virus-informer.de: Virus Sasser verbreitet sich nicht via Email!

03.05.04 12:13 Age: 6 yrs

Virus Sasser verbreitet sich nicht via Email!

By: admin

Der neue Virus Sasser verbreitet sich ausschliesslich über eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS) bei Windows XP, 2000 und 2003 Servern.

Das BSI warnt bereits vor diesem Virus.

Wichtig zu Wissen: Bevor der Virus entfernt werden kann muss ein Mircosoft-Patch installiert werden.

Name:

W32.Sasser.Worm

Alias:

W32/Sasser.worm [McAfee]

Art:

Wurm

Größe des Anhangs:

15.872 Bytes

Betriebssystem:

Windows XP, 2000, 2003 Server

nicht betroffen:

Windows 98/Me/NT

Art der Verbreitung:

Ausnutzung einer Sicherheitslücke

Verbreitung:

hoch

Risiko:

mittel

Schadensfunktion: Systemabstürze, verminderte Systemleistung

Spezielle Entfernung:

Tool bekannt seit: 30.04.2004

Beschreibung:

W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 und Windows 2003 Server verbreitet.

Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen. Microsoft stellt eine deutsche Beschreibung dieser Sicherheitslücke zur Verfügung. Die Schwachstelle wird mit dem Sicherheits-Update KB835732 geschlossen.

Für die weitverbreiteten Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter:

Microsoft Windows 2000 (SP2, SP3 und SP4)

Microsoft Windows XP und Microsoft Windows XP SP1

Updates für alle übrigen Windows-Betriebssysteme befinden sich in der Microsoft-Beschreibung zur Sicherheitslücke.

Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders!

Sasser verwendet unterschiedliche Angriffsmethoden zur Infektion neuer Computer. Bei der Verwendung der falschen Methode kommt es auf dem angegriffenen Computer zu einem Fehler. Dies kann zu einer der unten abgebildeten Fehlermeldungen mit anschließendem automatischen Neustart des Systems führen.

Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen.

Bei einem erfolgreichen Angriff lädt Sasser von dem angreifenden Computer eine Datei per FTP in das Verzeichnis c:\windows\system32. Anschließend wird diese Datei ausgeführt und damit der angegriffene Computer infiziert. Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk.

Der Wurm kopiert sich im infizierten System unter %Windir%\avserve.exe. Diese Datei ist 15.872 Bytes groß.

Hinweis:

%windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.

Mit dem Registrierungs-Schlüssel

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avserve.exe"="%windir%\avserve.exe"

wird Sasser beim Rechnerstart aktiviert.

Eine weitere Kopie des Wurms befindet sich unter:

c:\windows\system32\?????_up.exe

wobei ????? beliebige Ziffern sind.

Beispiele:

c:\windows\system32\12345_up.exe

c:\windows\system32\27583_up.exe

Entfernung des Wurms Sasser

Zur Entfernung des Wurms sind folgende Schritte durchzuführen:

Vor der Entfernung muss die Sicherheitslücke des Betriebssystems geschlossen werden. Andernfalls kann es jederzeit zu einer Neuinfektion kommen, wenn der Computer ans Netz angeschlossen wird.

Kontrollieren Sie die ordnungsgemäße Installation in Systemsteuerung - Software. In der Liste der installierten Programme muss sich der Eintrag "Windows XP Hotfix - KB835732" befinden.

Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.

Symantec (FxSasser.exe): Direkt-Download oder Download mit englischer Beschreibung

NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung

Bei Windows XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.

Starten Sie den Computer im abgesicherten Modus .

Durchsuchen Sie den Computer mit dem Entfernungstool.

(Erstellt: 02.05.2004)

Quelle: >BSI online

<- Back to: virus-informer.de


	03.05.04 12:13 Age: 6 yrs Virus Sasser verbreitet sich nicht via Email! By: admin Der neue Virus Sasser verbreitet sich ausschliesslich über eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS) bei Windows XP, 2000 und 2003 Servern. Das BSI warnt bereits vor diesem Virus. Wichtig zu Wissen: Bevor der Virus entfernt werden kann muss ein Mircosoft-Patch installiert werden. Name: W32.Sasser.Worm Alias: W32/Sasser.worm [McAfee] Art: Wurm Größe des Anhangs: 15.872 Bytes Betriebssystem: Windows XP, 2000, 2003 Server nicht betroffen: Windows 98/Me/NT Art der Verbreitung: Ausnutzung einer Sicherheitslücke Verbreitung: hoch Risiko: mittel Schadensfunktion: Systemabstürze, verminderte Systemleistung Spezielle Entfernung: Tool bekannt seit: 30.04.2004 Beschreibung: W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 und Windows 2003 Server verbreitet. Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen. Microsoft stellt eine deutsche Beschreibung dieser Sicherheitslücke zur Verfügung. Die Schwachstelle wird mit dem Sicherheits-Update KB835732 geschlossen. Für die weitverbreiteten Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter: Microsoft Windows 2000 (SP2, SP3 und SP4) Microsoft Windows XP und Microsoft Windows XP SP1 Updates für alle übrigen Windows-Betriebssysteme befinden sich in der Microsoft-Beschreibung zur Sicherheitslücke. Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders! Sasser verwendet unterschiedliche Angriffsmethoden zur Infektion neuer Computer. Bei der Verwendung der falschen Methode kommt es auf dem angegriffenen Computer zu einem Fehler. Dies kann zu einer der unten abgebildeten Fehlermeldungen mit anschließendem automatischen Neustart des Systems führen. Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen. Bei einem erfolgreichen Angriff lädt Sasser von dem angreifenden Computer eine Datei per FTP in das Verzeichnis c:\windows\system32. Anschließend wird diese Datei ausgeführt und damit der angegriffene Computer infiziert. Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk. Der Wurm kopiert sich im infizierten System unter %Windir%\avserve.exe. Diese Datei ist 15.872 Bytes groß. Hinweis: %windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP. Mit dem Registrierungs-Schlüssel [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avserve.exe"="%windir%\avserve.exe" wird Sasser beim Rechnerstart aktiviert. Eine weitere Kopie des Wurms befindet sich unter: c:\windows\system32\?????_up.exe wobei ????? beliebige Ziffern sind. Beispiele: c:\windows\system32\12345_up.exe c:\windows\system32\27583_up.exe Entfernung des Wurms Sasser Zur Entfernung des Wurms sind folgende Schritte durchzuführen: Vor der Entfernung muss die Sicherheitslücke des Betriebssystems geschlossen werden. Andernfalls kann es jederzeit zu einer Neuinfektion kommen, wenn der Computer ans Netz angeschlossen wird. Kontrollieren Sie die ordnungsgemäße Installation in Systemsteuerung - Software. In der Liste der installierten Programme muss sich der Eintrag "Windows XP Hotfix - KB835732" befinden. Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung. Symantec (FxSasser.exe): Direkt-Download oder Download mit englischer Beschreibung NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung Bei Windows XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden. Starten Sie den Computer im abgesicherten Modus . Durchsuchen Sie den Computer mit dem Entfernungstool. (Erstellt: 02.05.2004) Quelle: >BSI online <- Back to: virus-informer.de
home Impressum