Home » Viren, Trojaner & Malware Forum » unbekanter Exploit Lsass2 » Themenansicht

unbekanter Exploit Lsass2
#0
17.11.2005, 18:27
die_Bohne
Member

Beiträge: 39
#1 Hallo Sabina,
ich brauche mal wieder Deine Hilfe,
von Panda bekomme ich in unregelmäßigen Abständen die Meldung das ein Netzwekvirus blockiert wurde:
"Ein Netzwerkvirus versuchte in Ihren PC einzudringen. Diese Attacke wurde blockiert. Virusname: Exploit/LSASS2"
Ich nutze WLAN fürs Internet und habe die Verbindung recht gut geschützt.
Ins Internet gehe ich über ein eingeschränkte Benutzerkonto, nur Mails rufe ich über das Admin-Konto ab.
Soll ich mal den hijack durchlaufen lassen und hier rein stellen?
Gruß
Bohne
__________
MfG Bohne
Protecus Website
Seitenanfang Seitenende
17.11.2005, 19:55
joschi
Moderator
Avatar joschi

Beiträge: 6466
#2

Zitat

Soll ich mal den hijack durchlaufen lassen und hier rein stellen?
Nicht nötig...ein Exploit nutzt eine Schwachstelle in einem Dienst aus, in diesem Fall jenen, welcher unter NT-Systemen unter dem Namen Lsass (The Local Security Authority Subsystem Service). Ist ein System ausreichend gepatcht würde selbst ohne Virenscanner/IDS nichts passieren. Du siehst, was Priorität hat !?
Diese Meldung bedeutet, dass es im Netz, mit dem Du verbunden bist einen/mehrere infizierte Rechner gibt, die auf ungepatchten Rechnern das Exploit über das Netzwerk ausführen kann und diesen dazu veranlasst das gleiche anschl. zu tun, insofern spricht man dann von einem netzwerkfähigen Wurm.

Berühmtes Beispiel wäre hier Sasser.
Infos zu Sasser:

http://www.sophos.de/pressoffice/news/articles/2004/05/va_sasserattack.html und
http://www.sophos.de/virusinfo/analyses/w32sassera.html

Noch eine Info aus LSASS Exploit Analysis; SANSFIRE 2004

Zitat

In addition to TCP 1025, the following ports are vulnerable to the LSASS
exploit:
TCP 135, 139, 445, and 593.
UDP 135, 137, 138, and 445.
Dass das Explot bis auf Anwendungsebene durchdringen konnte, lässt den Schluss zu, dass dein Router keine/keine aktive oder schlecht eingestellte Firewall hat (?)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
17.11.2005, 20:18
die_Bohne
Member

Themenstarter

Beiträge: 39
#3 Hi joschi,
ich bin aber der einzigste Rechner im Netzwerk, ich finde auch keine anderen in Reichweite.
Was kann ich gegen das "Ding" tun?
__________
MfG Bohne
Protecus Website
Seitenanfang Seitenende
17.11.2005, 21:47
joschi
Moderator
Avatar joschi

Beiträge: 6466
#4 Wie stehts mit dem Internet(z) ? Oder kommen diese Meldungen auch, wenn keinerlei Verbindung in ein Netzwerk besteht ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1