Verfügbare Informationen zu "Virus Sasser - Update !"
Qualität des Beitrags: Beteiligte Poster: RaymannStyleZ Forum: Willkommen im PCSTYLEZ.forum! Forenbeschreibung: Optimiert für Mozilla/Mozilla Firefox (c) aus dem Unterforum: Off Topic (O.T.) Antworten: 3 Forum gestartet am: Sonntag 02.05.2004 Sprache: deutsch Link zum Originaltopic: Virus Sasser - Update ! Letzte Antwort: vor 19 Jahren, 11 Monaten, 17 Tagen, 7 Stunden, 49 Minuten
Alle Beiträge und Antworten zu "Virus Sasser - Update !"
Re: Virus Sasser - Update !
RaymannStyleZ - 03.05.2004, 21:49Virus Sasser - Update !
Achtung:
Seit dem 01.05.04 (Nacht) ist ein neuer Wurm im Umlauf, der wie seinerzeit "Blaster" eine bestehende Sicherheitslücke zur Verbreitung ausnutzt!
Name: Wurm Sasser.A
Infektion und Verbreitung:
Der Wurm nutzt eine Schwachstelle im LSASS Dienst (Local Security Authority Subsystem Service). Über einen Buffer Overflow ist es möglich beliebigen Code auszuführen. Eine Infektion des Systems endet im Beenden des Dienstes und einem Herunterfahren des Systems. Der Wurm erstellt ein ftp-Script und startet einen ftp-Server auf der Remote-Maschine (Port 5554). Der Wurm startet ftp.exe auf dem Zielsystem und lädt mit Hilfe des ftp-Scripts die Wurm-.exe herunter und speichert diese als "xxxx_up.exe" (xxxx = vierstellige Zufallszahl) im Windowsverzeichnis. Der Wurm kopiert sich als avserve.exe in das Windowsverzeichnis (%Windows%) und fügt folgenden Registry-Eintrag hinzu, damit er bei jedem Systemstart automatisch gestartet wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = "%Windows%\avserve.exe"
Der Wurm öffnet einen ftp-Port (5554) und scannt IP Adressen nach verwundbaren Systemen (TCP port 445.)
Im Security Bulletin vom 13. April 2004 werden auch noch diverse andere Sicherheitslücken angesprochen. Da der Wurm noch relativ neu ist liegen noch keine detaillierten Informationen vor. Neben den beschriebenen Symptomen sind auch noch andere "Auffälligkeiten" denkbar!
Betroffene Systeme:
* Microsoft Windows 2000 Service Pack 2 + 3 + 4
* Microsoft Windows XP und Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 64-Bit Edition
Hinweise zur Entfernung:
Eine Infektion lässt sich an einem laufenden Prozess avserve.exe (15,872 Bytes, PECompact gepackt) erkennen.
Zur Entfernung den Prozess über den Taskmanager beenden, die Registry bereinigen und die Datei löschen. Weiter Infos siehe Links zu den Herstellern von AV-Software. Das Herunterfahren sollte auf XP / 2k3 Systemen per Start -> Ausführen -> shutdown -a abgebrochen werden können!
Wichtig:
Auf allen potentiell betroffenen Systemen sollten unbedingt asap die nötigen Patches installiert werden!
http://microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-011.htm
Windows-Update durchführen um auch andere potentielle Lücken zu schliessen:
http://v4.windowsupdate.microsoft.com/de/default.asp
Weitere Infos:
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
Detaillierte Informationen und Hinweise zur Entfernung:
=> http://sasser.klaffke.de/ <=
Removal-Tool:
Ceddybaer hat ein kleines Removal-Tool geschrieben. Das Tool muss im abgesicherten Modus ausgeführt werden, oder die Wurm-Prozesse müssen zuvor per Hand beendet werden (Taskmanager)
Mirror 1
Mirror 2
Mirror 3
Microsoft Security Update:
May 1, 2004
VIRUS ALERT
============
Microsoft has verified that a malicious worm known as W32.Sasser.worm
and variants of that worm are spreading on the Internet.
You can help protect your computer by downloading and installing
Microsoft Security Update MS04-011. You can find more information
on this update at:
http://go.microsoft.com/?LinkID=466770
If you have already installed the update, you are protected from the
worm. If you have not already installed the update, you can download
and install it from the Windows Update Web site. The update is listed in
the critical updates under the update number 835732.
If you think your computer may be infected by W32.Sasser.worm, find
out for sure and learn what you can do to remove it by visiting the What
You Should Know About Sasser page at:
http://www.microsoft.com/security/incident/sasser.asp
_________________________________________________________________________________
Name: Wurm Sasser.B
Alle die Probleme haben den Rechner herunterzufahren, bzw. einen Neustart auszuführen, sind wahrscheinlich mit der "B"-Variante infiziert. Diese Variante bedient sich der AbortSystemShutdown API, um Versuche den PC herunterzufahren / neu zu starten zu verhindern. Ansonsten ist die Variante (bis auf einige andere technische Details) identisch mit Sasser.A, lediglich der Dateiname lautet "avserve2.exe".
Info Sasser.B @ Symantec
Info Sasser.B @ ca
Auszug aus Chip-Online, vielen Dank an Chemiker !
Re: Virus Sasser - Update !
RaymannStyleZ - 07.05.2004, 20:37
Hier der "Nachfolger"
"Phatbot"-Virus
Wurm spioniert nach Passwörtern für Online-Banking
Die Kette der Computerviren-Angriffe reißt nicht ab. Nach den Attacken von "Sasser" folgt jetzt der so genannte "Phatbot"-Wurm. Wie das Computer-Magazin PC Professionell am Freitag mitteilte, sucht der Schädling nach Passworten für Online-Banking und Netzwerkzugänge. Der Wurm verschafft sich durch Sicherheitslücken im Betriebssystem Zugang auf den Rechner seiner Opfer.
Sasser-Virus Alle Infos, Tipps und Tools zum Beseitigen
Schadensbilanz Sasser legt Behörden und Firmen lahm
Wurm nutzt Sicherheitslücken
Während "Phatbot" (alias Agobot und Gaobot) bisher vor allem die von Mail-Würmern wie "MyDoom" oder "Bagle" geöffneten Hintertüren suchte, um sich zu verbreiten, verfolgt die neueste Variante eine etwas ausgefeiltere Strategie. Der Wurm attackiert wie "Sasser" Windows-PCs, auf denen der Microsoft-Patch zum Schließen der Sicherheitslücke im Local Security Authority Subsystem Service (LSASS) nicht installiert ist.
"Phatbot" als blinder Passagier
Bei Neuinfektion eines Rechners durchsucht "Phatbot" das System zunächst nach dem "Sasser"-Wurm. Findet er einen, so modifiziert "Phatbot" den "Sasser"-Prozess und protokolliert alle IP-Adressen, an die sich der "Sasser"-Wurm weiterverschickt. Die "Phatbot"-Instanz folgt diesen Verbindungen dann einfach und installiert sich auf den neu befallenen Rechnern.
Betroffen sind alle Betriebssysteme.
Many Greetz
Re: Virus Sasser - Update !
RaymannStyleZ - 07.05.2004, 20:37
Ständiges Herunterfahren stoppen
Ist der PC bereits vom Wurm befallen, lässt er dem Anwender kaum Zeit, eines der Beseitigungstools herunterzuladen. Der Wurm zwingt den PC immer wieder zum Herunterfahren. Dieser Prozess lässt sich aber mit wenigen Mausklicks unterbinden.
Achtung ! Der Wurm ist dadurch nicht entfernt sondern wird vorerst deaktiviert, es muss ein Remove Tool verwendet werden. (siehe Post oben)
-------------------------------------------
Der Virus erzwingt ein System-Fenster und bringt den Computer zum Absturz. Das kann soweit gehen, dass der Rechner ständig herunterfährt. Der Countdown dafür beträgt eine Minute. In dieser Zeit kann der Nutzer den PC so einstellen, dass er betriebsbereit bleibt.
Dazu wird in der Start-Leiste der Befehl "Ausführen" geklickt.
Es öffnet sich ein neues Fenster. Hier wird der Befehl "cmd" eingegeben und auf "OK" geklickt.
Der Nutzer gelangt in das DOS-Fenster.
Hier gibt man folgenden Befehl ein: "shutdown -a". Wichtig: Zwischen "shutdown" und dem "-" muss ein Leerzeichen stehen. Dann wird der Vorgang mit "Enter" abgeschlossen.
Many Greetz
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum Willkommen im PCSTYLEZ.forum!
Ähnliche Beiträge wie "Virus Sasser - Update !"
Server-Update - possibly spam inside... - psycko (Dienstag 20.12.2005)
m3 by warrior-011 update - warrior-011 (Freitag 30.03.2007)
WWE: *UPDATE* Matches + Info für morgige RAW Ausgabe - Trixi2134 (Sonntag 04.03.2007)
1. RAW is WAR Card! (UPDATE!) - Vince McMahon (Sonntag 10.12.2006)
Update.. - Jays Supporter (Freitag 01.09.2006)
Update der Arenawaffen - Orccon (Dienstag 15.05.2007)
Update 5.6 - Blacky (Sonntag 28.01.2007)
55 HP und Elonaspitze (nach dem Update) - No Donn (Montag 27.11.2006)
Heroes of Might & Magic 5 Update 1.41 to 1.5 - psmatt (Donnerstag 03.05.2007)
Homepage UPDATE - Maschel (Sonntag 19.11.2006)