Win-xp---sassar Wurm

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Win-xp---sassar Wurm

    Sasser-Wurm: System-Neustarts ala Blaster-Attacke

    Microsoft hatte letzten Montag davor gewarnt ( wir berichteten ) - jetzt ist es passiert. Seit dem Wochenende kursiert im Internet der Wurm "Sasser", der die LSASS-Lücke (Local Security Authority Subsystem Service) in Windows XP und Windows 2000 ausnutzt, um durch einen Buffer Overrun das System zu infizieren. Bereits hunderte von Anwendern beklagen sich seit dem Wochenende darüber, dass Windows, wie damals bei der Blaster-Attacke, einen schweren Fehler meldet und einen Neustart durchführt.

    Microsoft hatte für diese Lücke bereits vor einigen Wochen durch den Sicherheits-Patch MS04-11 geschlossen und vor wenigen Tagen alle Anwender erneut dazu aufgefordert, unbedingt diesen Patch zu installieren. LSASS ist, vereinfacht ausgedrückt, als lokaler Sicherheitsdienst in Windows dafür zuständig sicherzustellen, dass ein als User angemeldeter Nutzer nur das tun darf, was der Administrator erlaubt hat.

    "Sasser" greift alle Systeme an, die noch nicht gepatcht sind und auf denen keine Firewall zum Einsatz kommt. Der Wurm sorgt für seine eigene Verbreitung, in dem er über zufällig generierte IP-Adressen und den TCP-Port 445 nach ungepatchten Systemen sucht.

    Findet er ein solches System, dann wird dort der Buffer Overrun ausgelöst. Die Folge: Windows meldet einen schweren Fehler und - die Blaster-Attacke dürfte vielen noch aus dem vergangenen Jahr bekannt sein - startet das System nach einem Countdown neu.

    Auf der nächsten Seite erfahren Sie, wie Sie sich genügend Zeit für die Installation des Patches verschaffen.

    So brechen Sie den Neustart ab

    Sollte der Countdown gestartet sein, rufen Sie "Start, Ausführen" auf und geben dann "shutdown -a" ein. Der Countdown wird dann abgebrochen.


    Die Ruhe hält nur bis zum nächsten Neustart des Systems an. Besorgen Sie sich daher unbedingt so schnell wie möglich den Microsoft-Patch. Sie finden ihn entweder über die Windows Update Funktion (KB 835732) oder auf dieser Seite . Der Download beträgt nur wenige Megabyte.

    Anschließend sollten sie Ihr System überprüfen, ob es von dem Sasser-Wurm infiziert wurde. Denn der Wurm nutzt LSASS-Lücke, um durch die Hintertür in ihr System zu gelangen. Auf dem infizierten System wird der TCP-Port 9996 geöffnet und dann der eigentliche Wurm-Code über eine FTP-Verbindung und dem Port 5554 herunter geladen.

    Die Malware richtet nach dem derzeitigen Kenntnisstand nicht großen Schaden an, sondern sorgt vor allem für ihre Weiterverbreitung. Auf den infizierten Systemen wird die Datei "CMD.FTP" gelöscht und eine neue Datei mit dem Namen "WIN.LOG" erstellt. In dieser Datei führt Sasser darüber Buch, wie viele andere Systeme es bereits infizieren konnte.

    Dennoch sollten Sie unbedingt überprüfen, ob der Sasser-Wurm es auf ihren Rechner geschafft hat, weil Sie ansonsten mithelfen, dass er sich verbreitet. Bringen Sie ihre Antiviren-Software auf den neuesten Stand und überprüfen Sie damit Ihren Rechner.

    Während die Variante A eine Datei mit dem Namen avserve.exe anlegt, so nistet sich die B-Version als avserve2.exe ein. Wenn eine dieser beiden Dateien im Windows-Verzeichnis zu finden ist, ist das ein sicheres Zeichen einer Infektion. Weiterhin legt er einen Registry-Key unter HKML\SOFTWARE\Microsoft\Windows\CurrentVersion\Run an, um bei jedem Rechnerstart automatisch aktiv zu werden.

    Eine kostenlose Möglichkeit, um den Wurm wieder loszuwerden, bietet das Freeware-Tool Stinger von McAfee, dass in der neu erschienen Version den Wurm erkennt und beseitigt. Den Download von Stinger finden Sie auf dieser Seite .


    Mit freundlichen Grüßen
    poka

    xXJOKERXx

    /EDIT FOR MOD

    So einen Sicherheitshinweis gibt es schon zwar, bei diesem wird glaube ich aber besser geholfen!!! ;)
  • bei mir kommen die dinger nur rein wenn ich die firewall aus habe. wenn man die an hat passiert so gut wie nichts und wenn man immer seine anti-virus programme updatet is auch alles in ordung. aber wenn man son kackvieh ma draufhat dann isses lästig es wieder loszuwerden.
    daher finde ich die removal toolz von norton geil!

    greeeeeeez

    garga