Internetworm Sasser verspreidt zich razendsnel

Het nieuwe computervirus Sasser heeft honderdduizenden computers getroffen. Zorg om Sasser worm neemt toe. Sasser opgewaardeerd naar high-risk. Gevolgen van Sasser-virus blijven beperkt.

Deze enigszins tegenstrijdige teksten zijn de koppen van berichten op vooraanstaande nieuwssites. Hoe het ook zij, gisteren haalde Sasser wel het radionieuws en werd gemeld dat ook Philips was getroffen.

Sasser is een internetworm die zich verspreidt met behulp van een kwetsbaarheid in Microsoft Windows. Via poort 9996 en 445 probeert het dit lek aan te spreken. Is het doelsysteem kwetsbaar dan wordt vervolgens via FTP het schadelijke wormbestand gedownload.

Op 3 mei stuurde Virusalert een zogeheten 'hiogh-risk alert' voor variant B, die zich razendsnel zou verspreiden.  VirusAlert volgde daarmee het advies van een aantal expertise-partners.

Het virus Sasser kan actief worden zonder dat de gebruiker een e-mailbijlage opent. Ook als niemand gebruik maakt van de computer kan het virus toeslaan. De Sasser-worm maakt misbruik van een lek dat Microsoft op 13 april dit jaar heeft gemeld, maar gebruikers van een goede firewall zouden er geen last van moeten ondervinden. Wie voortdurend Windows (automatisch) update heeft er ook geen last van. Kwetsbare systemen zijn Windows NT, 2000,  XP en Windows Server 2003 met daarin met name de poorten 445, 5554, and 9996. De eerste Sasser-worm is op 30 april gesignaleerd. Inmiddels is er ook al C en D-variant.

Sasser zou volgens experts tot dusver weinig schade aangericht hebben, behalve dat ze systemen opnieuw laten opstarten. Virusalert geeft aan dat Sasser versie D na infectie verschillende acties kan uitvoeren op het systeem zoals het openen en verwijderen van programma's en bestanden.

Microsoft geeft meer informatie over de kwetsbaarheid op een speciale pagina: Microsoft Security Bulletin MS04-011.