Viruswarnung (01.05.2004) -W32.Sasser.Worm

xa-board.com - Forenarchiv: Archivbeitrag des Forums Keibel-Forum

Verfügbare Informationen zu "Viruswarnung (01.05.2004) -W32.Sasser.Worm"

Beiteiligte Poster: huchi - March - Tiger68
Forum: Keibel-Forum
Forenurl: Zum Forum
Forenbeschreibung: Keibel-Forum
Antworten: 8
Gestartet: Mittwoch 05.05.2004

Alle Beiträge und Antworten

huchi - 02.05.2004 - 12:05

Und nochmal einer:#

Name: W32.Sasser.Worm
Alias: W32/Sasser.worm

Art: Wurm
Größe des Anhangs: 15.872 Bytes
Betriebssystem: Windows XP, 2000, 2003 Server
nicht betroffen: Windows 98/Me/NT
Art der Verbreitung: Ausnutzung einer Sicherheitslücke
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: Systemabstürze, verminderte Systemleistung
Spezielle Entfernung: Tool
bekannt seit: 30.04.2004

Beschreibung:

W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 und Windows 2003 Server verbreitet.

Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen. Microsoft stellt eine deutsche Beschreibung dieser Sicherheitslücke zur Verfügung. Die Schwachstelle wird mit dem Sicherheits-Update KB835732 geschlossen.
Für die weitverbreiteten Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter:
Microsoft Windows 2000 (SP2, SP3 und SP4)
Microsoft Windows XP und Microsoft Windows XP SP1
Updates für alle übrigen Windows-Betriebssysteme befinden sich in der Microsoft-Beschreibung zur Sicherheitslücke.

Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders!

Sasser verwendet unterschiedliche Angriffsmethoden zur Infektion neuer Computer. Bei der Verwendung der falschen Methode kommt es auf dem angegriffenen Computer zu einem Fehler. Dies führt zu einer Fehlermeldung mit anschließendem automatischen Neustart des Systems.

Ausfuehrliche Informationen zu Sasser.worm finden Sie auf den Internetseiten des BSI unter:
http://www.bsi.de/av/vb/sasser.htm

Fragen richten Sie bitte an antivir@bsi.de.
Virenmeldungen koennen Sie an virmeld@bsi.de senden.

www.bsi.de

huchi - 04.05.2004 - 12:19

Weitere Informationen zu Sasser-Würmern

Die Sasser-Wurm-Familie hat sich um ein weiteres Mitglied vergrößert: Sasser.D. Die neue Variante sucht nach anderen Systemen, indem sie bis zu 30 Ping-Pakete (ICMP Echo-Request) pro Sekunde versendet. Nach Angaben des Internet Storm Centers greift Sasser.D auch auf Multicast-Scans zur Suche zurück, was in einigen Netzwerken -- aufgrund der hohen Last -- wohl schon zu instabilen Routern geführt hat. Auch die anderen Sasser-Varianten erhöhen die Netzlast signifikant, wenn sie auf die Suche nach verwundbaren Rechnern gehen: Bis zu 1000 Scan-Threads können gleichzeitig laufen.

Der E-Mail-Wurm Netsky.AC versucht derweil, die Sorge vor Wurmangriffen auszunutzen und tarnt sich unter anderem als Removal-Tool für Sasser.B. Als Absender erscheint dann ein Hersteller von Antivirensoftware. Anwender sollten solche Mails sofort löschen, die Hersteller versenden niemals derartige Tools, Patches oder Signaturen per E-Mail.

Systeme, die bereits mit einer Sasser-Variante infiziert sind, laufen Gefahr, noch für weitere Schädlinge als Wirt zu dienen. Beispielsweise dringt Phatbot über dieselbe Sicherheitslücke in Windows-2000 und XP-Systeme ein. Zudem öffnet Sasser Hintertüren, über die zusätzliche Würmer und Trojaner eindringen können. Bei einer Mehrfachinfektion nützen auch die Removal-Tools der Hersteller nichts mehr. Am sichersten ist dann nur noch die Neuinstallation des Betriebssystems.

Zu ersten Ausfällen hat der Wurm schon geführt, allerdings nur indirekt: Die Deutsche Post hat nach Angaben der hannoverschen Neuen Presse aus Angst vor dem Wurm die Sicherheitsrichtlinie der Firewall verschärft. Das hielt dann aber nicht nur den Wurm außen vor, sondern auch die Rechner für Bankgeschäfte in den Postfilialen. Geldauszahlungen konnten nur noch per Formular verbucht werden.
Quelle: http://www.heise.de/newsticker/meldung/47097

March - 05.05.2004 - 09:18

Hi Huchi!

Wenn ich den Sasser-Wurm bis jetzt noch nicht habe, heist das dann das mein System stabil genug ist das er nicht rein kommt, oder kann das noch kommen :? :?

huchi - 05.05.2004 - 12:06

@March,

Sasser verbreitet sich nicht per e-mail, sondern er benutzt eine Windows-Sicherheitslücke.
Betroffen sind folgende Betriebssysteme:
-Windows 2000
-Windows 2003 Server
-Windows XP

Warum du bis jetzt nicht betroffen warst, kann folgende Gründe habe:
1. Du bist nicht mit dem Internet verbunden :D
2. Du hast ein älteres Betriebssystem
3. Du hast den Microsoft Security Bulletin MS04-011 wie von mir schon im gleich genannten Thread empfohlen installiert
4. Du hast eine gut funktionierende Fire Wall die Zugriffe von aussen abwehrt.

March - 05.05.2004 - 12:14

@ Huchi

OK dank Dir. Dann muss es wohl 4. sein. 1. auf gar keinen Fall, XP hab ich eigentlich drauf nur von wann weis ich nicht und 3. hab ich auf keinen Fall gemacht.
Vielleicht einfach nur Glück :? :?

Bin auf jeden Fall froh, dass i bis jetzt von dem Dreck verschont worden bin.

:D :D :D

huchi - 05.05.2004 - 12:35

Dann mach aber noch das Mircosoft Sicherheitsupdate, dann wirste auf jeden Fall ganz verschont!

Tiger68 - 05.05.2004 - 17:25

Mir hat er ganz schön Eingeheizt der Bursche !!!
Aber dann schlugen Wir zurück #p# #p#
Jetzt kann ich wieder computern und bin wieder froh !!

huchi - 05.05.2004 - 18:26

Erstellt von huchi

Dann mach aber noch das Mircosoft Sicherheitsupdate, dann wirste auf jeden Fall ganz verschont!

............. und verschont bleiben (zumindest von dem Wurm)! :D

Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken