W32 Sasser Beschreibung (Fehler lsass.exe-PC fährt nach 60 sek runter) und Entfernung

Dieses Thema im Forum "Sicherheit" wurde erstellt von Cidre, 1. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Da seit heute der W32 Sasser im Umlauf ist und schon mehrere Systeme infiziert hat, kopiere ich von TrendMicro eine Beschreibung und eine Entfernung hier rein.
    Ich hoffe die Mod?s stellen den Thread nach oben.

    Virentypus: Worm
    Destruktiv: Nein
    Aliase: W32/Sasser-A, Sasser, W32/Sasser.worm, Win32.Sasser.A, W32.Sasser.Worm
    ab Pattern-File: 879
    benötigte ScanEngine: 6.500

    EMEA Medium
    Overall Risk rating: Medium
    Gemeldete Infektionen: Medium
    Schadenspotential: High
    Verbreitungspotential: High
    Beschreibung:

    Am 1.Mai 2004 um 4:15 AM (PST), haben die TrendLabs einen Yellow Alert ausgelöst, um die Ausbreitung dieser Malware einzudämmen. Berichte über Infektionen liegen bereits aus den USA vor.

    Dieser Computerwurm nutzt die sog. "Windows LSASS Vulnerability", die einen Speicherüberlauf darstellt, der einem entfernten Nutzer ermöglicht Code auf dem befallenen System auszuführen und ihm vollen Systemzugriff ermöglicht. Details dieser Vulnerability kann man den folgenden Seiten entnehmen:

    * MS04-011_MICROSOFT_WINDOWS
    * Microsoft Security Bulletin MS04-011

    Um sich zu verbreiten, durchsucht er das Netzwerk nach verwundbaren Systemen. Sobald er ein solches findet, versendet er ein präpariertes Datenpaket um so einen Speicherüberlauf bei der LSASS.EXE zu induzieren.

    Er erstellt die Scriptdatei CMD.FTP, die Anweisungen für das befallene Sytsem enthält, eine Kopie der Malware per FTP (via Port 5554) von einem bereits infiziertem System herunterzuladen und lokal auszuführen.

    Da diese Malware einen Speicherüberlauf in der Datei LSASS.EXE erzeugt, stürzt dieses Programm ab und fordert dadurch zu einem Neustart von Windows auf.

    Wichtig:TREND MICRO empfiehlt dringend den Patch für die Windows LSASS vulnerability einzuspielen. Der Patch ist auf folgender Intenretseite erhältlich:

    * Microsoft Security Bulletin MS04-011


    Lösung

    Identifying the Malware Program

    Before proceeding to remove this malware, first identify the malware program.

    Scan your system with TREND MICRO antivirus and NOTE all files detected as WORM_SASSER.A. To do this, TREND MICRO customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, TREND MICRO's free online virus scanner.

    Terminating the Malware Program

    This procedure terminates the running malware process from memory. You will need the name(s) of the file(s) detected earlier.

    1. Open Windows Task Manager.
    On Windows 95/98/ME systems, press
    CTRL+ALT+DELETE
    On Windows NT/2000/XP systems, press
    CTRL+SHIFT+ESC, then click the Processes tab.
    2. In the list of running programs*, locate the malware file or files detected earlier.
    3. Select one of the detected files, then press either the End Task or the End Process button, depending on the version of Windows on your system.
    4. Do the same for all detected malware files in the list of running processes.
    5. To check if the malware process has been terminated, close Task Manager, and then open it again.
    6. Close Task Manager.

    Removing Autostart Entries from the Registry

    Removing autostart entries from the registry prevents the malware from executing during startup.

    1. Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter.
    2. In the left panel, double-click the following:
    HKEY_LOCAL_MACHINE>Software>Microsoft>
    Windows>CurrentVersion>Run
    3. In the right panel, locate and delete the entry or entries:
    avserve.exe = %Windows%\avserve.exe
    4. Close Registry Editor.

    NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.

    Running TREND MICRO Antivirus

    Scan your system with TREND MICRO antivirus and delete all files detected as WORM_SASSER.A. To do this, TREND MICRO customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, TREND MICRO?s free online virus scanner.

    Applying Patches

    Download the latest patches. Information on the vulnerability exploited by this malware and corresponding patch can be found at the following link:

    Microsoft Security Bulletin MS04-011
    Quelle: http://de.trendmicro-europe.com/con...id=58928&VName=WORM_SASSER.A&VSect=O#L%F6sung
     
  2. Gast

    Gast Guest

    @ kgmey
    Du hast recht. Die von dir beschriebene Fehlermeldung war geradezu typisch für einen Blaster-Befall.

    Warum du nach Formatieren, BS aufsetzen, MS-Firewall einschalten, patchen (unbedingt in dieser Reihenfolge) immer noch Probleme hast kann ich nicht nachvollziehen. Sind deine Medien sauber?
     
  3. kgmey

    kgmey ROM

    Registriert seit:
    10. Mai 2004
    Beiträge:
    7
    Das Audio-Control-panel ist mmsys? Schön, war vielleicht falsch, bis jetzt vermisse ich es nicht.

    Aber ein Service Ordner, der NT-AUTORITÄT im Namen führt, ist ganz sicher nicht in Ordnung.
    NT-AUTORITÄT führte nämlich immer zum Neustart, bis ich msblast.exe gekillt habe.

    Also bleibt meine Frage: Wie weiter?
     
  4. Gast

    Gast Guest

    Leute, ich kann nicht mehr! War gerade nach dem Tipp von Wolfgang77 auf Eisenheim.de und hab mich durch die Bloggs gewühlt... wenn ich noch mehr lache, muß ich zum Arzt... zwei Fliegen mit einer Klappe: Köstlich amüsiert UND noch einen Haufen dazugelernt... :spitze: ich weiß schon, was ich mache, wenn ich mal 2 Tage Urlaub hab: Mir die Rechner "meiner" User vorknöpfen und die Sicherheitstipps umsetzen.

    MfG
    Vimes
     
  5. Gast

    Gast Guest

    btw: am besten fand ich die Kommentare von "blech" - der Name ist Programm ! :rolleyes: :p
     
  6. Gast

    Gast Guest

    Und...hats dir gefallen? ;)

    BTW:
    Meine Serverlogs registrierten für den 1. Mai 41 Leute, die via Google & Co mit Suchbegriffen, die LSASS enthielten, auf meine Seiten kamen.
     
  7. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Auf "eisenheim.de" hält man natürlich zu der Sache auch kein Blatt vor den Mund und als Zugabe gibt es noch etwas "Halbnacktes" zum Feiertag, geschmückt mit dem Zitat:

    Essen und Beischlaf sind die beiden großen Begierden des Mannes. [Konfuzius, chin. Phil. 551-479 v.Chr.]

    1. Mai - Internationaler Deppen-Tag...
    http://www.eisenheim.de/blog/blogger.html
     
  8. Gast

    Gast Guest

    Das war jetzt wohl der Link zum "Chip MT" oder habe ich da was falsch verstanden? :muhaha: :totlach:
     
  9. Gast

    Gast Guest

    :totlach: Habs mir gerade durchgelesen... "Jetzt versteckt man sich feige hinter einem Systemprozess"... das fand ich am besten... :spitze:

    MfG
    Vimes
     
  10. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Habe mal in das Chip-Forum geschaut, da fallen sie um wie die Fliegen... da kugelt ihr euch weg.

    Zitat:
    http://www.chip.de/forum/thread.html?bwthreadid=631704

    ... ich habe das winXP service pack 1 und gerade ist die typische Meldung, dass der Computer Heruntergefahren werde, wieder gekommen! Gibt es eine Neuauflage von lovsan? Wenn ja, was kann ich machen, gibt es schon service pack2??? Wenn ja, kann ich das doch bestimmt unmöglich mit isdn runterladen(wegen der Zeit). Danke schonmal im Voraus!...

    oder hier.. hat den Trojaner schon auf dem System.. erst dann kommt er auf die Idee die Firewall zu aktivieren, den Trojaner schaltet er im Autostart ab !:

    Zitat:
    Ebenso ! Hab mich gerade geärgert.
    Jetzt versteckt man sich also feige hinter einem Systemprozess.
    Ich hab mal den Autorun gesäubert und die Windows-Firewall aktiviert. Hoffentlich reicht das.
    Ansonsten muß nun wohl wieder irgendein SecurityUpdate installiert werden. Hat jemand einen Ahung, welches das ist ?
     
  11. Gast

    Gast Guest

    Auzug aus der Warnung von "heise online":
    Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Bedroht sind nicht gepatchte Windows-2000 und XP-Systeme.

    QUELLE

    mfg. dedie :D



    edit: shit Herr Eisenheim war ein weng geschwinder!
     
  12. Gast

    Gast Guest

    Und GENAU das ist bei SASSER und war auch Blaster der Fall. Der Patch war VOR dem Wurm da. Subbi, Wolfgang. Ich danke dir.
     
  13. ReneW

    ReneW Megabyte

    Registriert seit:
    28. Mai 2000
    Beiträge:
    2.486
    habe die nicht dazugeschrieben, ist auch egal da man jede abstürzen lassen kann, war aber vielleicht NIS, das Ding ist ja total buggy
     
  14. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    "PF abgestürzt ".... das ist aber nicht die BlackIce, welche PF stürzt ab ??.
     
  15. ReneW

    ReneW Megabyte

    Registriert seit:
    28. Mai 2000
    Beiträge:
    2.486
    Patches bestimmt nicht, aber schon Interessant
    I-Net Einwahl -> PF abgestürzt -> die Meldung wie jetzt beim Sasser
     
  16. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo dedie,

    "Regelmäßige Updates" das ist eine relativ unsichere Methode und funktioniert nur wenn der Patch vor dem Virus/Wurm vorhanden ist und zur Verfügung steht.
    Die Methode von Steele ist da schon wesentlich sicherer... wo kein Dienst läuft gibt es auch keine offenen Ports und somit keine Angriffsfläche.
     
  17. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @reneW
    woher weisstn das?
     
  18. Gast

    Gast Guest

    Auch die neuesten Updates, übrigens ich bin nicht für PFs. :D
     
  19. ReneW

    ReneW Megabyte

    Registriert seit:
    28. Mai 2000
    Beiträge:
    2.486
    @ dedie

    Steele hat aber Recht, die ersten Probleme tauchten schon vor paar Tagen auf und die Leute die da schrieben hatte alle eine PF
     
  20. Gast

    Gast Guest

    :idee: Regelmäßige Updates! :D
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen