Ein neuer Computerwurm hat zum Wochenbeginn in kurzer Zeit eine große Verbreitung erreicht. Ähnlich wie der "Blaster"-Wurm des vergangenen Jahres infiziert "Sasser" den PC nicht über E-Mail, sondern allein durch den Anschluss ans Netz. Ein befallener Rechner muss immer wieder neu starten, so dass man nicht mehr mit ihm arbeiten kann.
Der Schädling soll nach Einschätzung von Experten über das erste Mai-Wochenende Hunderttausende Computer befallen haben. "Die Auswirkungen sind aber nicht dramatisch, es könnte schlimmer sein", sagte der Karlsruher Virenspezialist Christoph Fischer.
Betroffen sind Computer mit den Betriebssystemen Windows 2000 und Windows XP, die ohne den zusätzlichen Schutz einer "Firewall" direkt mit dem Computernetz verbunden sind. In diesen Fällen reicht bereits eine Internet-Verbindung von wenigen Sekunden, um mit "Sasser" infiziert zu werden. Die Schadenssoftware installiert sich in das "Run"-Verzeichnis der Windows-Registry und startet damit automatisch im Anschluss an das Booten, also den Startvorgang von Windows. Für seine Weiterverbreitung erzeugt der Wurm zufällige IP-Adressen, also jene Ziffernfolge, die jeden Computer im Netz eindeutig bezeichnen. Danach versucht der Wurm, über einen bestimmten "Port" einzudringen - das ist eine Übergabestelle für Daten aus dem Netz.
Bekannte Sicherheitslücke wird ausgenutzt
Der Wurm nutzt eine Sicherheitslücke im "Local Security Authority Subsystem Service" (LSASS) des Betriebssystems aus. Beim Start des befallenen Rechners erscheint eine entsprechende Fehlermeldung mit dem Hinweis auf die Datei lsass.exe. "Vermutlich hat der von Microsoft bereitgestellte Patch dem Virenschreiber sogar erst die nötigen Informationen geliefert", sagte Fischer.
Ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) teilte am Montag mit, der Wurm habe eine sehr hohe Verbreitung gefunden. Um den Kreislauf der ständigen Neustarts zu unterbrechen und einen "Patch" von Microsoft zur Schließung der Sicherheitslücke aufzuspielen, sollte man unter "Start, Ausführen" den Befehl eingeben: "shutdown -a". Danach lässt sich der Wurm auch mit Hilfe Programme beseitigen.
Der "Blaster"-Wurm verbreitete sich im August vergangenen Jahres in kürzester Zeit auf weltweit mehreren hunderttausend Computern, weil die in Windows XP integrierte persönliche Firewall standardmäßig nicht aktiviert war.
Bankgeschäft der Post lahm gelegt
Die Abwehr des Computerwurms "Sasser" hat nach einem Bericht der Hannoverschen "Neuen Presse" das Bankgeschäft der Deutschen Post seit Montag lahm gelegt. Es handele sich um die bisher längste Panne in der Geschichte des Unternehmens, von der rund 300.000 Post-Computer im ganzen Bundesgebiet betroffen seien.
Der Grund liegt dem Blatt zufolge darin, dass die Post angesichts der Warnungen vor "Sasser" ihren Virenschutz derart stark erhöht habe, dass die Rechner in den Filialen nur noch eingeschränkt funktioniert hätten. Dadurch hätten zahllose Kunden am Postschalter kein Geld mehr abheben oder einzahlen können. Die Bahn AG sei ebenfalls von „Sasser“ heimgesucht worden, habe den Software-Killer aber abwehren können, schreibt die „Neue Presse“ weiter.
