 |
RedDiamonds Dream Board
Sims, Mineralien, Bonsai und noch vieles mehr!
|
| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
Zaubi
Administrator
Anmeldungsdatum: 30.04.2003
Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
 Verfasst am: 02.05.2004, 02:23 Titel: Sasser A bis F |
  |
|
Wurm Sasser dringt über Windows-Sicherheitslücke ein
| Zitat: |
| Man musste kein Prophet sein, um nach den letzten Veröffentlichungen von Security Advisories zu Sicherheitslücken in Windows einen Wurm vorauszusagen, der genau über diese Lücken in Systeme eindringt. Solch ein Wurm ist nun aufgetaucht. Der Schädling, den die Hersteller von Antivirensoftware Sasser nennen, nutzt einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Bedroht sind nicht gepatchte Windows-2000 und XP-Systeme. |
Ich erinnere nicht umsonst immer wieder die Patche zu installieren,
spätestens wenn diese erhältlich sind, wissen auch die Wurmbastler wo die Lücke ist
und nutzen aus, dass nicht jeder sofort die Patche installiert.
| Zitat: |
| Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er Code, der den eigentliche Wurm von bereits infizierten Systemen nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf eingehende Verbindungen lauschen. Sasser verursacht zudem – wie seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt. Abhilfe schafft ein "shutdown -a" in der Windows-Eingabeaufforderung vor Ablauf dieser Zeitspanne. Eine echte Schadroutine hat Sasser nicht, auch scheint die Verbreitung des Schädlings noch recht gering zu sein. Anwender sollten aber dennoch den Patch von Microsoft einspielen. |
Siehe dazu auch:
Beschreibung von NAI
Beschreibung von Symantec
Quelle heise de ... links auf der heise-Seite:
http://www.heise.de/newsticker/meldung/47037
Wo richtete der Virus schon schäden an:
http://oncomputer.t-online.de/c/19/22/97/1922974.html
Quelle t-online
_________________
 Engel fliegen leise!
Zuletzt bearbeitet von Zaubi am 24.05.2004, 12:32, insgesamt 8 Male bearbeitet |
|
| Nach oben |
|
 |
Fighter
Moderator
Anmeldungsdatum: 01.05.2003
Beiträge: 81
Wohnort: Baesweiler
Beitrag drucken
|
| Verfasst am: 02.05.2004, 14:06 Titel: |
|
|
hallo zaubermaus,
wie immer ist hier alles sehr informativ 
Viele Grüße
Fighter
_________________
Die Liebe ist wie die Sonne. Wer sie hat dem kann vieles fehlen. Wem die Liebe fehlt, dem fehlt alles. |
|
| Nach oben |
|
|
Zaubi
Administrator
Anmeldungsdatum: 30.04.2003
Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
| Verfasst am: 02.05.2004, 22:52 Titel: |
|
|
Microsoft warnt vor Blaster-Nachfolger
| Zitat: |
| Dringende Warnung von Microsoft: Im Internet verbreitet sich der Wurm "Sasser", der Computer zum Absturz bringen kann - nicht gespeicherte Daten gehen unweigerlich verloren, die Arbeit am PC wird zum Glücksspiel. Betroffen sind alle Nutzer der Betriebsysteme Windows XP und 2000. Sicherheitsexperten befürchten, dass der neue Schädling in kürzester Zeit mehr Systeme infizieren könnte als "Blaster" im Sommer vergangenen Jahres - der Grund: Bereits das Einschalten eines ungeschützten PCs kann zu einer Infektion mit Sasser führen ! Der Wurm verbreitet sich nicht wie gewohnt per eMail, sondern über eine Schwachstelle in Windows und kann sich daher auch ohne Zutun der Nutzer verbreiten. |
Symptome die auf einen Sasserbefall schliessen lassen.
Unter anderem gehen manche Webseiten nicht mehr,
Oder das Betriebssystem wird heruntergefahren.
Bitte unten auf den Link zu t-online klicken und dort die Fotoshow ansehen.
Alle XP-Nutzer sollten ihren PC umgehend mit dem entsprechenden Sicherheitspatch schützen und auf Befall mit "Sasser" überprüfen. Microsoft empfiehlt folgende Vorgehensweise:
Schritt 1: Firewall aktivieren
Schritt 2: Sicherheitspatch installieren
Schritt 3: PC auf Befall mit Sasser überprüfen
Microsoft stellt ein kostenloses Tool zum Download bereit, dass Sasser erkennt und entfernt.
Download des Tools von t-online
Beschreibung des Tools:
| Zitat: |
Microsoft hat das "Sasser.A and Sasser.B Worm Removal Tool" (KB841720) veröffentlicht, um eine kritische Windows-Sicherheitslücke unter Windows XP und 2000 zu schließen und den Sasser-Wurm von befallenen Systemen zu entfernen. Sasser nutzt einen Fehler im LSA-Dienst, erzeugt zufällige IP-Adressen und schleust Code in verwundbare Systeme ein.
Betroffen sind Nutzer der Betriebssysteme Windows XP und 2000. Sicherheitsexperten befürchten, dass der neue Schädling in kürzester Zeit mehr Systeme infizieren könnte als "Blaster" im Sommer vergangenen Jahres - der Grund: Bereits das Einschalten eines ungeschützten PCs kann zu einer Infektion mit Sasser führen. Der Wurm verbreitet sich nicht wie gewohnt per eMail, sondern über eine Schwachstelle in Windows und kann sich daher auch ohne Zutun der Nutzer ausbreiten.
Der Download-Link führt Sie direkt auf die Hersteller-Seiten. Von dort aus können Sie den Download starten und erhalten weitere Informationen zu Sasser. |
Quelle: t-online .....
http://oncomputer.t-online.de/c/18/47/38/1847382.html
_________________
Engel fliegen leise! |
|
| Nach oben |
|
|
Zaubi
Administrator
Anmeldungsdatum: 30.04.2003
Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
| Verfasst am: 03.05.2004, 16:49 Titel: |
|
|
Sasser Internet Wurm befällt nicht gepatchte PCs
| Zitat: |
Forscher bei Sophos raten Computer-Anwendern, sich vor dem W32/Sasser-A Wurm zu schützen, der sich im Internet ausbreitet, indem er eine kritische Sicherheitslücke im Microsoft Windows-Betriebssystem ausnutzt.
Der neue Wurm nutzt die LSASS-Schwachstelle aus, von der Microsoft erstmals am 13. April im Microsoft Security Bulletin MS04-011 berichtet hat.
"Der Sasser-Wurm verbreitet sich auf ähnliche Weise wie im letzten Jahr der Blaster-Wurm, da er sich im Internet ausbreitet und dabei Sicherheitslücken in Software von Microsoft ausnutzt, anstatt sich über E-Mails zu verbreiten", sagt Gernot Hacker, Director of Technology bei Sophos. "Im Moment verbreitet er sich nicht mit derselben Geschwindigkeit wie Blaster, aber Computer, die nicht ausreichend mit Antiviren-Updates, Firewalls und dem Microsoft Security-Patch geschützt sind, sind prädestiniert für eine solche Infektion."
Die Sicherheitslücke, die Microsoft als "kritisch" einstuft, soll folgende Microsoft-Software betreffen: |
| Zitat: |
Der Wurm kopiert sich mit dem Dateinamen avserve.exe in den Windows-Ordner und erstellt den folgenden Registrierungsschlüssel, damit er bei der Benutzeranmeldung automatisch startet:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe
W32/Sasser-A versucht, sich an Port TCP/9996 und TCP/445 zu verbinden und die LSASS-Schwachstelle auszunutzen. Daraufhin wird ein FTP-Skript heruntergeladen und ausgeführt, das sich wiederum mit Port 5554 verbindet, um eine Kopie des Wurms via FTP herunterzuladen. |
Diese Sicherheitslücke haben folgende Systeme:
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Microsoft Windows 2000 Service Pack 2
Microsoft Windows 2000 Service Pack 3
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP
Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
Microsoft NetMeeting
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (ME)
Der Sasser-Wurm kann jedoch nur Windows XP- und Windows 2000-Betriebssysteme infizieren.
Glück für alle anderen, fragt sich aber nur, wie lange?
Quelle Sophos: weitere Infos:
http://www.sophos.de/virusinfo/articles/sasser.html[/quote]
_________________
Engel fliegen leise! |
|
| Nach oben |
|
|
Zaubi
Administrator
Anmeldungsdatum: 30.04.2003
Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
| Verfasst am: 03.05.2004, 16:56 Titel: Sasser B |
|
|
Sasser B
| Zitat: |
W32/Sasser-B ist ein Netzwerkwurm, der sich verbreitet, indem er die Microsoft LSASS Schwachstelle an Port 445 ausnutzt.
Weitere Informationen über diese Schwachstelle finden Sie im Microsoft Security Bulletin MS04-011.
Wenn er erstmals ausgeführt wird, kopiert sich W32/Sasser-B als avserve2.exe in den Windows-Ordner und erstellt den folgenden Registrierungseintrag, damit avserve2.exe automatisch beim Start von Windows aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
avserve2.exe = %WINDOWS%\avserve2.exe
Im C:\ Stammordner wird eine harmlose Textdatei namens win2.log erzeugt. |
Link zum Entfernungstool auch auf dem unten stehenden Link zu finden!
Quelle: Sophos
http://www.sophos.de/virusinfo/analyses/w32sasserb.html
_________________
Engel fliegen leise! |
|
| Nach oben |
|
|
Zaubi
Administrator
Anmeldungsdatum: 30.04.2003
Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
| Verfasst am: 03.05.2004, 18:46 Titel: |
|
|
Wer lieber bei Heise den Informationsdienst nutzt  .....
Schutzmassnahmen vor Sasser ... nachzulesen bei Heise:
http://www.heise.de/newsticker/meldung/47063
Auch mit einem Link zum Entfernungstool.
| Zitat: |
| Sasser.A,.B und .C versuchen zwar auch andere Systeme anzugreifen, sind aber nur bei Windows 2000 und XP erfolgreich. Die Meldung, der Computer würde nun heruntergefahren, ist ein Indiz für einen fehlgeschlagenen Versuch des Wurms in den PC einzudringen. Allerdings ist die Wahrscheinlichkeit sehr hoch, dass der PC trotzdem bereits infiziert ist. |
_________________
Engel fliegen leise!
Zuletzt bearbeitet von Zaubi am 03.05.2004, 19:11, insgesamt 2 Male bearbeitet |
|
| Nach oben |
|
|
Zaubi
Administrator
Anmeldungsdatum: 30.04.2003
Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
| Verfasst am: 03.05.2004, 18:49 Titel: Sasser C |
|
|
Sasser C
Auch die Variante Sasser C ist schon vereinzeilt gesichtet worden.
Berichtet Heise ...
Der Link für zu einer Beschreibung in Englisch auf der Trendmicro Seite
WORM_SASSER.C
winkeeee Zaubi
_________________
Engel fliegen leise! |
|
| Nach oben |
|
|
Zaubi
Administrator
Anmeldungsdatum: 30.04.2003
Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
| Verfasst am: 03.05.2004, 19:14 Titel: |
|
|
Toller Link zur BSI Seite ....
http://www.bsi.bund.de/av/vb/sasser.htm
Hier wird auch nochmals sehr anschaulich aufgezeigt,
was es mit Sasser auf sich hat und waran man ihn erkennen kann.
winkeee Zaubi
_________________
Engel fliegen leise!
Zuletzt bearbeitet von Zaubi am 04.05.2004, 23:06, insgesamt ein Mal bearbeitet |
|
| Nach oben |
|
|
Zaubi
Administrator
Anmeldungsdatum: 30.04.2003
Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
| Verfasst am: 03.05.2004, 19:38 Titel: |
|
|
Wer sich lieber über die Seite von PC-Welt informiert:
Hier der Link zu deren Informationen zu Sasser und auf der
und auf 3. Seite auch der Link zu dem Entfernungstool Stinger von McAfee
http://www.pc-welt.de/news/viren_bugs/39730/
Quelle pc-welt
_________________
Engel fliegen leise! |
|
| Nach oben |
|
|
Zaubi
Administrator
Anmeldungsdatum: 30.04.2003
Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
| Verfasst am: 04.05.2004, 07:12 Titel: Sasser D |
|
|
Sasser D
Sasser D nutzt auch wieder LSASS (Local Security Authority Subsystem Service) über Port 445.
Kopiert sich ins Windowverzeichnis als skynetave.exe .
In der Registry zu finden unter :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
skynetave.exe = %WINDOWS%\skynetave.exe
Und unter C:\ findet man eine harmlose Textdatei Namens "win2.log"
Quelle Sophos :
http://www.sophos.de/virusinfo/analyses/w32sasserd.html
noch ein Link von bitdefender mit entfernungstool:
http://www.bitdefender.de/bd/site/virusinfo.php?menu_id=1&v_id=228
_________________
Engel fliegen leise!
Zuletzt bearbeitet von Zaubi am 11.05.2004, 13:13, insgesamt ein Mal bearbeitet |
|
| Nach oben |
|
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
Powered by phpBB © 2001, 2005 phpBB Group
|
FAQ
Suchen
Mitgliederliste
Benutzergruppen
Statistics
Registrieren
Profil
Login
Karte
Downloads
Chat Raum
