W32 Sasser Beschreibung (Fehler lsass.exe-PC fährt nach 60 sek runter) und Entfernung

@steele
ich habs nicht vor ,die leute zu überzeugen ihre gewohnten anwendungen und dienste im sinne der sicherheit aufzugeben.

 

Was soll denn dieser Unsinn?
Erzähl mir doch mal, an wie vielen Ports genau die XP-Firewall lauschen muss und von welchem Dienst sie abhängig ist bzw. warum man sie beenden müsste.
Hats dir nicht gereicht, dich per PN zu blamieren?

M.o.N@s:
http://sasser.klaffke.de

 

Entweder hab ich das schon, oder der Patch wird unter Windows Update nicht angezeigt...... Denn auf keinen der patches die im Windows Update bei mir stehen (ich lad sowieso gleich erst mal alle Patches runter) passt die Beschreibung..... Gibts sonst noch irgendwo einen Link wo ich den Patch runterladen kann??

M.o.N@s

 

LSASS ist ein Windowsdienst (sogar ein wichtiger) und der Wurm nutzt ein Loch/Bug im LSASS RPC Interface aus.

 

Im Task Manager wird ein laufender Prozess angezeigt.... Er Heist: "LSASS"
Hab ich das jetzt richtig verstanden, dass dieses lediglich das Programm ist was der Wurm benutzt? Oder ist das der Wurm.....
Ich mein eigentlich kann mir das egal sein, da ich Firewall etc habe.... aber ich würds trotzdem gern wissen

THX.
M.o.N@s

 

wie z.b. die dienste für die XP-firewall und den mstaskplaner ....ist ja och sehr weit gedacht ?!

 

389 ist für die gemeinsame Internetfreigabe, wurde jedenfalls erst nach Aktivierung dieser als offen gemeldet

 

Nein. Du hast mit dieser Regel lediglich die Kommunikation über diesen Port blockiert.
Ports schließt man, indem man die Dienste beendet, die den Port öffnen.

Dazu bedarf es nur Google und eines Programms wie ActivePorts.

 

Hallo,

Port: 389 TCP
ldap Lightweight Directory Access Protocol

Habe mal auf meiner Win2000-Maschine geschaut, beide Ports habe ich explizit über eine erweiterte Firewall-Regel geschlossen.
Welcher Dienst hinter dem 389 steht kann dir vielleicht der Steele beantworten solltest du den ohne Firewall dicht machen wollen.

Grüße
Wolfgang

 

Port 389 ist bei XP ständig offen, bei 2000 aber nur wenn das Netzwerk steht und glaube Port445 (SMB) muss man bei XP durch einen Registryeintrag schließen

 

Danke, genau diese Symptome weisst mein Computer auf.
Habe den Patch gerade runtergeladen und werde ihn dann gleich auf meinem Computer installieren.
Nochmals vielen Dank
Liebe Grüße

Tanja

 

Hallo Tanja,

Symantec hat ein Tool zum entfernen von SasserA/B zur Verfügung gestellt.

Direkter Download-Link:
http://securityresponse.symantec.com/avcenter/FxSasser.exe

Info zum Tool:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html

Zudem könntest du dein System mit einem aktuellen Virenscanner übrprüfen. AVG Antivirus hat heute morgen zum Beispiel Signaturen zur Erkennung von Sasser.B zur Verfügung gestellt.

Grüße
Wolfgang

 

http://sasser.klaffke.de

 

Hallo,

ich habe da auch ein kleines Problem, wofür vielleicht der Sasser verantwortlich sein könnte.
Nach zwei Sekunden im Internet friert meine Internetverbindung ein, so dass ich keine Updates und neueste Tools runterladen kann. Auch einige Programme auf Win XP laufen nicht mehr.
Sind diese Ausfälle typisch für den Sasser?
Den Blaster oder Sober konnte ich mit meinen vorhandenen Tools nicht auf dem PC finden.

Liebe Grüße

 

Welche Probleme hast du noch oder wie sieht der "Teilerfolg" aus ?

 

"Schön", damit es jeder mitbekommt, wurde gleich Sasser.B nachgeschoben.

@ Steele

Ich habe nicht nur die Patches installiert, sondern auch unötige Dienste abgeschalten, was allerdings bei XP nicht zum vollen Erfolg führt.

 

Bei dieser Gelegenheit mal eine Frage. Wie sicher ist eigentlich eine passwortgeschützte Imagedatei vor Eindringen durch einen Virus? Habe meine Sicherungsimages auf CD gebrannt.
Aber um dieses nicht immer machen zu müssen, lege ich dann schon mal zwischendurch Images auf einer anderen Partition an.
Angenommen, ich wäre nicht sicher, ob mein System noch rein ist, könnte man diese Images dann bedenkenlos zurückspielen, nachdem die Partition mit dem Betriebssystem formatiert wurde?

Gruß: rich

 

eben....das ist ja alles nur kinderspielzeug , die kleinen würmchen mit weitestgehend ohne schadenroutine, die nur auf massenverbreitung ausgelegt sind.
so ein dicker 300kb W32.HLLW.Gaobot.gen/W32.Gaobot.gen!poly bringt da schon mehr unordnung ins system rein. ( was bei mir schon in 5 varianten in der Norton AntiVirus\Quarantine\ schlummert) :p

 

Ja bei dem Schädling schon aber die neue Phatbot-Variante ist POSIX-kompatibel programmiert, läuft somit auch unter Linux und Unix-Systemen.

Heise Meldung vom 19.04:
http://www.heise.de/newsticker/meldung/46634

 

kommt?s mir nur so vor, oder sind die M$-Seiten heute etwas zäh ?

am besten gefällt mir persönlich das hier:


Bewertung des Schweregrads und Kennungen der Sicherheitsanfälligkeiten:

bei 98SE steht da: Keine

ja,ja - neulich hat noch einer was gepöbelt von wg. "rückständige dumme User" ...