W32 Sasser Beschreibung (Fehler lsass.exe-PC fährt nach 60 sek runter) und Entfernung

Ja, dann tu das halt

 

Dann muss ich was falsch machen, keine Firewall und trotzdem keine Probleme.

 

@steele & Wolfgang77
Also anstatt jetzt über Sinn oder Blödsinn eines Firwalls zu disskutieren, würde ich eher mal über den Sinn des anfangs angegebenen Patchs nachdenken.

mfg.dedie

edit:Wolfgang77 der von dir eingefügte Link könnte etwas aktueller als 12. Oktober 2003 sein

 

Abschalten von Diensten ist dein Steckenpferd, ich beziehe mich auf Desktop-Firewalls für Endanwender und Router für den Heimgebrauch mit integrierter Firewall.

Hier bei Microsoft bekommst du weitere Informationen über den Sachverhalt:

http://www.microsoft.com/germany/ms/security/windows2000.mspx

 

Mit Firewall meinst du sicher sowas wie das Script von www.ntsvcfg.de, mit dem man ja die entsprechenden Dienste sicher konfigurieren kann.

 

Mit einer Firewall kann man sich schützen wenn man gezielt diese Verbindungen (Ports, Dienste) sperrt:

Gegen die LSASS-Luecke (Local Security Authority Subsystem Service):
TCP-Ports 135, 139, 445 und 593
UDP-Ports 135, 137, 138, 445

Gegen die LDAP-Luecke (Lightweight Directory Access Protocol):
TCP-Ports 389, 636, 3268 und 3269

Gegen die H.323-Luecke (ITU Multimedia Protokoll z.B. fuer Video-Konf.):
TCP-Ports 1503 und 1720
Keine Verbindung mehr zum Internet Locator Service (ILS)

Alle die Windows XP verwenden sollten falls keine andere Firewall zum Einsatz kommt die in XP mitgelieferte Internet-Verbindungs-Firewall aktivieren:

Als Admininistrator:
Rechte Maus(Netzwerkumgebung) ==> Eigenschaften
==> Rechte Maus(LAN-Verbindungen) ==> Eigenschaften
==> Erweitert
Dort die Internetverbindungsfirewall aktivieren

Grüße
Wolfgang

 

so schaut dieser WURM übrigens aus.

 

@ steppl

Es geht nicht jetzt los, sondern es ist schon, wenn ich richtig gezählt habe, bereits der sechste heute betroffen.

 

Es geht los...
http://forum.pcwelt.de/showthread.php?postid=989043#post989043

Dann sollten wir diesen thread mal oben halten

 

Alles klar; in den verschiedenen anderen Foren lief die Warnung unter WinXP, daher habe ich dahin gepostet.

 

Seit heute Nacht (01.05.04) ist ein neuer Wurm im Umlauf, der wie seinerzeit "Blaster" eine bestehende Sicherheitslücke zur Verbreitung ausnutzt!

Name: Wurm Sasser.A

Infektion und Verbreitung:

Der Wurm nutzt eine Schwachstelle im LSASS Dienst (Local Security Authority Subsystem Service). Über einen Buffer Overflow ist es möglich beliebigen Code auszuführen. Eine Infektion des Systems endet im Beenden des Dienstes und einem Herunterfahren des Systems. Der Wurm erstellt ein ftp-Script und startet einen ftp-Server auf der Remote-Maschine (Port 5554). Der Wurm startet ftp.exe auf dem Zielsystem und lädt mit Hilfe des ftp-Scripts die Wurm-.exe herunter und speichert diese als "xxxx_up.exe" (xxxx = vierstellige Zufallszahl) im Windowsverzeichnis. Der Wurm kopiert sich als avserve.exe in das Windowsverzeichnis (%Windows%) und fügt folgenden Registry-Eintrag hinzu, damit er bei jedem Systemstart automatisch gestartet wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = "%Windows%\avserve.exe"

Der Wurm öffnet einen ftp-Port (5554) und scannt IP Adressen nach verwundbaren Systemen (TCP port 445).

Im Security Bulletin vom 13. April 2004 werden auch noch diverse andere Sicherheitslücken angesprochen. Da der Wurm noch relativ neu ist liegen noch keine detaillierten Informationen vor. Neben den beschriebenen Symptomen sind auch noch andere "Auffälligkeiten" denkbar!

Betroffene Systeme (vollständige Liste gem. MS-04-011):

* Microsoft Windows 2000 Service Pack 2 + 3 + 4
* Microsoft Windows XP und Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 64-Bit Edition

Hinweise zur Entfernung:

Eine Infektion lässt sich an einem laufenden Prozess avserve.exe (15,872 Bytes, PECompact gepackt) erkennen.

Zur Entfernung den Prozess über den Taskmanager beenden, die Registry bereinigen und die Datei löschen. Weiter Infos siehe Links zu den Herstellern von AV-Software. Das Herunterfahren sollte auf XP / 2k3 Systemen per Start -> Ausführen -> shutdown -a abgebrochen werden können!

Wichtig:

Auf allen potentiell betroffenen Systemen sollten unbedingt asap die nötigen Patches installiert werden!

microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms04-011.htm

Windows-Update durchführen um auch andere potentielle Lücken zu schliessen:

v4.windowsupdate.microsoft.com/de/default.asp

Weitere Infos:

www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html

Infos, teilweise auf deutsch @ TrendMicro

Technische Details @ TrendMicro

Infos @ McAfee

Infos @ ca

Infos @ Symantec

Bitte bei den Herstellern der eigenen AV-Software nach neuen Definitionen suchen.

Quelle: Chemiker (Mod im Chip-Forum)

 

Heut am Sonnabend, wo sowieso der schwächste Tag in Sachen Internet ist (und dank Feiertag noch schwächer), ist es gar nicht so schlimm, obwohl natürlich die Hilferufe in diversen Foren schon auffallen. Aber wartet mal morgen und vor allem MONTAG ab! Da gehts dann rund.
Und was lehrt uns das Ganze?
9 Monate nach Blaster/Lovsan hat die liebe Internet-Gemeinde nicht das ALLERGERINGSTE dazugelernt.

 

stimmt ja !

Na dann halt oben aufhängen mit dem Titel:

"Dein PC fährt runter/startet neu ? Lies das & belästige uns nicht !"

:p

 

so wie?s manche User machen:

Wichtig !!! unbedingt lesen !

 

nur zur Ergänzung:

http://www.heise.de/newsticker/meldung/47037

 

@ Steele
Du hast natürlich vollkommen recht mit dem Neuaufsetzen wenn ein System kompromittiert wurde. Das gleiche hab ich ja zum Thread http://forum.pcwelt.de/showthread.php?s=&threadid=124050 auch geäußert.
Wollte eben nur aus aktuellen Anlass eine Beschreibung und Entfernung reinstellen.

Ps
Werde mir mal die Beschreibung vn McAfee ansehen

 

Ja...ich weiß schon, warum mir die Beschreibungen von Trendmicro selten gefallen, etwas zu unübersichtlich und teilweise leichtfertig formuliert.
Ein Wurm, der ohne Interaktion auf den Rechner gelangt und dort einen Systemcrash und Neustart provoziert, als NICHT desktruktiv einzustufen, ist schon seltsam, zumal das Teil über Port 9996 eine Remoteshell einrichtet.
Ich finde da die Beschreibung bei McAfee besser.
Was die Entfernung angeht:
Kompromittierte Systeme setzt man neu auf, statt zu flicken und zu frickeln und dann zu hoffen, dass nichts übrigbleibt.

 

Um es mit deinen Worten zu sagen: "...bist du Jesus oder woher willst duwissen..." , dass eine Firewall - insbesondere eine Desktop-Firewall - unbedingt zum Betreten des Internet nötig ist??

Ich jedenfalls bin schon seit meiner ersten WinXP-Installation ohne dergleichen unterwegs. Ich hab mir weder den "Blaster" noch den "Sasser" noch sonst irgendetwas eingefangen, das ich nicht haben wollte.

Ich stell mal eine andere Regel auf:

Internetsicherheit fängt vor dem Bildschirm an!!

Gruß, Michael

 

Um es mit deinen Worten zu sagen: "...bist du Jesus oder woher willst duwissen..." , dass eine Firewall - insbesondere eine Desktop-Firewall - unbedingt zum Betreten des Internet nötig ist??

Ich jedenfalls bin schon seit meiner ersten WinXP-Installation ohne dergleichen unterwegs. Ich hab mir weder den "Blaster" noch den "Sasser" noch sonst irgendetwas eingefangen, das ich nicht haben wollte.

Ich stell mal eine andere Regel auf:

Internetsicherheit fängt vor dem Bildschirm an!!

Gruß, Michael

 

Das Problem an diesem Satz: Er fängt gut an hat aber ein schlechtes Ende.

Der Satz sollte so aussehen:

Ich mein eigentlich kann mir das egal sein, da ich den Patch dagegen installiert habe