Sasser: neuer Super-Wurm im Internet unterwegs

Nero24

Administrator
Teammitglied
Mitglied seit
01.07.2000
Beiträge
24.066
Renomée
10.445
  • BOINC Pentathlon 2019
  • BOINC Pentathlon 2020
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2021
Die Erinnerungen an den letzten Sommer, als eine neue Gattung Computervirus namens <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1061131204">MS-Blaster</a> Angst und Schrecken bei den Internet-Usern (genauer: bei jenen mit Microsofts NT-Kern Betriebssystemen) verbreitete, sind noch frisch. Neu an diesem Wurm war, dass er nicht erst von unvorsichtigen Nutzern aus einem eMail-Anhang heraus geöffnet werden musste wie die meisten anderen Würmer. Nein, er schleuste sich direkt über offene Ports selbst ins System ein und führte auf dem infizierten Rechner durch einen Buffer-Overrun einen Shutdown durch.

Selbst heute, über ein dreiviertel Jahr nach MS-Blasters "Erstschlag", dauert es oft noch immer keine zwei Minuten nachdem man sich mit dem Internet verbunden hat, ehe der Wurm auf Port 135 Zugang zum System sucht. Er "lebt" also noch immer in den Weiten des Internets, genauer: auf Rechnern argloser, unvorsichtiger User. Ein <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1061131204">Patch</a> von Microsoft (sofern man ihn eingespielt hat) und/oder eine sorgfältig konfigurierte Firewall verhindern heute jedoch den Angriff auf den eigenen PC.

Seit gestern jedoch ist wieder eine "Weiterentwicklung" der MS-Blaster-Idee unterwegs. Der Virus namens Sasser verbreitet sich wie Blaster selbstständig und benötigt keine eMails als Trägermedium. Der Wurm nutzt dabei eine <a href="http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htm">Sicherheitslücke</a> in Windows NT-Kern Betriebssystemen, die vor ein paar Tagen bekannt geworden ist. Der Wurm erzeugt laut Herstellern von Anti-Virensoftware einen Speicherüberlauf im LSA-Dienst und verursacht dadurch wie Blaster einen Shutdown des Systems. Ferner installiert der Wurm einen FTP-Server, der auf TCP-Port 5554 läuft und lauscht auf den eingehenden Ports 1068 aufwärts.

Wer bei sich bereits den Sasser-Wurm identifiziert hat, kann ihn mit einem Removal-Tool wieder entfernen. Um den drohenden Shutdown abzuwenden, ist in der Console der Befehl shutdown -a einzugeben. Microsoft stellt ferner einen Patch bereit, der die Sicherheitslücke des Systems schließt. Und natürlich kann auch eine sorgfältig konfigurierte Firewall (egal ob Hardware oder Software) in Fällen wie diesen das Schlimmste abwenden.

<b>Download:</b><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20040502233146">Microsoft Windows XP Sasser-Patch KB835732</a></li><li><a href="http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htm" TARGET="b">Microsoft Sasser-Patch KB835732 weitere Betriebssysteme</a></li><li><a href="http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html" TARGET="b">Sasser Removal Tool</a></li>
Detaillierte Infos zu Sasser gibt's z.B. bei <a href="http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html" TARGET="b">Symantec</a>.
THX Sebastian für den Hinweis
 
gut das ich einen Router mit Firewall habe, habe von den ganzen Virus Zeigs nix gemerkt, auch damals mit dem Blaster nicht.

MFG
Sir Ulli
(der aber zur Sicherheit noch auf jedem Rechner Kerio Firewall installiert hat... ), aber morgen wird mal wieder das Telefon nicht stillstehen...............
 
Mal zum Schmunzeln:

Seit Donnerstag abend habe ich auf meiner Firewall merkwürdig viele Connects auf Port 135 und 445 bemerkt - und habe prompt im Kollegenkreis herumgefragt, ob das noch wer bemerkt hat.

Und siehe da - seit gestern brennt die Luft, dank Sasser... :/
 
Zitate habe ich auch noch

"Science is the century-old endeavour to bring together by means of systematic thought the perceptible phenomena of this world into as thorough-going an association as possible. To put it boldly, it is the attempt at a posterior reconstruction of existen ce by the process of conceptualisation. Science can only ascertain what is, but not what should be, and outside of its domain value judgements of all kinds remain necessary." by Albert Einstein

MFG
Sir Ulli
 
moin

ohh man das das nie aufhört :]
muss heute noch zu 2 rechner die sich infiziert haben :]
 
Wieso, ich freu mich auf neue Viren (der Viru stammt nicht von mir ;-)

Bei dem Blaster letzen Sommer bekam ich 10 Anrufe pro Tag. Jeder PC den ich "repariert" habe bekam ich Trinkgeld von mind. 10 € - 50 €. ;D
EIn Viertel der "Kunden" konnte ich auf Linux überreden.
 
Check it out: klick

Dank Router hab ich aber auch nichts von den ganzen Würmern mitbekommen..
 
Original geschrieben von Hoeni
Mal zum Schmunzeln:

Seit Donnerstag abend habe ich auf meiner Firewall merkwürdig viele Connects auf Port 135 und 445 bemerkt - und habe prompt im Kollegenkreis herumgefragt, ob das noch wer bemerkt hat.

Und siehe da - seit gestern brennt die Luft, dank Sasser... :/

heute morgen ein blick auf den firewall log und -> ;D
 
dieser patch seitens microsoft ist neu?
muss ich den noch ionstallieren wenn ich ein vollständiges und aktuelles windows-update habe???
 
Lustig, lustig. Ich habe gestern erst noch ein Windowsupdate gemacht. Die Datei war da noch nicht mit dabei )((
 
also ich hab gestern und heute gemacht, ich dachte aber, dass microschrott nur noch 1 mal monatlich patches freigibt.
war auch heute noch nix dabei
 
@eaglo: Schau doch mal (etwas genauer) in den Artikel! Da gibt's 'nen Link zu den entsprechenden Microsoft-Seiten für weitere Betriebssysteme (neben XP).

@Allgemeinheit: Es wurde hier und dort von Problemen mit dem Patch KB835732 insbes. unter 2000 und NT berichtet (siehe z.B. hier). Vielleicht lädt MS deswegen nicht das entsprechende Update automatisch?!? (Kann ich hier nicht nachprüfen, da meine Win2000-Installation nicht am Internet hängt bzw. ich dort kein Windowsupdate laufen lasse.)

Ich selber hab es wieder runtergeschmissen, da ich auch Probleme mit Win2000 hatte (System wurde merklich langsamer). Da muss ich mich halt auf meine Firewall verlassen.
 
beimir kommt immer wenn ich patchen will "datei ist beschädigt" so ein müll 8-(

typisch MS... ode rmein OS ist mal wieder platt und ich weiß es netmal :lol:
 
Original geschrieben von Giechala
dieser patch seitens microsoft ist neu?
muss ich den noch ionstallieren wenn ich ein vollständiges und aktuelles windows-update habe???
Eigentlich nicht, der kam schon Mitte April raus.
 
Original geschrieben von Araberboy
Wieso, ich freu mich auf neue Viren (der Viru stammt nicht von mir ;-)

Bei dem Blaster letzen Sommer bekam ich 10 Anrufe pro Tag. Jeder PC den ich "repariert" habe bekam ich Trinkgeld von mind. 10 € - 50 €. ;D
EIn Viertel der "Kunden" konnte ich auf Linux überreden.

Könnt' ich bitte mal auch solche "Kunden" haben? Oder binden die Dir auch die "Hab' kein Geld" Masche auf? *noahnung*

Gruß Wuschl
 
Original geschrieben von Giechala
also ich hab gestern und heute gemacht, ich dachte aber, dass microschrott nur noch 1 mal monatlich patches freigibt.
war auch heute noch nix dabei

Original geschrieben von [P3D] Neitmehr
Lustig, lustig. Ich habe gestern erst noch ein Windowsupdate gemacht. Die Datei war da noch nicht mit dabei )((

Interessant: Mein Windows-Liveupdate hat ihn am 16. April gezogen?
Liveupdate is doch gar nicht so schwer. *noahnung*
Man vergleiche originaldateinamen mit dem obersten Eintrag:
WindowsXP-KB835732-x86-DEU.EXE

sasserpatch.jpg


Von wegen "Windows is für Dummies" - Jeder kriegt das auch nicht hin...
*lol*
 
Original geschrieben von Alexander
Ihr meint doch sicher infiziert anstelle von identifiziert?

Alexander

Sind wir nicht alle irgendwo so arme kleine Sasser-Würmer?!

;D *noahnung* *lol* *chatt*
 
Meine Freundin rief mich gerade an: Bei ihr auf der Arbeit fahren die PCs immer runter ... *lol*

Der arme Admin dort, der dürfte heute nicht nur wegen dem Wetter schwitzen ... ;D
 
Kaum gibts dieses scheiss Ding, hab ich ihn auch schon drauf. Allerdings war AntiVir ziehmlich schnell damit fertig. ;D
 
Interessantes Detail:
Wir hatten auf unseren Webservern seit Freitag das Symptom, dass wiederholt alle SSL-Verbindungen vom IIS abgelehnt wurden. Grund war auch hier der abgestürzte LSA Service, obwohl nur Port 80 und 443 von der Firewall nahc außen hin geöffnet sind.

Der Wurm hat offenbar über Port 443 angegriffen, oder nen anderen Rechner in der DMZ erwischt und von dort aus versucht die Webserver zu erreichen. Da sind unsere Admins noch am prüfen. Ein Sasser-Befall auf den Webservern war aber nicht festzustellen.
 
Zurück
Oben Unten