Sasser-Wurm und die Folgen: Deutsche Post beeinträchtigt

Neuer NetSky-Wurm gibt sich als Mittel zur Sasser-Bekämpfung aus

Nachdem der Wurm Sasser mit einer dem Blaster-Wurm vergleichbaren Verbreitungsmethode mehrere Millionen Computersysteme befallen haben soll, ist bereits eine weitere Variante des Unholds entdeckt worden. Ein neuer NetSky-Wurm springt auf den Sasser-Zug auf und gibt vor, Abhilfe dagegen zu schaffen. Wie verschiedene Medien berichten, haben einige Firmen auf Grund der Sasser-Attacke ihre normale Arbeit einstellen müssen, was auch Postfilialen in Deutschland betroffen haben soll.

Laut verschiedener Medienberichte hat Sasser die taiwanische Post beeinträchtigt, aber auch eine finnische Bank zur Untätigkeit verdammt. So blieben die Filialen der zweitgrößten finnischen Bank Sampo am vergangenen Montag geschlossen. Bei der taiwanischen Post wurden 1.600 Arbeitsplätze von Sasser befallen, so dass diese ausgeschaltet werden mussten. Dadurch seien viele Bankgeschäfte nicht abgewickelt worden und es haben sich lange Schlangen vor den Postschaltern gebildet.

Ein ähnliches Bild gab es auch in Deutschland, wo die Deutsche Post bundesweit etwa 300.000 Post-Computer nur eingeschränkt nutzen konnte. Die Ursache sei allerdings weniger direkt auf Sasser zurückzuführen. Das Unternehmen habe vorbeugend die Regeln für die Firewall erhöht, was dafür sorgte, dass zahlreiche Computer an Postschaltern nur noch eingeschränkt genutzt werden konnten. Dies habe dazu geführt, dass zahlreiche Kunden kein Geld am Schalter einzahlen konnten oder ausbezahlt bekommen haben.

Mit NetSky.AC springt der Unhold auf die Sasser-Welle auf und will sich die Angst vor dem Wurm zu Nutze machen. NetSky.AC verbreitet sich per E-Mail, verwendet eine gefälschte Absenderadresse, die vermeintlich von Herstellern von Antiviren-Software stammt, und gibt im englischsprachigen E-Mail-Text vor, dass der Anhang zur Bekämpfung von Sasser sowie anderen Würmern geeignet sei. Das soll Nutzer dazu bringen, den im Anhang befindlichen Wurm-Code auszuführen, was den entsprechenden Rechner befällt. Software-Hersteller versenden Programm-Patches oder andere Software prinzipiell nicht per E-Mail, so dass solchen Angeboten immer mit Vorsicht begegnet werden sollte.

Wird NetSky.AC aktiviert, schreibt er sich so in die Registry, dass der Wurm bei jedem Windows-Neustart automatisch geladen wird. In zahlreichen lokalen Dateien stöbert der Unhold nach E-Mail-Adressen und versendet sich an diese mit einer eigenen SMTP-Engine, wobei eine Kopie immer an eine bestimmte Yahoo-Adresse geht. Mittlerweile melden die Labore der Antiviren-Hersteller, dass ein weiterer Sasser-Ableger im Internet umherstreunt, so dass innerhalb weniger Tage vier Varianten von Sasser gesichtet wurden.