Wurm Sasser dringt über Windows-Sicherheitslücke ein

#0
01.05.2004, 16:05
Member
Avatar Dafra

Beiträge: 1122
#1

Zitat

Man musste kein Prophet sein, um nach den letzten Veröffentlichungen von Security Advisories zu Sicherheitslücken in Windows einen Wurm vorauszusagen, der genau über diese Lücken in Systeme eindringt. Solch ein Wurm ist nun aufgetaucht. Der Schädling, den die Hersteller von Antivirensoftware Sasser nennen, nutzt einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Bedroht sind nicht gepatchte Windows-2000 und XP-Systeme.


Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er Code, der den eigentliche Wurm von bereits infizierten Systemen nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf eingehende Verbindungen lauschen. Sasser verursacht zudem – wie seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt. Abhilfe schafft ein "shutdown -a" in der Windows-Eingabeaufforderung vor Ablauf dieser Zeitspanne. Eine echte Schadroutine hat Sasser nicht, auch scheint die Verbreitung des Schädlings noch recht gering zu sein. Anwender sollten aber dennoch den Patch von Microsoft einspielen.
Quelle : Heise.de

Tja, ich denke mal, das ist auch der Grund für den massiven Useransturm den ganzen Tag schon.

MFG
DAFRA
Dieser Beitrag wurde am 01.05.2004 um 16:05 Uhr von Dafra editiert.
Seitenanfang Seitenende
01.05.2004, 16:15
Member
Avatar Laserpointa

Beiträge: 2175
#2

Zitat

Virusname: Worm/Sasser.A
Alias: Sasser
Viren Typ: Wurm
Dateigröße: 15.872 Bytes
Betriebsysteme: Microsoft Windows 2000/XP/Server 2003
Ursprung: unbekannt
Datum: 01.05.2004
Schadensroutine: Nutzt Sicherheitslücke LSASS aus
VDF Version: 6.25.00.42

Allgemeine Beschreibung:

Worm/Sasser.A hat eine Dateigröße von 15.872 Bytes und kopiert sich als avserve.exe in das Windows Systemverzeichnis. Er nutzt die LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft aus.
Sollten nicht alle Patches von Microsoft eingespielt sein oder keine aktive Firewall zum Internet bestehen, kann der Wurm sich auf dem Windows XP oder Windows 2000 System installieren..

Symptome:
Im Root von Laufwerk C: findet sich eine Datei namens WIN.LOG

Infektionsweg:
LSASS Sicherheitslücke von Microsoft

Technische Details:

Worm/Sasser.A verbreitet sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Siehe dazu:
http://www.microsoft.com/technet/se...n/MS04-011.mspx

Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.

Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.

Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.


Entfernungshinweise:

- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.

Quelle: Antivir
^^ einige weitere Infos - ich denke nicht das der Useransturm hier auf den Wurm zurückzuführen ist, alle anderen Securityforen fahren nämlich weiter ihre 20 User ;) nur das Protecus Board toppt wieder alle ;)

mal sehen was Lukas dazu zu sagen hat ;)

Greetz Lp
Seitenanfang Seitenende
01.05.2004, 16:18
Member
Themenstarter
Avatar Dafra

Beiträge: 1122
#3 @Laserpointa
schon mal in die Viren/Trojaner Foren geguckt ??????
Da sind eigentlich alle erstellten Thread heute über Isass.exe
Jo warten ma auf den Chef, interessiert mich auch, was er dazu sagt ;)
MFG
DAFRA
Dieser Beitrag wurde am 01.05.2004 um 16:18 Uhr von Dafra editiert.
Seitenanfang Seitenende
01.05.2004, 18:01
Member

Beiträge: 14
#4 Also, ich habe heute auch schon einen verzweifelt über seinem Rechner zusammengebrochenen Freund aufgefunden. Also scheint der Wurm zu boomen.
Für den Fall dass sich irgendein Wurm oder Virenprogramierer mal zufällig hierher verirrt sei ihm gesagt, da draussen sind Millonen von Menschen die dich hassen! Selbst meine pazifistische Grundeinstellung ging durch dich verloren und ich gebe mich fiesen Gewaltphantasien hin *grrrrr*

Den Machern und Ratgebern hier im Forum sei ein einfaches Danke ins Ohr gehaucht. Ihr seid die Guten!!! ;)
Seitenanfang Seitenende
01.05.2004, 22:01
Administrator
Avatar Lukas

Beiträge: 1742
#5 @Dafra und Laserpointa,
Das Sasser / lsass Problem ist tatsächlich für den großen Andrang hier verantwortlich!
Hits heute: 594423 / Besucher heute 32596 ;)

Achtung! @all
bitte in diesen Thread nur News!!
Fragen und Anleitungen zum entfernen bitte im » Virenforum sowie hier:
lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung


Danke!
__________
Gruß Lukas :yo
Seitenanfang Seitenende
02.05.2004, 10:01
Member
Avatar Laserpointa

Beiträge: 2175
#6 war ja klar lange muss man nicht warten...
Variante Sasser B ist da ;) *in Deckung geh*

mehr Infos:
Trenmicro - Sasser B
Symantec W32.Sasser.b + Removalinstructions + W32.Sasser Removal Tool

oh man - der Wurm nimmt mal wieder echt überhand!

Greetz Lp
Dieser Beitrag wurde am 02.05.2004 um 10:01 Uhr von Laserpointa editiert.
Seitenanfang Seitenende
02.05.2004, 10:27
Member
Themenstarter
Avatar Dafra

Beiträge: 1122
#7 Aber die Sicherheitslücke ist jetzt bei den meisten zu, ich denke nicht, dass es wieder so viel Probleme geben wird.
MFG
DAFRA
Seitenanfang Seitenende
02.05.2004, 10:51
Moderator
Avatar joschi

Beiträge: 6466
#8 Unter http://www.eeye.com/html/Research/Advisories/AD20040501.html
gibt es eine sehr ausführlich Analyse über die Arbeitsweise des Wurms.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
03.05.2004, 20:37
Member
Themenstarter
Avatar Dafra

Beiträge: 1122
#9 @Britta
Bitte poste deine Frage nochmal im Viren/trojnaer Forum, da dies nur der News bereich ist.
MFG
DAFRA
Seitenanfang Seitenende
03.05.2004, 21:19
Member

Beiträge: 14
#10 Habt ihr die Zugriffe auf dies board mal geprüft? Würde mich schon interessieren ob es mehr waren als sonst.

Thea die es diesmal nicht erwischt hat *froi*
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: