CLH - Hoerspielforum und mehr

Zitat

Name: W32.Sasser.Worm
Alias:

W32/Sasser.worm [McAfee]
Art: Wurm
Größe des Anhangs: 15.872 Bytes
Betriebssystem: Windows XP, Windows 2000
nicht betroffen: Windows 98/Me/NT
Art der Verbreitung: Ausnutzung einer Sicherheitslücke
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: Systemabstürze, verminderte Systemleistung
Spezielle Entfernung: Tool
bekannt seit: 30.04.2004

Beschreibung:

W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 und Windows 2003 Server verbreitet.

Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen. Microsoft stellt eine deutsche Beschreibung dieser Sicherheitslücke zur Verfügung. Die Schwachstelle wird mit dem Sicherheits-Update KB835732 geschlossen.
Für die weitverbreiteten Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter:
Microsoft Windows 2000 (SP2, SP3 und SP4)
Microsoft Windows XP und Microsoft Windows XP SP1
Updates für alle übrigen Windows-Betriebssysteme befinden sich in der Microsoft-Beschreibung zur Sicherheitslücke.

Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders!

Sasser verwendet unterschiedliche Angriffsmethoden zur Infektion neuer Computer. Bei der Verwendung der falschen Methode kommt es auf dem angegriffenen Computer zu einem Fehler. Dies kann zu einer der unten abgebildeten Fehlermeldungen mit anschließendem automatischen Neustart des Systems führen.


Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen.

Bei einem erfolgreichen Angriff lädt Sasser von dem angreifenden Computer eine Datei per FTP in das Verzeichnis c:\windows\system32. Anschließend wird diese Datei ausgeführt und damit der angegriffene Computer infiziert. Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk.

Der Wurm kopiert sich im infizierten System unter %Windir%\avserve.exe. Diese Datei ist 15.872 Bytes groß.

Hinweis:
%windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.

Mit dem Registrierungs-Schlüssel

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe"="%windir%\avserve.exe"

wird Sasser beim Rechnerstart aktiviert.

Eine weitere Kopie des Wurms befindet sich unter:

c:\windows\system32\?????_up.exe

wobei ????? beliebige Ziffern sind.
Beispiele:
c:\windows\system32\12345_up.exe
c:\windows\system32\27583_up.exe

Entfernung des Wurms Sasser

Zur Entfernung des Wurms sind folgende Schritte durchzuführen:

1. Vor der Entfernung muss die Sicherheitslücke des Betriebssystems geschlossen werden. Andernfalls kann es jederzeit zu einer Neuinfektion kommen, wenn der Computer ans Netz angeschlossen wird.
2. Kontrollieren Sie die ordnungsgemäße Installation in Systemsteuerung - Software. In der Liste der installierten Programme muss sich der Eintrag "Windows XP Hotfix - KB835732" befinden.
3. Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Symantec (FxSasser.exe): Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung
4. Bei Windows XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.
5. Starten Sie den Computer im abgesicherten Modus .
6. Durchsuchen Sie den Computer mit dem Entfernungstool.

(Erstellt: 02.05.2004)

Zitat

Original von dal
@ Schlaedschi

Danke für die Entfernungsanleitung, hab dadurch ein paar Gummipunkte bei meiner Cheffin eingesammelt Nun issi ihren Virus wieder los.