Sasser: neuer Super-Wurm im Internet unterwegs

Nero24

Administrator
Teammitglied
★ Themenstarter ★
Mitglied seit
01.07.2000
Beiträge
23.676
Renomée
9.818
  • BOINC Pentathlon 2019
  • BOINC Pentathlon 2020
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2021
Die Erinnerungen an den letzten Sommer, als eine neue Gattung Computervirus namens <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1061131204">MS-Blaster</a> Angst und Schrecken bei den Internet-Usern (genauer: bei jenen mit Microsofts NT-Kern Betriebssystemen) verbreitete, sind noch frisch. Neu an diesem Wurm war, dass er nicht erst von unvorsichtigen Nutzern aus einem eMail-Anhang heraus geöffnet werden musste wie die meisten anderen Würmer. Nein, er schleuste sich direkt über offene Ports selbst ins System ein und führte auf dem infizierten Rechner durch einen Buffer-Overrun einen Shutdown durch.

Selbst heute, über ein dreiviertel Jahr nach MS-Blasters "Erstschlag", dauert es oft noch immer keine zwei Minuten nachdem man sich mit dem Internet verbunden hat, ehe der Wurm auf Port 135 Zugang zum System sucht. Er "lebt" also noch immer in den Weiten des Internets, genauer: auf Rechnern argloser, unvorsichtiger User. Ein <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1061131204">Patch</a> von Microsoft (sofern man ihn eingespielt hat) und/oder eine sorgfältig konfigurierte Firewall verhindern heute jedoch den Angriff auf den eigenen PC.

Seit gestern jedoch ist wieder eine "Weiterentwicklung" der MS-Blaster-Idee unterwegs. Der Virus namens Sasser verbreitet sich wie Blaster selbstständig und benötigt keine eMails als Trägermedium. Der Wurm nutzt dabei eine <a href="http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htm">Sicherheitslücke</a> in Windows NT-Kern Betriebssystemen, die vor ein paar Tagen bekannt geworden ist. Der Wurm erzeugt laut Herstellern von Anti-Virensoftware einen Speicherüberlauf im LSA-Dienst und verursacht dadurch wie Blaster einen Shutdown des Systems. Ferner installiert der Wurm einen FTP-Server, der auf TCP-Port 5554 läuft und lauscht auf den eingehenden Ports 1068 aufwärts.

Wer bei sich bereits den Sasser-Wurm identifiziert hat, kann ihn mit einem Removal-Tool wieder entfernen. Um den drohenden Shutdown abzuwenden, ist in der Console der Befehl shutdown -a einzugeben. Microsoft stellt ferner einen Patch bereit, der die Sicherheitslücke des Systems schließt. Und natürlich kann auch eine sorgfältig konfigurierte Firewall (egal ob Hardware oder Software) in Fällen wie diesen das Schlimmste abwenden.

<b>Download:</b><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20040502233146">Microsoft Windows XP Sasser-Patch KB835732</a></li><li><a href="http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htm" TARGET="b">Microsoft Sasser-Patch KB835732 weitere Betriebssysteme</a></li><li><a href="http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html" TARGET="b">Sasser Removal Tool</a></li>
Detaillierte Infos zu Sasser gibt's z.B. bei <a href="http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html" TARGET="b">Symantec</a>.
THX Sebastian für den Hinweis
 

Sir Ulli

Grand Admiral Special
Mitglied seit
06.02.2002
Beiträge
14.445
Renomée
203
Standort
Bad Oeynhausen
  • SIMAP Race
  • QMC Race
  • Spinhenge ESL
gut das ich einen Router mit Firewall habe, habe von den ganzen Virus Zeigs nix gemerkt, auch damals mit dem Blaster nicht.

MFG
Sir Ulli
(der aber zur Sicherheit noch auf jedem Rechner Kerio Firewall installiert hat... ), aber morgen wird mal wieder das Telefon nicht stillstehen...............
 

Hoeni

Commodore Special
Mitglied seit
11.11.2001
Beiträge
419
Renomée
1
Standort
Mücke, Hessen
Mal zum Schmunzeln:

Seit Donnerstag abend habe ich auf meiner Firewall merkwürdig viele Connects auf Port 135 und 445 bemerkt - und habe prompt im Kollegenkreis herumgefragt, ob das noch wer bemerkt hat.

Und siehe da - seit gestern brennt die Luft, dank Sasser... :/
 

Sir Ulli

Grand Admiral Special
Mitglied seit
06.02.2002
Beiträge
14.445
Renomée
203
Standort
Bad Oeynhausen
  • SIMAP Race
  • QMC Race
  • Spinhenge ESL
Zitate habe ich auch noch

"Science is the century-old endeavour to bring together by means of systematic thought the perceptible phenomena of this world into as thorough-going an association as possible. To put it boldly, it is the attempt at a posterior reconstruction of existen ce by the process of conceptualisation. Science can only ascertain what is, but not what should be, and outside of its domain value judgements of all kinds remain necessary." by Albert Einstein

MFG
Sir Ulli
 

Lizzy

Vice Admiral Special
Mitglied seit
31.05.2002
Beiträge
530
Renomée
0
Standort
whv
moin

ohh man das das nie aufhört :]
muss heute noch zu 2 rechner die sich infiziert haben :]
 

Araberboy

Lt. Commander
Mitglied seit
06.08.2003
Beiträge
130
Renomée
0
Standort
Berlin
Wieso, ich freu mich auf neue Viren (der Viru stammt nicht von mir ;-)

Bei dem Blaster letzen Sommer bekam ich 10 Anrufe pro Tag. Jeder PC den ich "repariert" habe bekam ich Trinkgeld von mind. 10 € - 50 €. ;D
EIn Viertel der "Kunden" konnte ich auf Linux überreden.
 

hacki

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
3.914
Renomée
23
Standort
Benztownrocker
Check it out: klick

Dank Router hab ich aber auch nichts von den ganzen Würmern mitbekommen..
 

Dhamster

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
5.862
Renomée
23
Standort
vorm bollerwagen
  • Spinhenge ESL

eaglo

Admiral Special
Mitglied seit
29.03.2002
Beiträge
1.249
Renomée
3
Standort
Austria
Original geschrieben von Hoeni
Mal zum Schmunzeln:

Seit Donnerstag abend habe ich auf meiner Firewall merkwürdig viele Connects auf Port 135 und 445 bemerkt - und habe prompt im Kollegenkreis herumgefragt, ob das noch wer bemerkt hat.

Und siehe da - seit gestern brennt die Luft, dank Sasser... :/

heute morgen ein blick auf den firewall log und -> ;D
 

KairoCowboy

Vice Admiral Special
Mitglied seit
20.02.2003
Beiträge
857
Renomée
9
Standort
Fürth
dieser patch seitens microsoft ist neu?
muss ich den noch ionstallieren wenn ich ein vollständiges und aktuelles windows-update habe???
 

[P3D] Neitmehr

Admiral Special
Mitglied seit
11.11.2001
Beiträge
1.340
Renomée
6
Standort
Dieburg
  • QMC Race
  • RCN Russia
  • Spinhenge ESL
  • Docking@Home
Lustig, lustig. Ich habe gestern erst noch ein Windowsupdate gemacht. Die Datei war da noch nicht mit dabei )((
 

KairoCowboy

Vice Admiral Special
Mitglied seit
20.02.2003
Beiträge
857
Renomée
9
Standort
Fürth
also ich hab gestern und heute gemacht, ich dachte aber, dass microschrott nur noch 1 mal monatlich patches freigibt.
war auch heute noch nix dabei
 

Gerby19

Vice Admiral Special
Mitglied seit
04.02.2004
Beiträge
506
Renomée
23
Standort
Schleswig-Holstein
  • BOINC Pentathlon 2012
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2019
@eaglo: Schau doch mal (etwas genauer) in den Artikel! Da gibt's 'nen Link zu den entsprechenden Microsoft-Seiten für weitere Betriebssysteme (neben XP).

@Allgemeinheit: Es wurde hier und dort von Problemen mit dem Patch KB835732 insbes. unter 2000 und NT berichtet (siehe z.B. hier). Vielleicht lädt MS deswegen nicht das entsprechende Update automatisch?!? (Kann ich hier nicht nachprüfen, da meine Win2000-Installation nicht am Internet hängt bzw. ich dort kein Windowsupdate laufen lasse.)

Ich selber hab es wieder runtergeschmissen, da ich auch Probleme mit Win2000 hatte (System wurde merklich langsamer). Da muss ich mich halt auf meine Firewall verlassen.
 

SKYNET

Grand Admiral Special
Mitglied seit
07.06.2002
Beiträge
4.179
Renomée
7
Standort
Zürich
beimir kommt immer wenn ich patchen will "datei ist beschädigt" so ein müll 8-(

typisch MS... ode rmein OS ist mal wieder platt und ich weiß es netmal :lol:
 

OBrian

Moderation MBDB, ,
Mitglied seit
16.10.2000
Beiträge
17.036
Renomée
266
Standort
NRW
Original geschrieben von Giechala
dieser patch seitens microsoft ist neu?
muss ich den noch ionstallieren wenn ich ein vollständiges und aktuelles windows-update habe???
Eigentlich nicht, der kam schon Mitte April raus.
 

Wuschl

Vice Admiral Special
Mitglied seit
11.11.2001
Beiträge
963
Renomée
1
Standort
Himberg/Wien
Original geschrieben von Araberboy
Wieso, ich freu mich auf neue Viren (der Viru stammt nicht von mir ;-)

Bei dem Blaster letzen Sommer bekam ich 10 Anrufe pro Tag. Jeder PC den ich "repariert" habe bekam ich Trinkgeld von mind. 10 € - 50 €. ;D
EIn Viertel der "Kunden" konnte ich auf Linux überreden.

Könnt' ich bitte mal auch solche "Kunden" haben? Oder binden die Dir auch die "Hab' kein Geld" Masche auf? *noahnung*

Gruß Wuschl
 

gruenmuckel

Grand Admiral Special
Mitglied seit
17.05.2001
Beiträge
29.293
Renomée
1.254
Standort
Gerry-Weber - Stadt
  • SIMAP Race
  • QMC Race
  • RCN Russia
  • Spinhenge ESL
  • BOINC Pentathlon 2012
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2020
  • BOINC Pentathlon 2021
Original geschrieben von Giechala
also ich hab gestern und heute gemacht, ich dachte aber, dass microschrott nur noch 1 mal monatlich patches freigibt.
war auch heute noch nix dabei

Original geschrieben von [P3D] Neitmehr
Lustig, lustig. Ich habe gestern erst noch ein Windowsupdate gemacht. Die Datei war da noch nicht mit dabei )((

Interessant: Mein Windows-Liveupdate hat ihn am 16. April gezogen?
Liveupdate is doch gar nicht so schwer. *noahnung*
Man vergleiche originaldateinamen mit dem obersten Eintrag:
WindowsXP-KB835732-x86-DEU.EXE

sasserpatch.jpg


Von wegen "Windows is für Dummies" - Jeder kriegt das auch nicht hin...
*lol*
 

SirThor

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
3.058
Renomée
20
Standort
Sachsen
Original geschrieben von Alexander
Ihr meint doch sicher infiziert anstelle von identifiziert?

Alexander

Sind wir nicht alle irgendwo so arme kleine Sasser-Würmer?!

;D *noahnung* *lol* *chatt*
 

Sykon

Fleet Captain Special
Mitglied seit
06.02.2002
Beiträge
320
Renomée
2
Standort
Ruhrpott
Meine Freundin rief mich gerade an: Bei ihr auf der Arbeit fahren die PCs immer runter ... *lol*

Der arme Admin dort, der dürfte heute nicht nur wegen dem Wetter schwitzen ... ;D
 

The Dark Force

Grand Admiral Special
Mitglied seit
20.11.2003
Beiträge
4.843
Renomée
248
Standort
tiefstes Bayern
  • RCN Russia
Kaum gibts dieses scheiss Ding, hab ich ihn auch schon drauf. Allerdings war AntiVir ziehmlich schnell damit fertig. ;D
 

Pausenclown

Lieutnant
Mitglied seit
22.01.2003
Beiträge
67
Renomée
0
Interessantes Detail:
Wir hatten auf unseren Webservern seit Freitag das Symptom, dass wiederholt alle SSL-Verbindungen vom IIS abgelehnt wurden. Grund war auch hier der abgestürzte LSA Service, obwohl nur Port 80 und 443 von der Firewall nahc außen hin geöffnet sind.

Der Wurm hat offenbar über Port 443 angegriffen, oder nen anderen Rechner in der DMZ erwischt und von dort aus versucht die Webserver zu erreichen. Da sind unsere Admins noch am prüfen. Ein Sasser-Befall auf den Webservern war aber nicht festzustellen.
 
Oben Unten