Dabber knöpft sich Sasser und andere Würmer vor

Weiterer Sober-Ableger mit deutschsprachigem Nachrichtentext unterwegs. Wie Hersteller von Antiviren-Software berichten, verbreitet sich mit Dabber.A ein neuer Wurm im Internet, der eine Sicherheitslücke in Sasser ausnutzt, um sich darüber zu verbreiten und andere Würmer auf einem befallenen System zu entfernen. Außerdem wurde mit Sober.G eine weitere Variante des Wurms entdeckt, der sich unter anderem mit deutschsprachigem Nachrichtentext versendet und sich bereits recht stark verbreiten konnte.

17. Mai 2004 um 09:54 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Dabber.A verbreitet sich selbsttätig im Internet, indem eine Sicherheitslücke in dem vom Sasser-Wurm installierten ftp-Server ausgenutzt wird. Dazu sucht der Wurm auf dem Port 5554 nach von Sasser befallenen Systemen und installiert sich im Erfolgsfall auf diese. Dabber seinerseits aktiviert einen ftp-Server auf Port 9898, um sich darüber zu vermehren. Wenn Dabber.A aktiv ist, versucht er, zahlreiche Registry-Einträge zu löschen, die von anderen Würmern oder Schadprogrammen angelegt wurden. Dazu zählen die Würmer Sasser, Bagle und der Trojaner Mitglieder.

Dabber.A legt sich unter dem Dateinamen package.exe im Windows-System-Verzeichnis sowie im Autostart-Verzeichnis ab. So wird der Wurm bei jedem Windows-Neustart automatisch geladen. Zudem schreibt sich der Wurm noch mit einem Autostart-Eintrag in die Registry.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: TechRiders Summit – Europas Plattform für digitale Souveränität, IT Strategy & Execution

zum Ratgeber

Seminar: CustomGPTs zu KI-Assistenten entwickeln: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Exklusiv: Microsoft 365 Sicherheit Masterclass - Schutz, Zugriff und Compliance (E-Learning Paket mit 3 Kursen)

zum Kurs

Bislang hat sich Dabber.A nach Informationen der Hersteller von Antiviren-Software nicht sonderlich stark verbreiten können – ganz im Unterschied zu Sober.G. Wie seine Vorfahren versendet sich auch dieser Wurm-Ableger unter anderem über einen deutschsprachigen Nachrichtentext per E-Mail und will Nutzer dazu bringen, den E-Mail-Anhang mit dem Wurm-Code zu öffnen und sich so zu infizieren.

Auf einem befallenen System nistet sich Sober.G so ein, dass er bei jedem Windows-Neustart geladen wird. Für seine Verbreitung durchsucht der Schädling zahlreiche lokale Dateien nach gültigen E-Mail-Adressen und versendet sich mit einer gefälschten Absenderadresse über eine eigene SMTP-Engine an diese. Je nachdem, welche Länderkennung die Domain der gefundenen Empfänger-Adressen aufweist, verschickt sich der Wurm mit deutschsprachigem oder englischsprachigem Text.

Die Hersteller von Antiviren-Software haben ihre Signatur-Dateien aktualisiert, um sowohl Dabber.A als auch Sober.G erkennen und bekämpfen zu können.

Zur Startseite Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Sober.F: Wurm versendet sich mit deutschsprachigen Texten

Starke Verbreitung des Sober-Neulings im deutschsprachigen Internet. Wie mehrere Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich mit Sober.F ein weiterer Ableger des Wurms derzeit besonders stark im deutschsprachigen Internet. Im Unterschied zu den weiterhin stark in Umlauf befindlichen Würmern Bagle und Netsky versendet sich der aktuelle Sober-Wurm - wie auch seine Vorgänger - mit deutschsprachigen E-Mail-Texten. Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft.

Spendensammlung für Sasser-Verursacher angelaufen

Webseite sieht Sasser-Autor als Warner vor mangelnder Windows-Sicherheit. Über eine eigens eingerichtete Webseite werden derzeit Spenden für den Sasser-Schreiber gesammelt, damit dieser nach der Intention der Spendensammler eine adäquate Verteidigung bezahlen und eine halbwegs angenehme Zeit im Gefängnis verbringen kann, sofern er zu einer Haftstrafe verurteilt wird. In der an Sicherheitsspezialisten gerichteten Webseite wird Microsoft die Verantwortung für den Sasser-Wurm zugeschoben.

Ermittlungen: Sasser-Urheber hatte Komplizen

Weitere Hausdurchsuchungen und Befragungen vorgenommen. Das Landeskriminalamt (LKA) Niedersachsen gab bekannt, dass am 11. Mai 2004 LKA-Beamte fünf weitere Wohnungen im Raum Rotenburg/Wümme durchsucht haben. Zwei der fünf Beschuldigten erklärten, sie hätten den Netsky-Quellcode vom Sasser-Autor erhalten; einer der Tatverdächtigen gab zu, den Wurm Netsky verbreitet zu haben.

Relevante Themen