Zur Boardunity Forenstartseite
  #1  
Alt 01.05.2004, 11:25
Benutzerbild von Jan Stöver
Boardunity Team
 
Registriert seit: 12.2003
Ort: Lübeck
Beiträge: 2.326

Wurm Sasser.A unterwegs!


Tja ... da verpasst man mal ein MS Update und schon erwischt es einen. Bei mir hatte sich der Wurm Sasser.A breit gemacht und blockierte komplett die Verbindung ins Internet.


Entfernung ist manuell oder mir bekannt mit Antivir möglich. Zusätzlich sollte man sich mit dem Update von MS vor einer Neuinfektion schützen.

Microsoft Security Bulletin MS04-011


Hier die entsprechenden Informationen:

Zitat:
Virusname: Worm/Sasser.A
Alias: Sasser
Viren Typ: Wurm
Dateigröße: 15.872 Bytes
Betriebsysteme: Microsoft Windows 2000/XP/Server 2003
Ursprung: unbekannt
Datum: 01.05.2004
Schadensroutine: Nutzt Sicherheitslücke LSASS aus
VDF Version: 6.25.00.42

Allgemeine Beschreibung:

Worm/Sasser.A hat eine Dateigröße von 15.872 Bytes und kopiert sich als avserve.exe in das Windows Systemverzeichnis. Er nutzt die LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft aus.
Sollten nicht alle Patches von Microsoft eingespielt sein oder keine aktive Firewall zum Internet bestehen, kann der Wurm sich auf dem Windows XP oder Windows 2000 System installieren..

Symptome:
Im Root von Laufwerk C: findet sich eine Datei namens WIN.LOG

Infektionsweg:
LSASS Sicherheitslücke von Microsoft

Technische Details:

Worm/Sasser.A verbreitet sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Siehe dazu:
http://www.microsoft.com/technet/sec.../MS04-011.mspx

Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.

Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.

Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.


Entfernungshinweise:

- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.

Quelle: Antivir

  #2  
Alt 01.05.2004, 11:33
Benutzerbild von Björn
Boardunity Team
 
Registriert seit: 10.2003
Ort: Rhode
Beiträge: 1.205
danke für die info
ich sitz hinterm router, zu mir kommt nix durch
aber patch ist immer gut.. sowas bekommt otto normal verbraucher ja nicht so mit
mfg

__________________
Björn C. Klein
Welt-Held!
PunkRockNews.de
  #3  
Alt 01.05.2004, 17:47
Benutzerbild von mowcow
Kuh
 
Registriert seit: 03.2003
Ort: Schweiz
Beiträge: 114
GrüssGott,

Mich hat das Ding auch erwischt. Allerdings direkt nach einer neuinstallation von Windows. Muss wohl im Zeitraum zwischen Ethernetkabel einstecken und auf Windowsupdate klicken gewesen sein. (oder während dem Downloaden der Updates)

__________________
Jörg Ostwald
  #4  
Alt 01.05.2004, 18:35
Benutzerbild von Jan Stöver
Boardunity Team
 
Registriert seit: 12.2003
Ort: Lübeck
Beiträge: 2.326
Tja ... ich denke, dass der Wurm die Verbreitung vom Blaster erreichen wird ... würde mich wundern wenn nicht.

  #5  
Alt 01.05.2004, 20:38
Benutzerbild von Björn
Boardunity Team
 
Registriert seit: 10.2003
Ort: Rhode
Beiträge: 1.205
Zitat:
Eine Schadensroutine besitzt dieser Wurm zwar nicht, jedoch führt der erfolgreiche Angriff zum Neustart des Rechners. Dies kann man unter Start -> Ausführen mit 'shutdown -a' verhindern.
hab ich grad gefunden

mfg

__________________
Björn C. Klein
Welt-Held!
PunkRockNews.de
  #6  
Alt 01.05.2004, 21:27
Benutzerbild von MaMo
Viscacha Coder
 
Registriert seit: 09.2003
Beiträge: 812
Hi und juhuu ich habe ihn auch.

Falls einer nen Remove-Tool dafür sucht, hier könnt Ihr euch ein kleines Tool von McAfee/NAI laden. http://vil.nai.com/vil/content/v_125007.htm

MfG MaMo

__________________
Forensoftware mit integriertem CMS: Viscacha 0.8!
  #7  
Alt 01.05.2004, 23:24
Benutzerbild von MrNase
Mitglied
 
Registriert seit: 06.2003
Ort: /
Beiträge: 2.639
Ich habe ihn zum Glück noch nicht aber bei jeder eMail zuckt man zusammen
Ich behaupte einfach mal, dass er sich durch einen verseuchten Anhang verbreitet.

Mein Virenscanner hat heute noch ein Update bekommen, aber da es keine win.LOG gibt kann ich ja noch beruhigt sein.


Geändert von Boardster (18.05.2004 um 15:48 Uhr).
  #8  
Alt 01.05.2004, 23:27
Benutzerbild von Jan Stöver
Boardunity Team
 
Registriert seit: 12.2003
Ort: Lübeck
Beiträge: 2.326
Zitat:
Zitat von MrNase
Ich habe ihn zum Glück noch nicht aber bei jeder eMail zuckt man zusammen
Ich behaupte einfach mal, dass er sich durch einen verseuchten Anhang verbreitet.
Ein Zitat kommt selten allein ...

Zitat:
Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.
Sprich ... nichts mit E-Mail ... bei einer Infizierung hat dein Rechner sogar nahezu 100% Prozessorauslastung, da dein Rechner bei einer aktiven Internetverbindung nach anderen Victims scannt. Und dann wird über FTP und die genannten Ports dort der Wurm installiert.

Nicht immer sind die bösen E-Mails schuld

  #9  
Alt 01.05.2004, 23:31
Benutzerbild von MaMo
Viscacha Coder
 
Registriert seit: 09.2003
Beiträge: 812
Zitat:
Zitat von MrNase
Ich habe ihn zum Glück noch nicht aber bei jeder eMail zuckt man zusammen
Ich behaupte einfach mal, dass er sich durch einen verseuchten Anhang verbreitet.
Soweit ich weiß kommt der gerade nicht über Emails.

MfG MaMo

__________________
Forensoftware mit integriertem CMS: Viscacha 0.8!
  #10  
Alt 01.05.2004, 23:34
Benutzerbild von MrNase
Mitglied
 
Registriert seit: 06.2003
Ort: /
Beiträge: 2.639
Hab ich jetzt auch gelernt

Gut ok, sind es halt diesmal nicht die eMails

/me geht jetzt mal ein Virenscannerupdate machen

  #11  
Alt 02.05.2004, 09:37
Mitglied
 
Registriert seit: 10.2003
Ort: Bottrop
Beiträge: 779
Ich bevorzuge dennoch eine eMail.
Jedem das seine und mir das meine.

Zum Thema: Bin ich froh, dass ich meinen Router hab, der mir sämtliche Ports sperrt... ok. HTTP hab ich nu freigeschaltet bekommen, aber der Wurm scheint ja nicht auf Port 40 anzugreifen.
Und da AntiVir den angeblich entfernen kann (steht hier im ersten Posting) hab ich ja auch keine Probleme. Hab meinen Regenschirm (bezug auf das Icon des Programmes) erst gestern geupdatet.

__________________
Patrick Gotthardt
Patrick Gotthardt on Software
  #12  
Alt 02.05.2004, 11:42
Benutzerbild von Daniel Richter
TVBlogger
 
Registriert seit: 07.2003
Ort: Wilhelmshaven
Beiträge: 2.110
Hab ich das richtig verstanden, dass der Virus nicht bei '98 einschlägt?
Ich hab nämlich noch keinen gesehen, der sich damit Sasser.A eingefangen hat ...

__________________
Daniel Richter
Immer ein Besuch wert: TVBlogger.de - Aktuelle Nachrichten aus der Welt des Fernsehens
  #13  
Alt 02.05.2004, 12:09
Benutzerbild von MaMo
Viscacha Coder
 
Registriert seit: 09.2003
Beiträge: 812
Ich hab 98 und XP drauf. Und bei mir gabs den Wurn nur auf XP.

MfG MaMo

__________________
Forensoftware mit integriertem CMS: Viscacha 0.8!
  #14  
Alt 02.05.2004, 12:19
Benutzerbild von Björn
Boardunity Team
 
Registriert seit: 10.2003
Ort: Rhode
Beiträge: 1.205
der greift nur nt, 2k und xp an!
windows 98 und 95 und me sind geschützt
router is schon was feines
es ist einfach traurig, das M$ erst nach einem virus was gegen die sicherheitslücke macht!

__________________
Björn C. Klein
Welt-Held!
PunkRockNews.de
  #15  
Alt 02.05.2004, 12:47
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Zitat von trashar
es ist einfach traurig, das M$ erst nach einem virus was gegen die sicherheitslücke macht!
Das Update für die Sicherheitslücke ist nun auch schon wieder ein paar Wochen alt. (Heise brachte eine Meldung über den Patch am 14.04.2004 und bei Microsoft stand er einen Tag früher zur Verfügung)

Ich verstehe gar nicht warum man nicht einfach mal die Windows Update Funktion benutzt oder mal drauf achtet wann Patch Day ist, wird ja auf allen möglichen Seiten angekündigt.

Wer sein OS nicht aktuell hält, hat selber Schuld wenn was passiert.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #16  
Alt 02.05.2004, 19:31
net-board.net
 
Registriert seit: 03.2004
Ort: hessen
Beiträge: 62
Ich sehe das so wie DaddyCool. Windows bringt die meisten Patches schon lange vor dem Wurm oder Virus raus.
Die meisten benutzen die Update Funktion wohl nie weil sie ihr Windows gar nicht original haben.

Ich hatte bisher noch keine Probleme mit Würmern.

__________________
Julian Schmidl
  #17  
Alt 02.05.2004, 19:57
Benutzerbild von Björn
Boardunity Team
 
Registriert seit: 10.2003
Ort: Rhode
Beiträge: 1.205
tja wer sein windows nicht orginal hat ist selber schuld!
also ich weiß nur gerne was auf meinem system installiert ist! auch bezüglich updates!
der kommentar bezog sich nicht nur auf den virus. zb msblast war so ein fall :/
naja wenigsten bin ich froh, dass die viren die systeme nur herunterfahren. leider sind es die kiddis, welche dann irgendwelchen schabernack mit dem source treiben und daten löschen oder ähnliches

nur was mich interessiert: der installiert sich ja selber
scannt dazu ein infizierter ein bestimmten ip range ab oder ist da ein "server virus" im umlauf, wlecher den verteilt?!
das hab ich mich schon beim blaster gefragt
mfg

__________________
Björn C. Klein
Welt-Held!
PunkRockNews.de
Antwort


Stichworte
-

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
Gehe zu






1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25