imported>SchlurcherBot: Bot: http → https

2025-11-18T15:29:11Z

Bot: http → https

Neue Seite

{{Dieser Artikel|behandelt den Computerwurm. Zu weiteren Bedeutungen siehe [[Sasser (Begriffsklärung)]].}}
{{Infobox Computerwurm
| Name = Sasser
| Aliase =
| Veröffentlichung = [[2004]]
| Herkunft = [[Deutschland]]
| Typ = Netzwerkwurm
| Subtyp =
| Autoren = [[Sven Jaschan]]
| Dateigröße = 15.872 Bytes
| Speicherresident =
| Verbreitung = [[Exploit]] in [[Local Security Authority Subsystem Service|LSASS]]
| System = [[Windows 2000]] und [[Windows XP|XP]]
| Programmiersprache = C++
| Info =
}}
Der [[Computerwurm]] '''Sasser''' verbreitete sich ab dem 13. April 2004 lawinenartig und mit hoher Geschwindigkeit auf [[Computer]]n mit den [[Microsoft]]-[[Betriebssystem]]en [[Windows 2000]] und [[Windows XP]].

Der Name des Wurms ist ein Wortspiel, zusammengesetzt aus dem englischen Verb „to sass“, zu deutsch „freche Antworten geben“, und der Tatsache, dass er eine Schwachstelle im Dienst [[Local Security Authority Subsystem Service|LSASS]] für seine Verbreitung ausnutzte.

== Versionen und Derivate ==
Der Name des Wurmes wurde von Microsoft als ''W32.Sasser'' festgelegt, die Originalversion wird zur Unterscheidung auch ''Sasser.A'' genannt.

Innerhalb kurzer Zeit tauchten mehrere Varianten des Wurms auf: ''Sasser.B'', ''Sasser.C'' und ''Sasser.D''.

== Funktion ==
=== Vervielfältigung ===
[[Datei:Sasser-screenshot-deutsch.gif|mini|282px|rechts|Screenshot beim Herunterfahren]]
Sasser wurde im Gegensatz zu vielen anderen Computerwürmern, die im Jahr 2004 [[In-the-wild|ausbrachen]], nicht als [[E-Mail]]-Anhang versandt. Sobald sich ein Benutzer mit dem [[Internet]] verbindet, nutzte der Wurm eine [[Exploit|Sicherheitslücke]] in einem [[Windows-Systemdienst]] mit dem Namen Local Security Authority Subsystem Service (LSASS) aus. Fand er einen verwundbaren Rechner, infizierte er ihn mit einem [[Code]], der den eigentlichen Wurm von bereits infizierten Rechnern kopierte. Dazu startete er auf [[Port (Protokoll)|Port]] 5554 einen [[File Transfer Protocol|FTP]]-[[Server]].<ref>[http://virus.wikidot.com/netsky virus.wikidot.com] Fachwiki-Eintrag zu ''Netsky''</ref><ref>[http://virus.wikidot.com/sasser virus.wikidot.com] Fachwiki-Eintrag zu ''Sasser''</ref>

Microsoft hatte bereits vor dem Ausbruch von Sasser einen Patch (MS04-011) veröffentlicht, der das Exploit im LSASS-Dienst schloss. Doch viele Unternehmen und Einzelpersonen hatten ihn nicht installiert.

Sasser und seine Varianten infizierten etwa zwei Millionen Rechner weltweit.

=== Payload ===
Der befallene Rechner wurde von dem Wurm in unregelmäßigen Abständen ausgeschaltet, dies wurde durch das Beenden des Systemprozesses lsass.exe durchgeführt, da Windows beim Beenden dieses Prozesses automatisch einen Neustart durchführt. Der materielle Schaden war schwer zu bemessen, da er im Wesentlichen aus allgemeinen Produktivitätsverlusten in Unternehmen bestand und darin, dass Dritte (z. B. Kunden und Interessenten) Internetseiten zeitweise nicht erreichen und nutzen konnten.

Das Herunterfahren konnte mit dem Befehl <code>shutdown -a</code> unter Start > Ausführen verhindert werden.<ref>{{Internetquelle |url=http://sasser.klaffke.de/ |titel=Netzwerk-Wurm Sasser – Maßnahmen zu Schutz und Entfernung |abruf=2020-04-15}}</ref> Jedoch funktionierte Windows bis zu einem Neustart nicht richtig, da lsass.exe ein wichtiger Systemprozess ist.

== Entfernung ==
Das Einspielen der damals verfügbaren Windows-Updates schütze sicher vor einer Infektion. Für alle etablierten [[Antivirenprogramm|Antimalware-Programme]] wurden Suchmuster entwickelt, um den Wurm auf befallenen Systemen zu erkennen und zu beseitigen. Zeitgemäße Betriebssysteme kann Sasser nicht infizieren, anfällige Rechner werden heutzutage wohl nur noch in seltenen Ausnahmefällen betrieben.

== Folgen ==
Unter den betroffenen Systemen waren Computer bei [[Kreditinstitut|Banken]], [[Reiseveranstalter|Reiseunternehmen]] und öffentlichen Einrichtungen. Betroffen waren die Computer der deutschen [[Postbank]], der [[Finnland|finnischen]] [[Sampo Bank]], der [[Delta Air Lines]] und der [[Europäische Kommission|Europäischen Kommission]] sowie weiterer Unternehmen und Behörden weltweit.<ref>{{cite web|url=https://www.heise.de/newsticker/meldung/Datenschutzbeauftragter-von-Microsoft-sagt-im-Sasser-Prozess-aus-113914.html|title=Datenschutzbeauftragter von Microsoft sagt im Sasser-Prozess aus|publisher=heise online|date=2005-07-06|accessdate=2009-01-28}}</ref>

=== Trittbrettfahrer ===
Ein weiterer Wurm mit dem Namen [[Phatbot]] schloss die Hintertüren, die andere Würmer geöffnet hatten, und löschte beispielsweise bei den Würmern [[Bagle (Computerwurm)|Bagle]] oder [[Mydoom]] den Schädling. Sasser jedoch wurde von Phatbot modifiziert, um alle [[IP-Adresse]]n des Wurms herauszufinden und folgte Sasser nach, um die befallenen Rechner zu infizieren. Man kann diese Infektion an einer Datei mit dem Namen <code>wormride.dll</code> im Windows-Rootverzeichnis erkennen. Ist diese Datei vorhanden, ist der Rechner mit beiden Würmern infiziert.

Zudem nutzte ein E-Mail-Wurm mit dem Namen ''Netsky.AC'' die Angst von Anwendern vor Sasser aus: Als Absender gab er sich als ein Hersteller von [[Antivirensoftware]] aus und tarnte sich unter anderem als Programm zum Entfernen von Sasser.B.

== Der Autor ==
Der Softwarekonzern Microsoft hatte für Hinweise auf den Urheber von Sasser eine Belohnung von 250.000 US-Dollar ausgesetzt. Daraufhin meldeten sich Mitwisser an die Polizei.

Der Programmierer von Sasser, [[Sven Jaschan]], ein damals 17-jähriger Schüler aus [[Waffensen]] bei [[Rotenburg (Wümme)]], wurde am 7. Mai 2004 vorübergehend festgenommen. Er besuchte zu dieser Zeit eine Berufsfachschule für Informatik. Jaschan war auch für die ursprünglichen Versionen der [[Netsky (Computerwurm)|Netsky]]-Computerwürmer verantwortlich.<ref>FAZ.net 9. Mai 2004: [https://www.faz.net/aktuell/gesellschaft/festnahme-von-waffensen-in-die-welt-1160122.html Von Waffensen in die Welt]</ref>

Am 8. Juli 2005 wurde Sven Jaschan vom Jugendschöffengericht des Landgerichts Verden zu einer [[Jugendstrafe]] von einem Jahr und neun Monaten auf Bewährung und 30 Stunden gemeinnütziger Arbeit verurteilt.<ref>[https://www.rotenburger-rundschau.de/lokales/rotenburg-wuemme/sven-jaschan-infizierte-2004-mit-seinen-computerwuermern-netsky-und-sasser-millionen-rechner-weltweit-117691.html rotenburger-rundschau.de] ''Sven Jaschan infizierte 2004 mit seinen Computerwürmern Netsky und Sasser Millionen Rechner weltweit'', 19. November 2016</ref>

== Einzelnachweise ==
<references />

== Weblinks ==
* {{cite web|url=https://www.heise.de/tp/features/Wuermer-made-in-Germany-3435841.html|title=Würmer made in Germany|publisher=[[Telepolis]]|author=Alfred Krüger|date=2004-08-09|accessdate=2009-01-28}}
* {{cite web|url=https://www.heise.de/security/meldung/Sasser-Prozess-Microsoft-zahlt-250-000-US-Dollar-Kopfgeld-114404.html|title=Sasser-Prozess: Microsoft zahlt 250.000 US-Dollar Kopfgeld|publisher=[[Heise Security]]|date=2005-07-08|accessdate=2009-01-28}}
* {{cite web|url=https://www.stern.de/digital/online/-sasser--programmierer-der-wurm-von-der-wuemme-5801568.html|title="Sasser"-Programmierer: Der Wurm von der Wümme|publisher=[[Stern (Zeitschrift)|Stern]]|date=2004-06-17|accessdate=2016-01-24}}
* [https://www.faz.net/aktuell/gesellschaft/computer-millionen-rechner-leiden-unter-sasser-1148023.html faz.net] Millionen Rechner leiden unter „Sasser“, 4. Mai 2004

[[Kategorie:Schadprogramm]]
[[Kategorie:Computerwurm]]
[[Kategorie:Kriminalfall 2004]]

Sasser - Versionsgeschichte

imported>SchlurcherBot: Bot: http → https