W32 Sasser Beschreibung (Fehler lsass.exe-PC fährt nach 60 sek runter) und Entfernung

Das war nur die eingebaute Selbstzerstörung. Der Computer kam zu der Feststellung dass er als Virenschleuder eine Gefahr für seine Umwelt darstellt und hat sich selbst terminiert. Laut letzten Meldungen sollen zukünftig alle Rechner mit dieser modernen Technik ausgestattet werden und so einen Beitrag zum öffentlichen Gesundheitsschutz leisten.

Grüße
Wolfgang

 

so langsam reichts mir mit diesen würmern / viren: gestern noch ohne probleme sasser vom pc eines kumpels entfernt mit dem patch. heute bei ner bekannte is des netzteil beim hochfahren durchgeschmort, nachdem er mehrmals wegen sasser abgestürzt ist (nachdem ich den patch installiert hatte und xp prof und neu gestartet hatte).

 

Falsch. Du hast NAT nicht verstanden.
Es geht in der Tat um die Realität. In der Realität kann man nicht benötigte Dienste entweder beenden oder zumindest an das interne Interface binden.
In der Realität gibts Patches, die der User installieren sollte, es aber nicht tut.
In der Realität gibts überhaupt viele Dinge, die der User tun sollte, aber nicht tut.
Was also veranlasst dich zu glauben, dass er dann ausgerechnet nach Installieren eines zusätzlichen Stücks unzuverlässiger Software, die mit hoher Wahrscheinlichkeit neue Fehler ins System schleppt, sicherer vor SASSER oder Blaster wäre?
Ich erinnere speziell dich an Blackice und den Wurm "Winny". Das kann jederzeit wieder passieren.

 

Hallo,

das war - ähmm - keine gute Idee. Wie du merkst, braucht Win die Datei für die Benutzerverwaltung.

Du hast mehrere Möglichkeiten:

Du kannst bei einer Neuinstallation die "Reparatur"-Option wählen.

Außerdem bietet sich die komplette Neuinstallation an. Ich persönlich halte dies für das sinnvollste, da du anschließend so ziemlich sicher bist, ein "sauberes" System zu haben.

 

Ich habe es "geschafft", die Datei lsass.exe zu löschen
- was anscheinend dumm war, denn jetzt fährt der
PC nicht mehr vollständig hoch (XPpro). Der Pfeil
zwecks Anmeldung erscheint noch, doch der
Bildschrim bleibt schwarz -> Anmeldung unmöglich.

Gibt es eine Möglichkeit, das wieder zu reparieren oder
muss ich das Betriebssystem vollständig neu
installieren?


Gruss und Danke
mg

 

Jetzt verunsichere mal die user hier im Forum die eine Firewall einsetzen nicht mit Fremdwörtern unter denen sie sich nichts vorstellen können. In dem Thread ging es um Schutz gegen Sasser und Blaster und erstmal nicht um gezielte Hackerangriffe.

Firewalking basiert auf der Analyse von IP-Antwortpaketen ähnlich wie das Tool Traceroute. Benutzt man eigentlich dazu um ein Mapping der internen Netz-Struktur durchzuführen. Funktioniert aber nur in Netzen ohne NAT.

Hatte allerdings, war aber in einem anderen Posting hier) gesagt dass meine "Desktop-Firewall" BlackIce hinter einem Hardware-Router läuft, oder besser nachgeschaltet ist und hauptsächlich als IDS arbeitet. Da hast du vermutlich mit Firewalking nicht viel Erfolg. Spätestens das IDS schaltet auf Auto-Blocking.
XMAS Scan, Null Scan, Syn/Ack Scan, Fin Scan bringt schon überhaupt nichts, ICMP-Echo-Requests ausgeschaltet, Inverse Mapping ...das wird auch nichts, Buffer Overflows... musst du warten bis in der BlackIce ein entsprechender Fehler entdeckt wird, Denial of Service Attacke kannst probieren wenn du genügend Bandbreite hast.

Lange Rede kurzer Sinn... das ist alles Theorie und die Praxis ist ausschlagebend. Ich gebe dir meine IP-Adresse und dann darfst du dir mit deinem Wissen und deinen Kenntnissen an meiner einfachen Firewall die Zähne ausbeissen, wobei ich dir hier schon Details verraten habe die ein Hacker so erstmal nicht hat.
IP: 217.95.45.198
T-Online Netz


Grüße
UKW

 

Er kann.
Allein durch den Umstand, DASS keine Antwort kommt, obwohl sie laut RFC 792, 1122 usw. kommen MÜSSTE, weiß er es.

Und mittels "Firewalking" kann er auch noch rausbekommen, welcher es ist.
Von Sequenznummern-Raten will ich dabei noch gar nicht anfangen.

 

Jo, das kann er dann aber ganz schnell rausbekommen.

Aber sei mir bitte nicht böse, hab' irgendwie heute keine Lust auf "Sinn und Zweck einer Desktop-Firewall"

 

Auch wenn die Ports als nur "stealth", wie du behauptest angezeigt werden kann der "böse Bube" nicht wissen ob dahinter ein Dienst läuft oder nicht.

 

@ M.o.N@s

Das Script bewirkt, dass ein Großteil der nicht benötigten Dienste abgeschaltet werden. Das wiederum bewirkt, dass dein System auch nicht über die zugehörigen Ports "angreifbar" ist (vereinfacht gesagt). Die Ports werden tatsächlich geschlossen und sind nicht nur "stealth", worüber ein böser Bube nur müde lächeln würde.

Schau dir die Seite an, dort wird alles bis ins Kleinste erklärt.

 

Was genau ist das denn für ein Script? Was bewirkt es?

 

@UKW

genau das hatte ich befürchtet, das nutzer auf die scripte von http://www.ntsvcfg.de/ blindlings vertrauen (zumal das hier jeden tag suggeriert wird als allheilmittel) und letztendlich wieder im forum-board landen , weil danach irgendwas nichtmehr geht.

 

@ UKW
Deine Regel ist falsch.
Wenn man bereits vor 14 Tagen den Patch aufgespielt hat, brauchte man keine sog. "Firewall", s. Beitrag von goemichel.

Und was das Script von der "bekannten Seite" anbelangt: Ich glaube, dass Cidre dem Problem schon ganz gut auf der Spur war...

 

Zitat Steele:
--------------------------------------------------------------------------
Falsch. Die explizite Erwähnung einer (Desktop)firewall ist hinfällig, wenn der Patch installiert wurde.
----------------------------------------------------------------------------
So ein Schwachsinn, bist du JESUS oder woher willst du wissen dass der Dienst nach dem Patch sicher ist und nicht noch weitere Sicherheitslücken hat. Die Firewall schützt auch in diesem Fall, weder der SASSER noch der BLASTER oder ähnlich trivial gestrickte Würmer können eine Firewall umgehen.

Es gilt die Regel:

"Nie ohne Firewall (Desktop od. Hardware) eine Verbindung zum Internet herstellen".

Würden die User das endlich einmal verinnerlichen hätten wir jetzt 6 bis 18 Millionen weniger infizierter Computer. Aber was machen sie, sie spielen mit ihrer Antiviren-Software statt sich um die Firewalltechnik zu kümmern. Erst kommt die Firewall dann die Patches und zuletzt die AV-Software. Das kann doch nicht so schwer zu verstehen seien.

Nur eine verschwindet geringe Anzahl der Millionen die sich bereits infiziert haben wären von ihrem Wissen her in der Lage gewesen über das Abschalten von Diensten (ohne Betriebsstörungen auf den NT-Maschinen) ihren Rechner zu sichern.

Ein typ. Beispiel wie man sein Heimnetzwerk durch abschalten von Diensten (hier geschehen durch einen unerfahrenen Anwender mit der Hilfe eines Scriptes das hier oft als Allheilmittel propagiert wird) lahmlegt findet ihr zum Beispiel hier:

http://forum.pcwelt.de/showthread.php?s=&threadid=124388&highlight=Netzwerk

Grüße
UKW

 

Spiegel:

Sasser führt einen Buffer-Overflow herbei und erhält in der Folge die Kontrolle über den Port 9996.

Falsch. Der Absturz wird verursacht, wenn der infizierende SASSER den falschen Offset erwischt. Die Infektion schlägt dabei fehl.

...nutzt er diese aus und übernimmt die Kontrolle über zwei "Ports", das sind Verbindungs-Schnittstellen zwischen Rechner und Internet.

Falsch. Es sind Programmadressen.

Eine erneute Infektion wird durch den installierten Sicherheitspatch und die Firewall verhindert.

Falsch. Die explizite Erwähnung einer (Desktop)firewall ist hinfällig, wenn der Patch installiert wurde.

Echte Sicherheit auf einem einmal korrumpierten System lässt sich allerdings nur durch eine vollständige Neuinstallation wiederherstellen.

Huch?! Das stimmt ja direkt mal.

 

Also ich hab da keine Probleme damit, liegt wohl daran das ich meinen Rechner ein wenig hege und pflege, (will sagen: es geht nichts über regelmäßige Updates und etwas gesunden Meschenverstand).

mfg. dedie

 

Schade, das wäre eigentlich einen eigenen Thread wert gewesen. Denn nicht Sasser und Co (die Infektion bemerkt jeder) sondern Agobot und Verwandte werden das kommende richtige Problem sein - wenn sie's nicht schon sind...

 

Hier einige Artikel aus dem Spiegel über Sasser & Co.
Klick mich

 

Wichtiger Hinweis!

Neben SASSER nutzen auch andere Schädlinge, z.B. einige Gaobot-Versionen und der sogenannte "Phatbot" die LSASS-Lücke.
So ist es möglich, dass nach erfolgreicher Infektion mit SASSER ein ebenfalls eingefallener Gaobot die von SASSER installierte Remote Shell schließt. Dadurch wird SASSER (und somit auch der andere Schädling) später oder gar nicht bemerkt (wegen des fehlenden Traffics, der sonst von diesem PC ausginge) und eine verstärkte Kompromittierung und Verhinderung des Installierens von MS-Patchen wäre die Folge!

 

Unsinn.
Ein Router kann nicht verhindern, dass du dir Malware installierst. Bestenfalls kann er aufgrund des integrierten Paketfilters Angriffe wie die durch Blaster oder SASSER blockieren oder umgekehrt die Kontaktaufnahme von Malware nach draußen verhindern.
Ein Router kann aber NICHT analysieren, ob die Software, die du gerade herunterlädtst, böse oder gut ist. Er analysiert nur Pakete, nicht deren Inhalt.