Boardunity & Video Forum

Boardunity & Video Forum (https://boardunity.de/)
-   Boardunity-Talk (https://boardunity.de/boardunity-talk-f8.html)
-   -   Wurm Sasser.A unterwegs! (https://boardunity.de/wurm-sasser-a-unterwegs-t1786.html)

Jan Stöver 01.05.2004 11:25

Wurm Sasser.A unterwegs!
 
Tja ... da verpasst man mal ein MS Update und schon erwischt es einen. Bei mir hatte sich der Wurm Sasser.A breit gemacht und blockierte komplett die Verbindung ins Internet.


Entfernung ist manuell oder mir bekannt mit Antivir möglich. Zusätzlich sollte man sich mit dem Update von MS vor einer Neuinfektion schützen.

Microsoft Security Bulletin MS04-011


Hier die entsprechenden Informationen:

Zitat:

Virusname: Worm/Sasser.A
Alias: Sasser
Viren Typ: Wurm
Dateigröße: 15.872 Bytes
Betriebsysteme: Microsoft Windows 2000/XP/Server 2003
Ursprung: unbekannt
Datum: 01.05.2004
Schadensroutine: Nutzt Sicherheitslücke LSASS aus
VDF Version: 6.25.00.42

Allgemeine Beschreibung:

Worm/Sasser.A hat eine Dateigröße von 15.872 Bytes und kopiert sich als avserve.exe in das Windows Systemverzeichnis. Er nutzt die LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft aus.
Sollten nicht alle Patches von Microsoft eingespielt sein oder keine aktive Firewall zum Internet bestehen, kann der Wurm sich auf dem Windows XP oder Windows 2000 System installieren..

Symptome:
Im Root von Laufwerk C: findet sich eine Datei namens WIN.LOG

Infektionsweg:
LSASS Sicherheitslücke von Microsoft

Technische Details:

Worm/Sasser.A verbreitet sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Siehe dazu:
http://www.microsoft.com/technet/sec.../MS04-011.mspx

Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.

Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.

Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.


Entfernungshinweise:

- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.

Quelle: Antivir

Björn 01.05.2004 11:33

danke für die info
ich sitz hinterm router, zu mir kommt nix durch ;)
aber patch ist immer gut.. sowas bekommt otto normal verbraucher ja nicht so mit
mfg

mowcow 01.05.2004 17:47

GrüssGott,

Mich hat das Ding auch erwischt. Allerdings direkt nach einer neuinstallation von Windows. Muss wohl im Zeitraum zwischen Ethernetkabel einstecken und auf Windowsupdate klicken gewesen sein. (oder während dem Downloaden der Updates)

Jan Stöver 01.05.2004 18:35

Tja ... ich denke, dass der Wurm die Verbreitung vom Blaster erreichen wird ... würde mich wundern wenn nicht.

Björn 01.05.2004 20:38

Zitat:

Eine Schadensroutine besitzt dieser Wurm zwar nicht, jedoch führt der erfolgreiche Angriff zum Neustart des Rechners. Dies kann man unter Start -> Ausführen mit 'shutdown -a' verhindern.
hab ich grad gefunden

mfg

MaMo 01.05.2004 21:27

Hi und juhuu ich habe ihn auch.

Falls einer nen Remove-Tool dafür sucht, hier könnt Ihr euch ein kleines Tool von McAfee/NAI laden. http://vil.nai.com/vil/content/v_125007.htm

MfG MaMo

MrNase 01.05.2004 23:24

Ich habe ihn zum Glück noch nicht aber bei jeder eMail zuckt man zusammen :D
Ich behaupte einfach mal, dass er sich durch einen verseuchten Anhang verbreitet. ;)

Mein Virenscanner hat heute noch ein Update bekommen, aber da es keine win.LOG gibt kann ich ja noch beruhigt sein.

Jan Stöver 01.05.2004 23:27

Zitat:

Zitat von MrNase
Ich habe ihn zum Glück noch nicht aber bei jeder eMail zuckt man zusammen :D
Ich behaupte einfach mal, dass er sich durch einen verseuchten Anhang verbreitet. ;)

Ein Zitat kommt selten allein ...

Zitat:

Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.
Sprich ... nichts mit E-Mail ... bei einer Infizierung hat dein Rechner sogar nahezu 100% Prozessorauslastung, da dein Rechner bei einer aktiven Internetverbindung nach anderen Victims scannt. Und dann wird über FTP und die genannten Ports dort der Wurm installiert.

Nicht immer sind die bösen E-Mails schuld :)

MaMo 01.05.2004 23:31

Zitat:

Zitat von MrNase
Ich habe ihn zum Glück noch nicht aber bei jeder eMail zuckt man zusammen :D
Ich behaupte einfach mal, dass er sich durch einen verseuchten Anhang verbreitet. ;)

Soweit ich weiß kommt der gerade nicht über Emails.

MfG MaMo

MrNase 01.05.2004 23:34

Hab ich jetzt auch gelernt ;)

Gut ok, sind es halt diesmal nicht die eMails :D

/me geht jetzt mal ein Virenscannerupdate machen :)

Patrick Gotthardt 02.05.2004 09:37

Ich bevorzuge dennoch eine eMail. ;)
Jedem das seine und mir das meine. :p

Zum Thema: Bin ich froh, dass ich meinen Router hab, der mir sämtliche Ports sperrt... ok. HTTP hab ich nu freigeschaltet bekommen, aber der Wurm scheint ja nicht auf Port 40 anzugreifen.
Und da AntiVir den angeblich entfernen kann (steht hier im ersten Posting) hab ich ja auch keine Probleme. Hab meinen Regenschirm (bezug auf das Icon des Programmes) erst gestern geupdatet.

Daniel Richter 02.05.2004 11:42

Hab ich das richtig verstanden, dass der Virus nicht bei '98 einschlägt?
Ich hab nämlich noch keinen gesehen, der sich damit Sasser.A eingefangen hat ...

MaMo 02.05.2004 12:09

Ich hab 98 und XP drauf. Und bei mir gabs den Wurn nur auf XP.

MfG MaMo

Björn 02.05.2004 12:19

der greift nur nt, 2k und xp an!
windows 98 und 95 und me sind geschützt
router is schon was feines ;)
es ist einfach traurig, das M$ erst nach einem virus was gegen die sicherheitslücke macht!

DaddyCool 02.05.2004 12:47

Zitat:

Zitat von trashar
es ist einfach traurig, das M$ erst nach einem virus was gegen die sicherheitslücke macht!

Das Update für die Sicherheitslücke ist nun auch schon wieder ein paar Wochen alt. (Heise brachte eine Meldung über den Patch am 14.04.2004 und bei Microsoft stand er einen Tag früher zur Verfügung)

Ich verstehe gar nicht warum man nicht einfach mal die Windows Update Funktion benutzt oder mal drauf achtet wann Patch Day ist, wird ja auf allen möglichen Seiten angekündigt.

Wer sein OS nicht aktuell hält, hat selber Schuld wenn was passiert.

pattex 02.05.2004 19:31

Ich sehe das so wie DaddyCool. Windows bringt die meisten Patches schon lange vor dem Wurm oder Virus raus.
Die meisten benutzen die Update Funktion wohl nie weil sie ihr Windows gar nicht original haben.

Ich hatte bisher noch keine Probleme mit Würmern.

Björn 02.05.2004 19:57

tja wer sein windows nicht orginal hat ist selber schuld!
also ich weiß nur gerne was auf meinem system installiert ist! auch bezüglich updates!
der kommentar bezog sich nicht nur auf den virus. zb msblast war so ein fall :/
naja wenigsten bin ich froh, dass die viren die systeme nur herunterfahren. leider sind es die kiddis, welche dann irgendwelchen schabernack mit dem source treiben und daten löschen oder ähnliches

nur was mich interessiert: der installiert sich ja selber
scannt dazu ein infizierter ein bestimmten ip range ab oder ist da ein "server virus" im umlauf, wlecher den verteilt?!
das hab ich mich schon beim blaster gefragt
mfg


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:43 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25