„Sasser" – Versionsunterschied

Der Computerwurm Sasser (Der Name ist ein Wortspiel zusammengesetzt aus dem englischen Verb „to sass" – „freche Antworten geben" und der Tatsache, dass er den Dienst LSASS ausnutzt) verbreitete sich Anfang Mai 2004 in hoher Geschwindigkeit auf Computern mit den Microsoft-Betriebssystemen Windows 2000 und Windows XP.

Der „offizielle" Name des Wurmes ist W32.Sasser. Unter den betroffenen Systemen waren Computer bei Banken, Reiseunternehmen und öffentlichen Einrichtungen. Betroffen waren die Computer der deutschen Postbank, der finnischen Sampo Bank, der Delta Air Lines und der Europäischen Kommission sowie weiterer Unternehmen und Behörden weltweit.^[1] Der Programmierer von Sasser, Sven Jaschan, ein damals 17-jähriger Schüler aus Waffensen, einem Ortsteil der Stadt Rotenburg (Wümme), wurde am 7. Mai 2004 vorübergehend festgenommen. Der Informatikschüler (Berufsfachschule) ist auch für die Viren der Netsky-Reihe verantwortlich.

Sasser wird nicht als E-Mail-Anhang versandt. Sobald sich ein Benutzer mit dem Internet verbindet, nutzt der Wurm einen Fehler in einem Windows-Systemdienst mit dem Namen Local Security Authority Subsystem Service (LSASS) aus. Findet er einen verwundbaren Rechner, infiziert er ihn mit einem Code, der den eigentlichen Wurm von bereits infizierten Rechnern kopiert. Dazu startet er auf Port 5554 einen FTP-Server.

Der befallene Rechner wird von dem Wurm in unregelmäßigen Abständen ein- und ausgeschaltet. Der materielle Schaden ist dabei schwer zu bemessen, da es sich bei den Schäden im Wesentlichen um allgemeine Produktivitätsverluste in Unternehmen bzw. um Mängel in der Erreichbarkeit und Nutzbarkeit von Internetseiten durch die Kunden handelt.

Innerhalb kurzer Zeit tauchten mehrere Varianten des Wurms auf: Sasser.B, Sasser.C und Sasser.D (das Original wird Sasser.A genannt). Zudem nutzt ein E-Mail-Wurm mit dem Namen Netsky.AC die Angst von Anwendern vor Sasser aus: Als Absender gibt er sich als ein Hersteller von Antivirensoftware aus und tarnt sich unter anderem als Programm zum Entfernen von Sasser.B.

Ein weiterer Wurm mit dem Namen Phatbot schließt normalerweise die Hintertüren, die andere Würmer geöffnet haben, und löscht beispielsweise bei den Würmern Bagle oder Mydoom den Schädling. Sasser jedoch wird von Phatbot verändert, um alle IP-Adressen des Wurms herauszufinden und folgt Sasser nach, um die neu befallenen Rechner zu infizieren. Man kann diese Infektion an einer Datei mit dem Namen wormride.dll im Windowsverzeichnis erkennen. Ist diese Datei vorhanden, ist der Rechner mit beiden Würmern infiziert.

Sasser hat schätzungsweise zwei Millionen Rechner infiziert. Die bisher schlimmste Attacke durch den Wurm W32.Blaster , der auch Lovsan genannt wird, hatte nach Schätzungen von Microsoft 9,5 Millionen Computer infiziert und weltweit erhebliche finanzielle Schäden verursacht.

Um den Sasser-Programmierer ausfindig zu machen, setzte der Softwarekonzern eine Belohnung von 250.000 Dollar aus, die zur Ergreifung des Täters führte.

Der Entwickler der Computerwürmer wurde am 8. Juli 2005 vom Jugendschöffengericht des Landgerichts Verden zu einer Jugendstrafe von einem Jahr und neun Monaten auf Bewährung und 30 Stunden gemeinnütziger Arbeit verurteilt.

1. ↑ Datenschutzbeauftragter von Microsoft sagt im Sasser-Prozess aus. heise online, 6. Juli 2005, abgerufen am 28. Januar 2009. 

• Alfred Krüger: Würmer made in Germany. Telepolis, 9. August 2004, abgerufen am 28. Januar 2009. 
• Sasser-Prozess: Microsoft zahlt 250.000 US-Dollar Kopfgeld. Heise Security, 8. Juli 2005, abgerufen am 28. Januar 2009. 

• Malware