Lieber Besucher, herzlich willkommen bei: CLH - Hoerspielforum und mehr. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
Zitat
Name: W32.Sasser.Worm
Alias:
W32/Sasser.worm [McAfee]
Art: Wurm
Größe des Anhangs: 15.872 Bytes
Betriebssystem: Windows XP, Windows 2000
nicht betroffen: Windows 98/Me/NT
Art der Verbreitung: Ausnutzung einer Sicherheitslücke
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: Systemabstürze, verminderte Systemleistung
Spezielle Entfernung: Tool
bekannt seit: 30.04.2004
Beschreibung:
W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 und Windows 2003 Server verbreitet.
Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen. Microsoft stellt eine deutsche Beschreibung dieser Sicherheitslücke zur Verfügung. Die Schwachstelle wird mit dem Sicherheits-Update KB835732 geschlossen.
Für die weitverbreiteten Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter:
Microsoft Windows 2000 (SP2, SP3 und SP4)
Microsoft Windows XP und Microsoft Windows XP SP1
Updates für alle übrigen Windows-Betriebssysteme befinden sich in der Microsoft-Beschreibung zur Sicherheitslücke.
Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders!
Sasser verwendet unterschiedliche Angriffsmethoden zur Infektion neuer Computer. Bei der Verwendung der falschen Methode kommt es auf dem angegriffenen Computer zu einem Fehler. Dies kann zu einer der unten abgebildeten Fehlermeldungen mit anschließendem automatischen Neustart des Systems führen.
Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen.
Bei einem erfolgreichen Angriff lädt Sasser von dem angreifenden Computer eine Datei per FTP in das Verzeichnis c:\windows\system32. Anschließend wird diese Datei ausgeführt und damit der angegriffene Computer infiziert. Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk.
Der Wurm kopiert sich im infizierten System unter %Windir%\avserve.exe. Diese Datei ist 15.872 Bytes groß.
Hinweis:
%windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.
Mit dem Registrierungs-Schlüssel
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe"="%windir%\avserve.exe"
wird Sasser beim Rechnerstart aktiviert.
Eine weitere Kopie des Wurms befindet sich unter:
c:\windows\system32\?????_up.exe
wobei ????? beliebige Ziffern sind.
Beispiele:
c:\windows\system32\12345_up.exe
c:\windows\system32\27583_up.exe
Entfernung des Wurms Sasser
Zur Entfernung des Wurms sind folgende Schritte durchzuführen:
1. Vor der Entfernung muss die Sicherheitslücke des Betriebssystems geschlossen werden. Andernfalls kann es jederzeit zu einer Neuinfektion kommen, wenn der Computer ans Netz angeschlossen wird.
2. Kontrollieren Sie die ordnungsgemäße Installation in Systemsteuerung - Software. In der Liste der installierten Programme muss sich der Eintrag "Windows XP Hotfix - KB835732" befinden.
3. Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Symantec (FxSasser.exe): Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung
4. Bei Windows XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.
5. Starten Sie den Computer im abgesicherten Modus .
6. Durchsuchen Sie den Computer mit dem Entfernungstool.
(Erstellt: 02.05.2004)
Zitat
Original von Mogli
Ich glaube ich bleibe bei meinem Windows 98 - wird wohl immer sicherer vor Angriffen...
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Nicola« (6. Mai 2004, 10:10)
Zitat
Original von dal
@ Schlaedschi
Danke für die Entfernungsanleitung, hab dadurch ein paar Gummipunkte bei meiner Cheffin eingesammelt Nun issi ihren Virus wieder los.
Zitat
Vermutlicher Sasser-Autor auch Netsky-Urheber
In einer gemeinsamen Pressekonferenz gaben das Landeskriminalamt Niedersachsen, die Staatsanwaltschaft Verden und Microsoft weitere Details zu der heute morgen gemeldeten Verhaftung des mutmaßlichen Sasser-Autors bekannt. Der 18-jährige Hobby-Programmierer soll auf seinem selbstgebauten PC nicht nur den Sasser-Wurm, sondern auch alle Varianten des Netsky-Wurms erstellt und dann auch in Umlauf gebracht haben. Seine Verhaftung sei ein Meilenstein im Kampf gegen Computerkriminalität.
Die Staatsanwaltschaft ist zuversichtlich, dem Schüler nicht nur die Urheberschaft, sondern auch die Verbreitung der Schädlinge nachweisen zu können, die er im übrigen auch eingestanden habe. Sie sieht damit den Straftatbestand der Computersabotage erfüllt. In seinem umfangreichen Geständnis gab der Verdächtige an, er sei durch die in Umlauf befindlichen Viren wie Mydoom und Bagle motiviert worden, einen "Antivirus" zu entwickeln. Angespornt durch Gespräche mit Klassenkameraden entwickelte er Netsky weiter -- woraus dann schließlich auch Sasser entstanden sein soll. Da der erst kürzlich 18 gewordene einen Großteil der Taten vor seiner Volljährigkeit begangen habe, komme jedoch vermutlich das Jugendstrafrecht zur Anwendung. Zu eventuellen zivilrechtlichen Folgen der Schäden, die vermutlich im Millionenbereich anzusiedeln seien -- sofern denn Millionen ausreichten --, wollte sich die Staatsanwaltschaft nicht äußern.
Der erste Hinweis auf den Urheber kam aus dem direkten Umfeld des Verhafteten. In einem Telefonanruf bei Microsoft behauptete eine Person, die Identität des Sasser-Autors zu kennen. Auf Nachfragen lieferte sie dann auch Teile des Quellcodes, die Microsoft in forensischen Analysen als authentisch einstufte. Daraufhin schaltete Microsoft die Ermittlungsbehörden ein, die dann innerhalb kürzester Zeit reagierten und auch die Verhaftung vornahmen. Der Microsoft-Sprecher sah dies als Erfolg des Anti-Virus-Reward-Programms, das eine Prämie auf Hinweise auslobt, die zur Ergreifung und Verurteilung von Viren-Autoren führen. Bei der Frage, ob und in welcher Höhe der Hinweisgeber in diesem Fall ein solches Kopfgeld erhalte, wollte er sich jedoch nicht festlegen.
Einen direkte Verbindung zu dem ebenfalls gestern verhafteten, mutmaßlichen Phatbot-Autor sah das LKA Niedersachsen nicht. Dabei verhedderten sich die Podiumsteilnehmer allerdings in Widersprüche. So behauptete der Microsoft-Sprecher unwidersprochen, dies sei die bisher einzige bekannte Quelle für Sasser-Code. Ein anderer Podiumsteilnehmer bestätigte hingegen, dass auch gegen den Phatbot-Autor wegen Sasser ermittelt werde. Er habe wohl eine eigene Variante des Wurms in Umlauf gebracht. Die Art und Weise, wie sich Phatbot beim so genannten "Worm-Riding" die Eigenheiten von Sasser zunutze macht, lässt ebenfalls darauf schliessen, dass der Autor im Besitz des Sasser-Quellcodes war. Jedenfalls wollen die Landeskriminalämter Baden-Württemberg und Niedersachsen ihre weiteren Ermittlungen eng koordinieren. (ju/c't)