Sasser.E: Autor hinterlässt Warnung

Der Autor des Sasser-Wurms, der am vergangenen Freitag von der Polizei festgenommen wurde, hat in seiner letzten Variante, Sasser.E, eine Warnung hinterlassen. Mit dem Wurm infizierte Systeme zeigen eine Meldung, dass diese verwundbar sind.

Anti-Virus-Experten sind sich nicht sicher, ob die Ausbreitung des Wurms vor der Verhaftung begonnen habe oder erst danach. Dies sei aufgrund der sehr langsamen Ausbreitung schwer zu ermitteln. Microsoft hingegen geht davon aus, dass Sasser.E schon am vergangenen Montag in Umlauf gebracht wurde.

Die Verbreitung von Sasser.E soll Anti-Virus-Unternehmen zufolge nicht die Ausmaße der ersten Variante annehmen, die sich innerhalb weniger Tage auf mehr als einer halben Million Rechner eingenistet hatte. Mit Sasser.E seien bislang weniger als 100.000 Systeme infiziert.

Sasser.E zeigt auch kannibalistische Tendenzen indem er versucht, Registry-Einträge des Bagle-Wurms zu löschen. Die ersten Varianten waren nicht mit dieser Funktion ausgestattet. Sasser.E warnt die Nutzer infizierter Systeme mit folgender Meldung:

• Your computer is affected by the MS04-011 vulnerability
• It can be that dangerous computer viruses similar the Blaster worm infect your computer
• Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website
• This is an message from the SkyNet Team for malicious activity prevention

Die neueste Sasser-Variante nutzt auch andere Ports. Anstatt TCP-Port 9995 nutzt Sasser.E Port 1022, FTP wird anstatt über Port 5554 über Port 1024 abgewickelt.

Weitergehende Informationen und Tools zum Entfernen von Sasser finden Sie in einem Schwerpunkt-Artikel von ZDNet.