ACHTUNG W32.Sasser.Worm ist seit 1.5. im Umlauf

[Thomas_DE37cr]

W32/Sasser
Meldung vom 02.05.2004

Ähnlich wie der Blaster-Wurm, verbreitet sich auch Sasser nicht per Mail, sondern übers Netzwerk bzw. über Internetverbindungen. Dabei missbraucht er eine Sicherheitslücke von Windows 2000 und Windows XP, für die seit Mitte April 2004 ein Patch vorhanden ist.
Der neue Wurm wurde am 1. Mai 2004 entdeckt und hat sich bereits auf viele ungepatchte Systeme verbreitet. Davon bekommt der Benutzer des Systems nichts mit, ausser einer allfälligen Fehlermeldung, die besagt, dass der Computer innert 60 Sekunden heruntergefahren wird. Nach Ablauf des Countdowns startet der Computer automatisch neu.

Dies mag an Blaster [1] erinnern. Allerdings wird bei Sasser nicht die RPC-Sicherheitslücke missbraucht, sondern ein Windows-Dienst namens «Local Security Authority Subsystem Service» (LSASS, lsass.exe). Ist auf einem PC mit Win2000/XP das notwendige Update nicht installiert, kopiert sich der Sasser-Wurm unter dem Dateinamen avserve.exe in den Windows-Ordner.

Die eingepflanzte Datei trägt der Wurm in diesen Registry-Zweig ein, sodass er bei jedem Windows-Start gleich wieder mitgeladen wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Der Eintrag lautet: «avserve.exe» = C:\WINDOWS\avserve.exe

Nachdem er sich somit installiert hat, durchsucht der Wurm zufällig gewählte IP-Adressen nach einem möglichen Einfalls-Tor. Hierbei prüft er, ob er unter dem TCP-Port 445 eindringen kann. Hat er einen anfälligen PC gefunden, öffnet er auf diesem den TCP-Port 9996 und weist ihn an, vom TCP-Port 5554 des angreifenden PCs die Schädlings-Datei herunterzuladen. Die Übertragung des Wurms auf andere infizierte Rechner protokolliert der Schädling in einer Datei namens C:\win.log.

Der Wurm erstellt im Windows-System-Ordner (C:\Windows\System32 oder C:\Winnt\System32) noch zusätzliche Kopien von sich selber, nach dem Muster #####_up.exe (wobei ##### eine fünfstellige Zahl ist). Beispielsweise:
C:\WINDOWS\system32\11583_up.exe
C:\WINDOWS\system32\16913_up.exe
C:\WINDOWS\system32\29739_up.exe

Prävention:
Benutzer einer Hardware- oder Desktop-Firewall werden sich den Wurm kaum zuziehen. Auch ein Einschalten der Internetverbindungs-Firewall von Windows XP sollte die Angriffe fernhalten. Trotzdem sollten alle PC-Benutzer die Windows-Update-Seite aufsuchen (im Internet Explorer im Menü «Extras») und alle Patches installieren, die nach einem Klick auf «Updates suchen» unter «Wichtige Updates» erscheinen. Informationen über die Sicherheitslücke finden Sie im Microsoft Security Bulletin MS04-011 [2].

Microsoft hat zudem eine Informations-Seite aufgeschaltet [3], die weitere Informationen und Links zum Sasser-Wurm und zur betroffenen Sicherheitslücke enthält.

Beseitigung:
Wenn Sie sich den W32/Sasser-Wurm eingefangen haben, müssen Sie zuerst das Update installieren (siehe MS Bulletin MS04-011), bevor Sie den Wurm entfernen; sonst steckt sich der PC sofort wieder an. Danach können Sie den Wurm mit einem Beseitigungs-Tool entfernen. Einige Antivirus-Hersteller, wie z.B. F-Secure [4] und McAfee [5] haben ein solches zum kostenlosen Download bereit gestellt.


Variante W32/Sasser.B:
Obiges gilt weitgehend auch für eine zweite Variante des Sasser-Wurms. Siehe z.B. die Informationen von F-Secure [6]. Die von Sasser.B abgelegte Datei heisst nicht AVSERVE.EXE, sondern AVSERVE2.EXE. Das Beseitigungs-Tool von F-Secure funktioniert aber auch mit der zweiten Sasser-Variante. (sal)
PCtipp-Virenticker: W32/Blaster

Einige von uns haben diesen bereits eingefangen. Schützen tut die Sygate Personal Firewall , die gratis runtergeladen werden kann.. http://smb.sygate.com.
Auch Micro-Schrott bietet jetzt einen Patch an.

Es lohnt sich für Windows XP und W?2003 User sich zu schützen.

Gruss aus dem Alinghi-Land
Thomas

[DieterB]

Danke für die Warnung - ist leider zu spät

[Sigi S.]

Danke für die Info!

Das gibt wieder Arbeit


Gruß Sigi

[Pit]

Zitat:

Zitat von Sigi S.

Danke für die Info!

Das gibt wieder Arbeit


Gruß Sigi

Stimmt!

Unser Helpdesk kam heute um vor Anrufen. Da hatten wir eine Ansage geschaltet, damit die Anrufer nicht rst warten müssen bis jemand persönlich abhebt und über den Wurm informiert und trotzdem:
den Patch und Das Reinigen muste man mit adminrechten durchführen und das haben die meisten nicht. Unsere Techniker hatten in allen Standorten massenhaft zu tun.
Wir haben mit einigen im Helpdesk ausgeholfen. Alle hatten das gleiche Symptom: Dir PC rebooteten dauernd. da komt de Spruch "ein boot tut gut" ncht mehr gut. Abr für uns: Ein Boot tut gut!

Jetzt mache ich aber Feierabend..

Ciao

Pit

[Cooky-Crew]

Radio FFH
Meldung 04.05.2004 - 06:32 Uhr
Die Folgen des Computer Wurms:
Die Post hat durch die Abwehr von " Sasser" große Teile ihres eigenen Computernetzes lahm gelegt.
Rund 300.000 Computer im ganzen Bundesgebiet seien betroffen, heißt es in einem Zeitungsbericht.
Kunden hätten weder Geld einzahlen noch abheben können.
Der Grund liegt darin, dass die Post angesichts der Warnungen vor "Sasser"
ihren Virenschutz derart stark erhöht habe,
dass die Rechner in den Filialen nur noch eingeschränkt funktioniert hätten.

Gruß
UWE

[Thomas_DE37cr]

Hallo

Bremen und Region gewinnt ja beachtlich an Bekanntheit.. Erst gewinnen die Hanseaten die Meisterschaft frühzeitig.. schaffen warscheinlich das Double noch..

und ein junger "Schnudderi" legt die halbe Welt aus seiner stillen Kammer lahm...

Ganz im Sinne von Frontal21... Toll !

Gruss aus dem Alinghi-Land und Gratulation an Werder-Bremen
Thomas