W32.Sasser Wurm

[Merlin]

Nicht aktuell gepachte XP-Betreibsysteme sind sehr anfällig gegen diesen neuen Wurm.

Empfehlung: Onlineupdate machen und / oder Firewall richtig justieren.

Link: http://securityresponse.symantec.com...sser.worm.html

ps.: in meinem Bekanntenkreis ist der schon aufgetaucht und hat Probleme verursacht. Ich hoffe, dass der nicht die Blaster- Ausmaße erreicht.

pps.: Virenscanner verhindern nicht, dass der Wurm aktiv wird.

[CU2002]

Hab das teil auch drauf und bin noch dabei ihn zu entfernen

[fadmax]

Ich hatte ihn auch und in meinem Bekanntenkreis ist er auch schon aufgetaucht!

Das wollt ich eigentlich posten, weil ich nichtmal mehr ne nachricht online verfassen konnte:
------------------
Ich habe seit heute Nacht scheinbar einen Virus gefangen, der an meinem AntiVir-Guard vorbeigegangen ist!
Folgende Situation: PC war online, ich war allerdings nicht am pc. Plötzlich merke ich das mein msn-messenger ausgeloggt hat. Ich melde ihn neu an, geht nicht. Folgeà Neustart! Anschließend ging es wieder. Ich nehme an, das zu diesem Zeitpunkt der Virus schon aktiv war. Zudem ich hatte am Mittag ein messenger update gemacht. Jetzt ist die Situation folgende: Sobald ich mich ins Internet einwähle komme ich ca. 1-2 Minuten online, anschließend bekomme ich die Standard-Meldung „Seite kann nicht angezeigt werden“!, der MSN Messenger loggt aus, als letztes bleibt mir dann noch ICQ und das geht dann auch nach ner weiteren minute auf Standby!

Irgendwie hab ich dann auch keine Adminrechte mehr am PC, sodas ich die Kiste nichtmal mehr abschalten kann??? Die Systemsteuerung und der Arbeitsplatz sind auch nicht mehr aufrufbar!
Wenn ich offline bin, scheint der PC normal zu laufen, und auch Adware, Spybot S&D, AntiVir und Stinger (alle mit updt. v.24.04.04) finden nix!

Ich hab einen Bekannten grade angerufen, dessen Vater hat seit 1Std. das selbe Problem, dessen Rechner ist 2 Wochen alt und läuft soweit ich weiss mit Norton IS 04
-------------------

Ich hab ihn aber mit Spybot S&D scheinbar entfernt bekommen, System läuft wieder stabil seit 20 Minuten!

für die Info

[Alexander]

Oh man,das hört wohl nie auf
Danke für die Infos,für den Fall aller Fälle weiß ich mich dann zu wehren

PS:
Mir is irgendwie grad aufgefallen,dass ich nedmal nen Virenscanner drauf hatte,also ein doppeltes Danke

[PaniChriZ]

wenn garnichtsmehr geht -> systemwiederherstellung, danach gehts wieder halbwegs, direkt virenscan mit virenscanner der die neusten virendefinitionen (mind. 30.04) hat oder mit einem onlinescanservice (zum bsp bei symantec) durchführen
eine einfache firewall verhindert das eindringen des wurms. ich habe ihn nicht bekommen, kenne jedoch einige die probleme mit dem ding das laut symantec eigentlich einfach zu entfernen sein sollte haben ...

[fadmax]

Jo Chriz, daran hatte ich auch gleich mal gedacht, aber irgendwie hat mir das Teil schon alle alten Wiederherstellungspunkte gelöscht!

P.S.: Wollte gerade editieren: Ich hab ihn jetzt auch gefunden aber noch nicht beseitigt (Winupdt. läuft grade). Das was mein Spybot gelöscht hatte war wohl was anderes.

[ONeil]

Danke für die Warnung, ich hab sicherheitshalber gleich mal Windows, AntiVir und AdAware geupdatet.

[PaniChriZ]

neuste informationen und anleitung zum löschen mit antivir oder manuell von der antivir page:

Allgemeine Beschreibung:

Worm/Sasser.A hat eine Dateigröße von 15.872 Bytes und kopiert sich als avserve.exe in das Windows Systemverzeichnis. Er nutzt die LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft aus.
Sollten nicht alle Patches von Microsoft eingespielt sein oder keine aktive Firewall zum Internet bestehen, kann der Wurm sich auf dem Windows XP oder Windows 2000 System installieren..



Symptome:
Im Root von Laufwerk C: findet sich eine Datei namens WIN.LOG


Infektionsweg:
LSASS Sicherheitslücke von Microsoft


Technische Details:

Worm/Sasser.A verbreitet sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Siehe dazu:
http://www.microsoft.com/technet/sec.../MS04-011.mspx

Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.

Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.

Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.




Entfernungshinweise:

- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.

[MakeMeBuB]

Na wunderbar, jetzt weiß ich wenigstens was das fürn shit Ding war das meinen PC immer runtergefahren hat . Aber ich glaub ich hab ihn jetzt ausgeschlossen mit meiner netten FW .

MFG DanI

[Bernd_XP]

also ich mach grad n Live-update und hoffe mal, dass der Router dicht gehlaten hat...

[brezel107]

Ich könnte heulen das der is erst frisch raus und ich fang den mir ein.

Wer programmiert solche Scheiße???

[Gonzo]

Na nur gut das ich die aktuellen Updates eingespielt habe
Trotzdem für die Info

[MyersGer]

Zitat:

dessen Rechner ist 2 Wochen alt und läuft soweit ich weiss mit Norton IS 04

ja ja das ist echte symantec qualität.
haben die sicher wieder mal selber programmiert diesen wurm. dann verkauft sich deren produkt besser. dazu sollte es aber den wurm mal abblocken können... da ist die pr initiative mal nach hinten losgegangen. hehe

Zitat:

Wer programmiert solche Scheiße???

also scheisse ist es schon mal nicht... man sieht wieder mal, wer sein system ständig updatet (jaja der updatejungle... ) und ob der patch auch funktioniert

was lernen wir daraus?
also entweder hat ms das initiert oder symantec

mal im ernst... ich hab keinen virenscanner (ständig) drauf. schon viele jahre nicht. und hab auch keinen (wenn sich das system auffällig verhält zieht man schnell mal mit nem freeware av drüber) und nie einen gehabt. also seh ich auch keinen grund nen scanner zu kaufen. bin bisher noch nie damit auf die schnauze gefallen. auf jeden fall kann sonntag (heute) oder montag wieder mal panikmache bei planetopia sehen... und tausende ahnungslose leute kaufen sich lieber neuen virenscanner als ihren alten zu updaten...
das ist alles kommerz und pr. meine theorie zu den letzen großen virenwellen. etwas paranoid aber durchaus vorstellbar. man kommt auch ohne scanner aus, wenn man sich entsprechend verhält.

[Sturm4]

Muss sagen bis jetzt nix mit würmer. Hab Zonalarm4 Pro und AntiVir. Vielleicht auch nur Glück. Denke mal da wird noch mehr anrücken.

[brezel107]

ich hab ja die aktuelle version von antvir drauf aber die finded den nich...

[PaniChriZ]

myers, durchaus interessante theorien die du da vertrittst
ich muss aber gestehen dass ich sie nicht wirklich teile

najo, soll jeder tun was er für richtig hält, aber ohne virenscanner und ohne firewall im internet rumrennen ist schon vergleichbar mit format c aus spaß an der freude

ich denke dass der wurm bald so ziemlich jeden ohne firewall mal besucht hat, das neuste antivir update hilft im übrigen den wurm zu finden @ brezel, guck nochmal nach ob du wirklich das neuste hast: www.antivir.de

[Master M²]

@Myersger, sowas hab ich mir schon länger mal vorgestellt

das sie selber diese würmer machen damit deren produkt gekauft wird.

Zitat von Chip* Symantec wieder im Plus dank Würmer*

irgendwie sowas hab ich mal gelesen ^^ und dieser satz passt 100% zu denen

ich hab jetzt PC Cillin aufm rechner, war auf der ASUS K8V-SE Deluxe Treibercd drauf

ich mag Norton nicht mehr, scheiss programm da hol ich mir lieber AntivirenKit und was anderes Panda etc.

[ONeil]

@MyersGer
Keinen Virenscanner ja gut, aber bestimmt eine Firewall, oder?

@PaniChriZ
Bei meinem PC ist das so, wie du es ansprichst: Einen Moment Firewall aus -> Wurm. Beim Laptop hab ich aber schon lang keine Firewall mehr und noch nie einen Virus oder Wurm drauf.

[redroach]

oh mann, da boote ich seit 3 monaten zum ersten mal windows, um alles notwendige fuer ne lan-party zu installieren und nach ca. 90 min. war dann auch mein rechner der wirt fuer den Sasser...
naja, noch ein grund mehr, die restlichen 40GB, die meine windows-partition noch belegt, nicht mehr laenger fuer M$ zu verschwenden

[Gonzo]

Zitat:

Zitat von PaniChriZ

najo, soll jeder tun was er für richtig hält, aber ohne virenscanner und ohne firewall im internet rumrennen ist schon vergleichbar mit format c aus spaß an der freude

Hab keine FW und auch keinen im Hintergrund laufenden Virenscanner und trotzdem keinen Wurm, hab halt nur die XP-Patches installiert, das reicht

[PaniChriZ]

removal tool ist raus
http://securityresponse.symantec.com...oval.tool.html

Download the FxSasser.exe file from: http://securityresponse.symantec.com...r/FxSasser.exe. Note: Version 1.0.1 (As shown in removal tool dialog title bar) provides support for both W32.Sasser.B.Worm and W32.Sasser.Worm.
Save the file to a convenient location, such as your downloads folder or the Windows desktop, or removable media known to be uninfected.
To check the authenticity of the digital signature, refer to the "Digital signature" section later in this writeup.
Close all the running programs before running the tool.
If you are on a network or if you have a full-time connection to the Internet, disconnect the computer from the network and the Internet.
If you are running Windows Me or XP, then disable System Restore. Refer to the "System Restore option in Windows Me/XP" section later in this writeup for further details.

Caution: If you are running Windows Me/XP, we strongly recommend that you do not skip this step.

Double-click the FxSasser.exe file to start the removal tool.
Click Start to begin the process, and then allow the tool to run.
Restart the computer.
Run the removal tool again to ensure that the system is clean.
If you are running Windows Me/XP, then re-enable System Restore.
Run LiveUpdate to make sure that you are using the most current virus definitions.

[MyersGer]

Zitat:

Zitat von ONeil

@MyersGer
Keinen Virenscanner ja gut, aber bestimmt eine Firewall, oder?

ganz einfach router. und wenn son komischer blaster kommt will der zwar rein aber der router weiß nicht wohin mit der anfrage also wird er zurück geschickt.
rennt also ins leere.

und das was vielen als hyper geiel FIREwall vertickert wird ist nicht mal annähernd eine firewall im eigentlichen sinn. es ist vielmehr n simpler portscanner.
und mal ehrlich:
die "firewall" (welch furchteinflößendes wort) ist auf windoofs installiert. jeder weiß wie unsicher windoofs ist. seid ihr so naiv zu glauben, dass man den süssen kleinen security menschen an einem port nicht einfach abschießen kann? grade unter windoofs?

pseudo sicherheit nenn ich das. vor allem nerven diese blöden zonealarm und internetsecurity programme dermaßen, dass mir n wurm sympatischer ist
und dieses paradoxe einen router zu besitzen und dann noch auf jedem rechner dahinter eine (so genannte) firewall zu installieren... alles kommerz. router lässt schon nichts durch warum soll son kleiner port scanner das noch besser machen?
die größte sicherheitslücke im lan ist mein vater und der hat mir noch nie n virus angeschleppt... sehe also auch keinen grund mich entweder strafbar zu machen indem ich illegal nen virenscanner runterlade, geld auszugeben oder nen freeware virenscanner meine rechenzeiten zu verschwenden...


wer so paranoid ist router zu haben, firewall zu installieren und trotz allem gesunden menschenverstands noch n virenscanner zu kaufen und zu installieren (ja man kann auch vorsichtig sein und sich dadurch schützen ), sollte mindestens genauso paranoid sein und meiner theorie, des künstlich herbeigeführten wirtschaftswachstums, zustimmen. und wer leidet darunter? der kleine dumme user! vor allem menschen, die sich nicht mit pcs auskennen und immer alles 100%ig sicher haben wollen und alles 100%ig richtig machen wollen.

zum teil bekommt man da echt nen abraster!! als ob das geld an bäumen wachsen würde....


------CUT-----

Zitat:

Zitat von googonzo

Hab keine FW und auch keinen im Hintergrund laufenden Virenscanner und trotzdem keinen Wurm, hab halt nur die XP-Patches installiert, das reicht

KORREKT!!!!!! super einstellung.
wer angst hat von ms auspioniert zu werden und deshalb auf patches verzichtet oder zu spät merkt, dass es neue gibt, der hats verdient vom wurm gefressen zu werden vor allem gibts den patch schon seit nem knappen monat.
wir leben "im land der raktenwürmer" also kann man ja wohl mal nen patch installieren, wenn man sich schon von symantec's live update ausspionieren lässt

[PaniChriZ]

myers, schön und gut ... hattest du den blaster trotz router? ich habn router und ne firewall, der blaster hat mich trotzdem besucht, ok, er wollte runterfahren und hat bei 11 sekunden aufgehört runterzuzählen sodass ich ihn leicht killen konnte (kein plan warum er nicht runtergefahren hat), aber drauf ist er trotzdem gekommen

[Bernd_XP]

die sache mit dem Router funktoiniert solange wie die integrierte firewall eingestellt ist.

[MyersGer]

pani... dann ist 1. dein router falsch eingestellt und 2. deine firewall reif für die tonne. (geld/zeit verschwendung)

bernd... das was in soner butterbrotdose (0815 router) als firewall drin ist, ist auch nichts anderes als portguard/portblocker. auch das ist ein falsche bezeichnung der industrie um kunden zu täuschen und ein verkaufsargument zu erzielen.
es ist einfach keine firewall. genauso wenig wie 2 motorräder ein auto ergeben.
alles käse.

btw. was ist blaster? noch nie gehabt...

[Scorp16fr]

Mein system wurde von dem virus herunter gefahren wo ich antivirus 2004 durchlaufen hatte.
Nach dem neustart hab ich den Symantec tool durchlaufen lassen der hat nichts gefunden. ist der Worm jetzt weg?

[Bernd_XP]

dann ist es halt nur ein Portblocker. Es gewährt immerhin ein gewisses Mindestmaß an Schutz. EIne "echte" firewall hat noch ne menge mehr als nur nen Portblocker drauf, das ist schon klar.

Um mal bei deinem Argument mit Motorrädern und Autos zu bleiben: Gehst du auch zu Fuß auf der Autobahn, nur weil du nur Motorräder zur verfügung hast und kein Auto?

[Scorp16fr]

Hab ne blöde frage wo kann ich den windows update dafür laden?

[MyersGer]

ne ich benutze EIN motorrad und versuch kein auto draus zu bauen.
sprich ich nenne nichts firewall was keine ist
also sag nicht mehr firewall dazu. es ist einfach nur marketing. genauso wie virenscanner auch marketing sind. gehirn einschalten ist meist besser und billiger als jeder virenscanner.
es geht bei der sache einfach nur um geld und um nichts anderes. und wenn jeder sein maul hält bleibt der opa, die oma oder der 10 jähre vorm einfach in dem glauben er sei sicher und habe sein geld wirklich in eine firewall investiert, was einfach nicht stimmt

aber was mich am meisten aufregt sind leute mit: 3 laufenden virenscannern, n router mit seiner "firewall", dann noch zonealarm und dazu noch symandreck internet security.
so kann ich aus nem 3 ghz rechner auch n taschenrechner machen vor allem hinterlassen solche porgramme auch tiefe lücken im system. und glaubst du, dass die programme sauber programmiert wurden?
mit sicherheit schließen sie EIN loch aber beim schließen sind sie während des laufens schon 4 mal aufs eis getreten und haben so 4 neue löcher hinterlassen. macht im schnitt 3 löcher mehr... soviel zur sicherheit

es spricht ja auch für sich, dass googonzo oder ich z.b. kein blaster hatten und das ohne feuerwand (brennender bretterhaufen ist wohl bei vielen produkten eher angebraht) oder virenscanner. und blaster war ja nun wirlich ne plage. musste man sich nur log vom router anschauen.

[Bernd_XP]

Also solche Leute nerven echt...Bsp: "Ich geh jetzt trotz Virenscanner und Firewall nicht ins internet, weil im fernsehn von einem neuen gefährlichen Virus brichtet wurde..."

Also das F-Wort ist da nicht unbedingt angebracht, aber trotzdem besser zu erklären als das wort "Portblocker".