title image


Smiley Re: Entstehung von Sasser
auf einem system laufen verschiedene Dienste, z.B. der LSASS

(Local-Security-Authentication-Weiterweissichjetztgradnicht-Dienst)

Lsass wird zur Authentifizierung an einem System genutzt, wenn du zum beispiel in einem Netzwerk auf Netzwerkfreigaben zugreiffst sendet dein PC deine Logininfos und der andere PC überprüft mittels des LSASS Dienstes ob du das darfst

--- (Fachleute werden spätestens hier erkennen, das ich das ganze etwas Verinfache)-----



auf die schnelle gegooglet für details



----------------------

das heisst dieser Dienst ist aus dem netzwerk erreichbar und übernimmt Anfragen (Datenpäckchen),

die datenpäckchen werden im Arbeitsspeicher in einem definierten Bereich abgelegt, angenommen der Programmierer war etwas nachlässig und fragt die Länge des übergebenen Päckchens nicht ab (diese Trivialvariantre trifft hier nicht zu ist aber leichter zu erklären) das heisst im Arbeitsspeicher ist Platz für wegen mir 50 Zeichen vorgesehen, es werden aber 500 übergeben, dann werden diese in einen Bereich geschrieben, der mit diesem Prozess nichts zu tun hat.

Im Arbeitsspeicher werden aber nicht nur Daten, sondern auch ausführbare Befehle abgelegt, wenn man jetzt weiss welche Zeichenketten (kann man im Internet nachlesen) man wie (kann man auch im Internet nachlesen) an den LSASS übergibt, damit ein Teil dieser Zeichenkette in einen Ausführbaren Bereich gelangt, und dies tut, kann man einem Rechner übers (Inter)Netz (denn praktischerweise bieten Windos systeme ihre Netzwerkdienste auch im Internetzwerk an (das war auch bei Blaster/Lovesan der Fall))

Daten schicken, die dieser verarbeitet, und aufgrund eines Programmiererfehlers (Programmierer sind auch nur Menschen) zum Teil in einen ausführbaren bereich schreibt, wo dann ein Kommando ausgeführt wird, das z.B. einen FTP Server auf dem Rechner startet (normalerweise sind hier noch ein paar Schritte dazwischen)

über diesen kann der Wurm Dateien/Programme (sich selbst) auf deinen Rechner und Autostarteinträge in die Registry Kopieren/Einfügen

und das wars



hoffe das war ein bischen verständlich :-)

gruss Fini


gelegentlich gelangen Leser meiner (wirren) Beiträge, zur Überzeugung, diese seien
a)unverständlich,
b)falsch,
c)unvollständig,
d)blödsinn
jene sind herzlich eingeladen mich zu korrigieren



Fini ( fini-online )


geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: