laden Sie sich die Tools zum Entfernen des Sasser-Wurms direkt aus dem Download-Channel von ZDNet:

• Microsoft Removal Tool
• BitDefender Removal-Tools
• McAfee AVERT Stinger
• Symantec Removal-Tool
• F-Secure Removal-Tool
• Sophos Desinfektions-Tool
• Trend Micro Damage Cleanup Engine /Template

Links auf die Seiten der Anti-Virus-Spezialisten:

• Bitdefender Win32.Worm.Sasser Removal Tool
• Symantec W32.Sasser Removal Tool
• Sophos Sasser Desinfektions-Tool
• Trend Micro Anleitung und Removal Tool
• F-Secure Anleitung und Removal Tool

<!–

–>