Wurm Sasser.A unterwegs!

Virusname: Worm/Sasser.A Alias: Sasser Viren Typ: Wurm Dateigröße: 15.872 Bytes Betriebsysteme: Microsoft Windows 2000/XP/Server 2003 Ursprung: unbekannt Datum: 01.05.2004 Schadensroutine: Nutzt Sicherheitslücke LSASS aus VDF Version: 6.25.00.42 Allgemeine Beschreibung: Worm/Sasser.A hat eine Dateigröße von 15.872 Bytes und kopiert sich als avserve.exe in das Windows Systemverzeichnis. Er nutzt die LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft aus. Sollten nicht alle Patches von Microsoft eingespielt sein oder keine aktive Firewall zum Internet bestehen, kann der Wurm sich auf dem Windows XP oder Windows 2000 System installieren.. Symptome: Im Root von Laufwerk C: findet sich eine Datei namens WIN.LOG Infektionsweg: LSASS Sicherheitslücke von Microsoft Technische Details: Worm/Sasser.A verbreitet sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Siehe dazu: http://www.microsoft.com/technet/sec.../MS04-011.mspx Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt. Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run] "avserve.exe"="C:\\%WinDir%\\avserve.exe" Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht. Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe. Entfernungshinweise: - Mit AntiVir: Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien. - Manuell bei Windows 2000/ XP: Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien: \%WinDir%\AVSERVE.EXE \%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe C:\WIN.LOG Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run] "avserve.exe"="C:\\%WinDir%\\avserve.exe" Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir. Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls. Quelle: Antivir

danke für die info
ich sitz hinterm router, zu mir kommt nix durch
aber patch ist immer gut.. sowas bekommt otto normal verbraucher ja nicht so mit
mfg

GrüssGott,

Mich hat das Ding auch erwischt. Allerdings direkt nach einer neuinstallation von Windows. Muss wohl im Zeitraum zwischen Ethernetkabel einstecken und auf Windowsupdate klicken gewesen sein. (oder während dem Downloaden der Updates)

Tja ... ich denke, dass der Wurm die Verbreitung vom Blaster erreichen wird ... würde mich wundern wenn nicht.

hab ich grad gefunden

mfg

Hi und juhuu ich habe ihn auch.

Falls einer nen Remove-Tool dafür sucht, hier könnt Ihr euch ein kleines Tool von McAfee/NAI laden. http://vil.nai.com/vil/content/v_125007.htm

MfG MaMo

Ich habe ihn zum Glück noch nicht aber bei jeder eMail zuckt man zusammen
Ich behaupte einfach mal, dass er sich durch einen verseuchten Anhang verbreitet.

Mein Virenscanner hat heute noch ein Update bekommen, aber da es keine win.LOG gibt kann ich ja noch beruhigt sein.

Ein Zitat kommt selten allein ...

Sprich ... nichts mit E-Mail ... bei einer Infizierung hat dein Rechner sogar nahezu 100% Prozessorauslastung, da dein Rechner bei einer aktiven Internetverbindung nach anderen Victims scannt. Und dann wird über FTP und die genannten Ports dort der Wurm installiert.

Nicht immer sind die bösen E-Mails schuld

Soweit ich weiß kommt der gerade nicht über Emails.

MfG MaMo

Hab ich jetzt auch gelernt

Gut ok, sind es halt diesmal nicht die eMails

/me geht jetzt mal ein Virenscannerupdate machen

Ich bevorzuge dennoch eine eMail.
Jedem das seine und mir das meine.

Zum Thema: Bin ich froh, dass ich meinen Router hab, der mir sämtliche Ports sperrt... ok. HTTP hab ich nu freigeschaltet bekommen, aber der Wurm scheint ja nicht auf Port 40 anzugreifen.
Und da AntiVir den angeblich entfernen kann (steht hier im ersten Posting) hab ich ja auch keine Probleme. Hab meinen Regenschirm (bezug auf das Icon des Programmes) erst gestern geupdatet.

Hab ich das richtig verstanden, dass der Virus nicht bei '98 einschlägt?
Ich hab nämlich noch keinen gesehen, der sich damit Sasser.A eingefangen hat ...

Ich hab 98 und XP drauf. Und bei mir gabs den Wurn nur auf XP.

MfG MaMo

der greift nur nt, 2k und xp an!
windows 98 und 95 und me sind geschützt
router is schon was feines
es ist einfach traurig, das M$ erst nach einem virus was gegen die sicherheitslücke macht!

Das Update für die Sicherheitslücke ist nun auch schon wieder ein paar Wochen alt. (Heise brachte eine Meldung über den Patch am 14.04.2004 und bei Microsoft stand er einen Tag früher zur Verfügung)

Ich verstehe gar nicht warum man nicht einfach mal die Windows Update Funktion benutzt oder mal drauf achtet wann Patch Day ist, wird ja auf allen möglichen Seiten angekündigt.

Wer sein OS nicht aktuell hält, hat selber Schuld wenn was passiert.

Ich sehe das so wie DaddyCool. Windows bringt die meisten Patches schon lange vor dem Wurm oder Virus raus.
Die meisten benutzen die Update Funktion wohl nie weil sie ihr Windows gar nicht original haben.

Ich hatte bisher noch keine Probleme mit Würmern.

tja wer sein windows nicht orginal hat ist selber schuld!
also ich weiß nur gerne was auf meinem system installiert ist! auch bezüglich updates!
der kommentar bezog sich nicht nur auf den virus. zb msblast war so ein fall :/
naja wenigsten bin ich froh, dass die viren die systeme nur herunterfahren. leider sind es die kiddis, welche dann irgendwelchen schabernack mit dem source treiben und daten löschen oder ähnliches

nur was mich interessiert: der installiert sich ja selber
scannt dazu ein infizierter ein bestimmten ip range ab oder ist da ein "server virus" im umlauf, wlecher den verteilt?!
das hab ich mich schon beim blaster gefragt
mfg