Sasser

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Screenshot beim Herunterfahren

Der Computerwurm Sasser (Der Name ist ein Wortspiel zusammengesetzt aus dem englischen Verb „to sass“ – „freche Antworten geben“ und der Tatsache, dass er den Dienst LSASS ausnutzt) verbreitete sich Anfang Mai 2004 in hoher Geschwindigkeit auf Computern mit den Microsoft-Betriebssystemen Windows 2000 und Windows XP.

Ursprung[Bearbeiten | Quelltext bearbeiten]

Der „offizielle“ Name des Wurmes ist W32.Sasser. Unter den betroffenen Systemen waren Computer bei Banken, Reiseunternehmen und öffentlichen Einrichtungen. Betroffen waren die Computer der deutschen Postbank, der finnischen Sampo Bank, der Delta Air Lines und der Europäischen Kommission sowie weiterer Unternehmen und Behörden weltweit.[1]

Verbreitung und Auswirkungen[Bearbeiten | Quelltext bearbeiten]

Sasser wurde nicht als E-Mail-Anhang versandt. Sobald sich ein Benutzer mit dem Internet verbindet, nutzte der Wurm einen Fehler in einem Windows-Systemdienst mit dem Namen Local Security Authority Subsystem Service (LSASS) aus. Fand er einen verwundbaren Rechner, infizierte er ihn mit einem Code, der den eigentlichen Wurm von bereits infizierten Rechnern kopierte. Dazu startete er auf Port 5554 einen FTP-Server.

Der befallene Rechner wurde von dem Wurm in unregelmäßigen Abständen ausgeschaltet. Der materielle Schaden war schwer zu bemessen, da er im Wesentlichen aus allgemeinen Produktivitätsverlusten in Unternehmen bestand und darin, dass Dritte (z. B. Kunden und Interessenten) Internetseiten zeitweise nicht erreichen und nutzen konnten.

Innerhalb kurzer Zeit tauchten mehrere Varianten des Wurms auf: Sasser.B, Sasser.C und Sasser.D (das Original wird Sasser.A genannt). Zudem nutzte ein E-Mail-Wurm mit dem Namen Netsky.AC die Angst von Anwendern vor Sasser aus: Als Absender gab er sich als ein Hersteller von Antivirensoftware aus und tarnte sich unter anderem als Programm zum Entfernen von Sasser.B.

Sasser hat schätzungsweise zwei Millionen Rechner infiziert.

Trittbrettfahrer[Bearbeiten | Quelltext bearbeiten]

Ein weiterer Wurm mit dem Namen Phatbot schloss die Hintertüren, die andere Würmer geöffnet hatten, und löschte beispielsweise bei den Würmern Bagle oder Mydoom den Schädling. Sasser jedoch wurde von Phatbot verändert, um alle IP-Adressen des Wurms herauszufinden und folgte Sasser nach, um die befallenen Rechner zu infizieren. Man kann diese Infektion an einer Datei mit dem Namen wormride.dll im Windowsverzeichnis erkennen. Ist diese Datei vorhanden, ist der Rechner mit beiden Würmern infiziert.

Der Autor[Bearbeiten | Quelltext bearbeiten]

Der Programmierer von Sasser, Sven Jaschan, ein damals 17-jähriger Schüler aus Waffensen bei Rotenburg (Wümme), wurde am 7. Mai 2004 vorübergehend festgenommen.[2] Der Softwarekonzern Microsoft hatte für Hinweise auf den Urheber von Sasser eine Belohnung von 250.000 US-Dollar ausgesetzt. Daraufhin meldeten sich Mitwisser an die Polizei.

Er wurde am 8. Juli 2005 vom Jugendschöffengericht des Landgerichts Verden zu einer Jugendstrafe von einem Jahr und neun Monaten auf Bewährung und 30 Stunden gemeinnütziger Arbeit verurteilt.[3]

Sven Jaschan besuchte 2004 eine Berufsfachschule für Informatik. Er war auch für die ursprünglichen Versionen der Netsky Computerwürmer verantwortlich.

Trivia[Bearbeiten | Quelltext bearbeiten]

Das Herunterfahren konnte mit dem Befehl shutdown -a unter Start > Ausführen verhindert werden.[4]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Datenschutzbeauftragter von Microsoft sagt im Sasser-Prozess aus. heise online. 6. Juli 2005. Abgerufen am 28. Januar 2009.
  2. FAZ.net 9. Mai 2004: Von Waffensen in die Welt
  3. Der Hacker von der Wümme auf rotenburger-rundschau.de, 19. November 2016, abgerufen 18. August 2017
  4. Netzwerk-Wurm Sasser - Maßnahmen zu Schutz und Entfernung. Abgerufen am 15. April 2020.