Der Countdown zum Neustart lässt sich nicht direkt abbrechen. Durch einen kleinen Trick können Sie ihn allerdings verhindern, so dass Sie in Ruhe die benötigten Patches aus dem Internet herunterladen können. Sie haben zwei Möglichkeiten:

Bild 1

* Klicken Sie auf keinen der beiden Buttons der ersten Fehlermeldung (im Bild: die Fehlermeldung in der englischsprachigen Version von Windows). Der Countdown (siehe nächstes Bild) startet dann nicht.

Bild 2

Sollte der Countdown gestartet sein, rufen Sie "Start, Ausführen" auf und geben dann "shutdown -a" ein. Der Countdown wird dann abgebrochen.

Die Ruhe hält nur bis zum nächsten Neustart des Systems an. Besorgen Sie sich daher unbedingt so schnell wie möglich den Microsoft-Patch. Sie finden ihn entweder über die Windows Update Funktion (KB 835732) oder auf dieser Seite. Der Download beträgt nur wenige Megabyte.
Anschließend sollten sie Ihr System überprüfen, ob es von dem Sasser-Wurm infiziert wurde. Denn der Wurm nutzt LSASS-Lücke, um durch die Hintertür in ihr System zu gelangen. Auf dem infizierten System wird der TCP-Port 9996 geöffnet und dann der eigentliche Wurm-Code über eine FTP-Verbindung und dem Port 5554 herunter geladen.
Die Malware richtet nach dem derzeitigen Kenntnisstand nicht großen Schaden an, sondern sorgt vor allem für ihre Weiterverbreitung. Auf den infizierten Systemen wird die Datei "CMD.FTP" gelöscht und eine neue Datei mit dem Namen "WIN.LOG" erstellt. In dieser Datei führt Sasser darüber Buch, wie viele andere Systeme es bereits infizieren konnte.
Dennoch sollten Sie unbedingt überprüfen, ob der Sasser-Wurm es auf ihren Rechner geschafft hat, weil Sie ansonsten mithelfen, dass er sich verbreitet. Bringen Sie ihre Antiviren-Software auf den neuesten Stand und überprüfen Sie damit Ihren Rechner.
Während die Variante A eine Datei mit dem Namen avserve.exe anlegt, so nistet sich die B-Version als avserve2.exe ein. Wenn eine dieser beiden Dateien im Windows-Verzeichnis zu finden ist, ist das ein sicheres Zeichen einer Infektion. Weiterhin legt er einen Registry-Key unter HKML\SOFTWARE\Microsoft\Windows\CurrentVersion\Run an, um bei jedem Rechnerstart automatisch aktiv zu werden.
Eine kostenlose Möglichkeit, um den Wurm wieder loszuwerden, bietet das Freeware-Tool Stinger von McAfee, dass in der neu erschienen Version den Wurm erkennt und beseitigt. Den Download von Stinger finden Sie auf dieser Seite.

Sasser-Wurm: System-Neustarts ala Blaster-Attacke

Microsoft hatte letzten Montag davor gewarnt (wir berichteten) - jetzt ist es passiert. Seit dem Wochenende kursiert im Internet der Wurm "Sasser", der die LSASS-Lücke (Local Security Authority Subsystem Service) in Windows XP und Windows 2000 ausnutzt, um durch einen Buffer Overrun das System zu infizieren. Bereits hunderte von Anwendern beklagen sich seit dem Wochenende darüber, dass Windows, wie damals bei der Blaster-Attacke, einen schweren Fehler meldet und einen Neustart durchführt.
Microsoft hatte für diese Lücke bereits vor einigen Wochen durch den Sicherheits-Patch MS04-11 geschlossen und vor wenigen Tagen alle Anwender erneut dazu aufgefordert, unbedingt diesen Patch zu installieren. LSASS ist, vereinfacht ausgedrückt, als lokaler Sicherheitsdienst in Windows dafür zuständig sicherzustellen, dass ein als User angemeldeter Nutzer nur das tun darf, was der Administrator erlaubt hat.
"Sasser" greift alle Systeme an, die noch nicht gepatcht sind und auf denen keine Firewall zum Einsatz kommt. Der Wurm sorgt für seine eigene Verbreitung, in dem er über zufällig generierte IP-Adressen und den TCP-Port 445 nach ungepatchten Systemen sucht.
Findet er ein solches System, dann wird dort der Buffer Overrun ausgelöst. Die Folge: Windows meldet einen schweren Fehler und - die Blaster-Attacke dürfte vielen noch aus dem vergangenen Jahr bekannt sein - startet das System nach einem Countdown neu.

Original geschrieben von Linux-Daemon
Das ist soviel ich weiss sober.c und nicht sasser ;)!