Sasser: Das erste Muster von „War Searching“

Der Computerwurm Sasser gilt unter Experten als erster Ansatz zu dem, was in der Szene als „War Searching“ bezeichnet wird. In verschiedenen Dokumenten wurde bereits im vergangenen Jahr diese mögliche Angriffstrategie beschrieben. Sasser ist jetzt die gewissermaßen erste Realisierung dieses Prinzips. Dabei geht es um die Technik, die Sasser und seine Varianten B, C und mittlerweile schon D nutzen, um Suchmaschinen als Multiplikatoren von infizierten Webseiten und Rechnern einzusetzen.

Der Computerwurm benutzt infizierte Rechner als Plattform für weitere Suchläufe im Internet. Er konzentriert sich dabei ausschließlich auf Rechner unter den Betriebssystemen Windows 2000 und XP – ältere Versionen von Windows sind außen vor. Sasser scannt die Rechner auf einen offenen Port hin ab, um dort seinen Code zum implementieren und einen FTP-Server zu installieren. Der wiederum führt den Job fort, und beobachtet gleichzeitig andere TCP-Ports auf eingehende Verbindungen.

Die Schadensroutine von Sasser scheint sich auf Reboots des befallenen Rechner zu beschränken. „Sasser ist das erste Muster der War Searching Strategie. Noch aber werden dabei nicht die großen Suchmaschinen im Web wie Google oder Yahoo benutzt. Noch ist es ein einfacher Mechanismus. Wir erwarten aber in Zukunft wesentlich komplexere Angriffe“, so die Einschätzung des IT-Sicherheitsexperte Massimiliano Mandato vom IT-Dienstleister NextiraOne.

Dank der geringen Schadensroutine gibt Sasser aber jetzt eine gute Chance der Prävention und der Verbesserung der Sicherheitslage. Mandato empfiehlt parallele Maßnahmen: Firewalls überprüfen und gegebenenfalls aktivieren, Sicherheitspatches von Microsoft einspielen und ein Removal-Tool wie Stinger einsetzen, um bereits vorhandene Sasser-Infektionen aufzuspüren und zu löschen.

Der Sicherheitsspezialist weißt aber darauf hin, dass Technik alleine nicht ausreicht: „Gerade portable Notebooks, die von unterschiedlichen Zugängen aus Online gehen und eventuell auch verschiedene WLAN-Umgebungen benutzen, sind sehr anfällig für jede Art von Angriff. Hier zeigen Initiativen wie etwa Cisco’s Self Defending Network grundsätzliche Strategien auf, mit denen Sicherheit aktiv im Netzwerk gelebt werden kann“. Die Stärke der Self Defending Network Strategie liegt nach Mandato darin, dass das Sicherheitsniveau des gesamten Netzwerks zentral adjustiert werden kann, und das Netzwerk dann selbst alle angeschlossenen Teilnehmer überprüft und Kategorien zuordnet. Auch die Distribution von Sicherheits-Patches wird dabei automatisiert.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

5 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago