Startseite - Tech / FAQ Forum - Wurm Sasser.A kann ähnliche Ausmaße wie Lovesan bewirken  1 von 1 1
Auf den Beitrag: (ID: 11685) sind "8" Antworten eingegangen (Gelesen: 1146 Mal).
"Autor"

Wurm Sasser.A kann ähnliche Ausmaße wie Lovesan bewirken
Nutzer: Marvin
Status: Moderator
Post schicken
Registriert seit: 28.07.2000
Anzahl Nachrichten: 2224
geschrieben am: 02.05.2004    um 16:27 Uhr   
- Die Sicherheitsbulletin über 14 Schwachstellen bei wichtigen Windowsprozessen wie LSASS und LDAP ist kaum zwei Wochen alt und schon gibt es den ersten Wurm. Dieser verteilt sich ähnlich dem Wurm Blaster/Lovsan direkt über das Internet.
- Der Sasser-Wurm befällt vorwiegend Windows NT, Windows XP und Windows Server 2003 Systeme. Es wird daher dringend empfohlen den von Microsoft angeboten Patch zu installieren.
- Eine Schadensroutine besitzt dieser Wurm zwar nicht, jedoch führt der erfolgreiche Angriff zum Neustart des Rechners.

<img src="">

* Klicken Sie auf keinen der beiden Buttons der ersten Fehlermeldung (im Bild: die Fehlermeldung in der englischsprachigen Version von Windows). Der Countdown (siehe nächstes Bild) startet dann nicht.

<img src="">

* Sollte der Countdown gestartet sein, bitte folgendes machen um den Countdown abzubrechen.


Start -> Ausführen -> 'shutdown -a' -> Enter

Der Wurm nutzt LSASS-Lücke, um durch die Hintertür in ihr System zu gelangen. Auf dem infizierten System wird der TCP-Port 9996 geöffnet und dann der eigentliche Wurm-Code über eine FTP-Verbindung und dem Port 5554 herunter geladen.


Präventive Maßnahmen:

Aktuellen Virenscanner benutzen + Link herunterladen.

Löschen des Wurms:

Trenne den Rechner vom Internet.
Starte den Rechner neu, notfalls im "Safe-Mode"
Drücken CTRL+ALT+ENTF.
Öffnen den Task Manager.
Wechsel zur Ansicht Prozesse .
Halte die STRG-Taste gegrückt und markiere die folgenden Prozesse:
C:/WINDOWS/avserve.exe und C:/WINDOW/Ssystem32/*_up.exe.
Klicke auf "Task beenden".
Suchen und lösche folgende Dateien: C:WINDOWSavserve.exe und C:WINDOWSsystem32*_up.exe
Klicken auf Start, dann auf "Ausführen" und gib ein: regedit
Danach OK.
Im Registrierungseditor lösche bitte im folgenden Eintrag: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/avserve.exe = C:WINDOWSavserve.exe

Sasser.B ist zu finden unter:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/avserve.exe = %Windows%avserve2.exe
Antwort schreiben
Im Zitat antworten
Beitrag abonnieren 
  Top
"Autor"  
Nutzer: Marvin
Status: Moderator
Post schicken
Registriert seit: 28.07.2000
Anzahl Nachrichten: 2224
geschrieben am: 02.05.2004    um 18:14 Uhr   
Patch von Microsoft: Link
Antwort schreiben
Im Zitat antworten
  Top
"Autor"  
Nutzer: Original1
Status: Profiuser
Post schicken
Registriert seit: 30.01.2004
Anzahl Nachrichten: 169
geschrieben am: 02.05.2004    um 20:35 Uhr   
<i><center><font color="33FF33"> Na Marv, danke für den Link, habs gleich mal gedownloaded :P.
....deine Oli
Mfg Original1
...hatte schon W32 Blaster, habsch auch ausgerottet...gg
Antwort schreiben
Im Zitat antworten
  Top
"Autor"  
Nutzer: Eusi02
Status: Profiuser
Post schicken
Registriert seit: 12.12.2001
Anzahl Nachrichten: 785
geschrieben am: 02.05.2004    um 20:53 Uhr   
hey marv^^
thx für die warnung
habs mir gleich aus gedruckt /Fg/
greez Eusi
Don´t worry, be happy
Antwort schreiben
Im Zitat antworten
  Top
"Autor"  
Nutzer: Marvin
Status: Moderator
Post schicken
Registriert seit: 28.07.2000
Anzahl Nachrichten: 2224
geschrieben am: 03.05.2004    um 10:51 Uhr   
W32.Sasser.C

Hier noch ein Removal-Tool von Symantec:

Entfernt:

- W32.Sasser.Worm
- W32.Sasser.B.Worm
- W32.Sasser.C.Worm

Link
Antwort schreiben
Im Zitat antworten
  Top
"Autor"  
Nutzer: Diggerkeks
Status: Profiuser
Post schicken
Registriert seit: 18.07.2003
Anzahl Nachrichten: 1130
geschrieben am: 03.05.2004    um 17:02 Uhr   
<i> Ich hatte ihn.... vor 5 min.

Hab ihn aber nu gekillt

Drecks würmer.... ich Ess auch kein Salat mehr, wimmert ja nur vor würmer hier
Man stolpert nicht durch die Steine , die einem in den Weg gelegt werden, sondern durch die Einfallslosigkeit ihnen aus dem Weg zu gehen....
Antwort schreiben
Im Zitat antworten
  Top
"Autor"  
Nutzer: __RoTzFrEcH__
Status: Profiuser
Post schicken
Registriert seit: 25.01.2003
Anzahl Nachrichten: 1197
geschrieben am: 03.05.2004    um 18:32 Uhr   
(zitat)<i> Ich hatte ihn.... vor 5 min.

Hab ihn aber nu gekillt

Drecks würmer.... ich Ess auch kein Salat mehr, wimmert ja nur vor würmer hier (/zitat)
Looool
Hab dia lieb maja =)
*DoNt WoRrY Be HaPpY*
[..:..RoCk´N´RoLl ErNiE..:..]
Antwort schreiben
Im Zitat antworten
  Top
"Autor"  
Nutzer: Wizard
Status: Profiuser
Post schicken
Registriert seit: 03.02.2001
Anzahl Nachrichten: 4
geschrieben am: 03.05.2004    um 22:35 Uhr   
hoi zusammen

tja der wurm basiert wieder mal auf dem rpc exploit. das ist das 3 mal schon das rpc wieder aufgehebelt wurde *fg*

MfG
Antwort schreiben
Im Zitat antworten
  Top
"Autor"  
Nutzer: Zeropaid
Status: Profiuser
Post schicken
Registriert seit: 29.11.2002
Anzahl Nachrichten: 272
geschrieben am: 07.05.2004    um 23:15 Uhr   
toller hinweis marv, danke dafür.
nua leider bekomme ich son scheiß nie aufn rechner
Sollte mal firewall und antivrus deaktivieren.
Nein mal im Ernst. Finde es gut das manche sich die mühe machen andere zu warnen bzw ihnen zu helfen .
würd mein Hut ziehen wenn ich ein hätte

Gruß Zero
Geändert am 07.05.2004 um 23:15 Uhr von Zeropaid
Antwort schreiben
Im Zitat antworten
  Top