Besuchen Sie unseren Werbepartner
Anzeige
Benutzername:  Passwort:   Registrierung! Passwort vergessen?
 Statistik  Netiquette  Disclaimer  Impressum
 
 
Home
 
Magazin
Podcast
Meisterschaft
1. Konkurse
International
Auktion
One Loft Races
Kids Corner
Preislisten
Taubengesundheit
Wetter
Photo Gallery
Forum
Office Tools
Umfragen
Verirrte Tauben
Züchter
Tauben-Shop
 
Partner Sites
Der Internet-Taubenschlag hilft!
Der Internet-Taubenschlag hilft!
 
Home  Newscenter 

Newscenter

 Newscenter 
03.05.2004 Virenwarnung
Das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem Computerwurm "W32.Sasser.Worm".

Name: W32.Sasser.Worm
Alias: W32/Sasser.worm [McAfee]

Art: Wurm
Größe des Anhangs: 15.872 Bytes
Betriebssystem: Windows XP, 2000, 2003 Server
nicht betroffen: Windows 98/Me/NT
Art der Verbreitung: Ausnutzung einer Sicherheitslücke
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: Systemabstürze, verminderte Systemleistung
Spezielle Entfernung: Tool
bekannt seit: 30.04.2004

Beschreibung:

W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 und Windows 2003 Server verbreitet.

Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen. Microsoft stellt eine deutsche Beschreibung dieser Sicherheitslücke zur Verfügung. Die Schwachstelle wird mit dem Sicherheits-Update KB835732 geschlossen.
Für die weitverbreiteten Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter:

Microsoft Windows 2000 (SP2, SP3 und SP4)
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=de

Microsoft Windows XP und Microsoft Windows XP SP1
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=de

Updates für alle übrigen Windows-Betriebssysteme befinden sich in der Microsoft-Beschreibung zur Sicherheitslücke.

Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders!

Sasser verwendet unterschiedliche Angriffsmethoden zur Infektion neuer Computer. Bei der Verwendung der falschen Methode kommt es auf dem angegriffenen Computer zu einem Fehler. Dies führt zu einer Fehlermeldung mit anschließendem automatischen Neustart des Systems.

Bei einem erfolgreichen Angriff lädt Sasser von dem angreifenden Computer eine Datei per FTP in das Verzeichnis c:\windows\system32. Anschließend wird diese Datei ausgeführt und damit der angegriffene Computer infiziert. Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk.

Der Wurm kopiert sich im infizierten System unter %Windir%\avserve.exe. Diese Datei ist 15.872 Bytes groß.

Hinweis:
%windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.

Mit dem Registrierungs-Schlüssel

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe"="%windir%\avserve.exe"

wird Sasser beim Rechnerstart aktiviert.

Eine weitere Kopie des Wurms befindet sich unter:

c:\windows\system32\?????_up.exe

wobei ????? beliebige Ziffern sind.
Beispiele:
c:\windows\system32345_up.exe
c:\windows\system32583_up.exe

Entfernung des Wurms Sasser

Vor der Entfernung muss die Sicherheitslücke des Betriebssystems geschlossen werden. Andernfalls kann es jederzeit zu einer Neuinfektion kommen, wenn der Computer ans Netz angeschlossen wird.

Bei dem Betriebssystem XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden. Ausserdem muss der Computer im abgesicherten Modus gestartet werden.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.

Symantec (FxSasser.exe): Direkt-Download:
http://securityresponse.symantec.com/avcenter/FxSasser.exe
oder Download mit englischer Beschreibung:
http://www.sarc.com/avcenter/venc/data/w32.sasser.removal.tool.html

NAI (Stinger.exe): Direkt-Download:
http://download.nai.com/products/mcafee-avert/stinger.exe
oder Download mit englischer Beschreibung :
http://vil.nai.com/vil/stinger/

Quelle: Bundesamt für Sicherheit in der Informationstechnik
http://www.bsi.de

[Home]  [Magazin]  [Podcast]  [Meisterschaft]  [1. Konkurse]  [International]  [Auktion]  [One Loft Races]  [Kids Corner]  [Preislisten]  [Taubengesundheit]  [Wetter]  [Photo Gallery]  [Forum]  [Office Tools]  [Umfragen]  [Verirrte Tauben]  [Züchter]  [Tauben-Shop]  [TaubenMarkt-Messe 2006]  [Spenden-Flug Weisse Schwinge IT]  [WM-Tipp]  [TaubenMarkt-Messe]  [Int. Ruwen-Club]  [Spenden für die Flutopfer in Südasien]  [Neues im Internet-Taubenschlag]  [Newscenter]  [Züchter der Woche]  [Jugendzüchter der Woche]  [Webepartner der Woche]  [Superstar des Monats]  [Brieftaubenzüchter helfen]  [Bannerwerbung]  [Adressen-CD]  [Newsletter]  [Statistik]  [Netiquette]  [Disclaimer]  [Impressum