Zur Seniorentreff Homepage Die Foren 

Neues ChatPartnersuche (Parship)FreundeLesenReisen LebensbereicheHilfe



Archivübersicht | Impressum

THEMA:   "Sasser" nutzt Windows- Sicherheitslücke

 9 Antwort(en).

hl begann die Diskussion am 02.05.04 (17:47) :

Neuer Super-Wurm unterwegs
"Sasser" nutzt Windows- Sicherheitslücke aus um übers Netzwerk in Rechner einzudringen


Am 1.Mai hat die Virus-Schutzfirma Trend Micro nach eigenen Angaben Alarm ausgelöst, um die Ausbreitung des Wurms "Sasser" einzudämmen. Berichte über Infektionen lägen bereits aus den USA vor.

Dieser Computerwurm nutzt die sog. "Windows LSASS Vulnerability", die einen Speicherüberlauf darstellt, der einem entfernten Nutzer ermöglicht Code auf dem befallenen System auszuführen und ihm vollen Systemzugriff ermöglicht

trendmicro:
SASSER.A versendet sich als Anhang (16KB) und bedroht Rechner mit den Betriebssystemen Windows 95, 98, ME, NT, 2000 und XP. Der Wurm ist auch unter den Synonymen W32/Sasser.worm, Win32.Sasser.A oder W32/Sasser-A bekannt.

Microsoft Security Bulletin MS04-011
Security Update for Microsoft Windows (835732)

https://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Internet-Tipp: https://derstandard.at/?ressort=Virus


Wolfgang antwortete am 02.05.04 (20:36):

laut microsoft sind betroffen nur rechner mit den betriebssystemen Microsoft Windows XP und Windows XP Service Pack 1 und Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 und Windows 2000 Service Pack 4. nicht betroffen seien die anderen windows-betriebssyteme (vgl. link).

hier gibt es detailliertere informationen:

WELT - 03.05.2004
Computerwurm befaellt Millionen von Rechnern
Behoerden schlagen Alarm - "Sasser" schaltet den Rechner aus und ein - Vor allem private Nutzer betroffen
Von ALEXANDER UHL
https://www.welt.de/data/2004/05/03/272751.html

Microsoft Deutschland
Informationen zum Wurm Sasser und seinen Varianten
https://www.microsoft.com/germany/ms/security/sasser.mspx

Internet-Tipp: https://www.microsoft.com/germany/ms/security/sasser.mspx


jo antwortete am 02.05.04 (20:57):


Quelle URL unten:

W32/Sasser (30.04.) * zunehmend verbreitet *
Alias: W32.Sasser.Worm, W32/Sasser-A, Worm.Win32.Sasser.a, Worm/Sasser.A, WORM_SASSER.A
Typ: EXE (Win32), Wurm (~15 KB)
Verbreitung: Netzwerk/Internet, nutzt Sicherheitslücke (LSASS, MS04-011) in Windows 2000, XP, 2003 Server
Symptome: Existenz der Dateien C:\win.log und avserve.exe im Windows-Verzeichnis
sowie des Registry-Eintrags "avserve.exe = %Windir%\avserve.exe" im Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sowie Fehlermeldung über Absturz des Dienstes LSA Shell mit Windows Neustart
Schaden: Systemabsturz, Backdoor (FTP, Remote Shell; Ports 5554, 9996)
Gegenmittel: Zur Vorbeugung: Installation des Sicherheits-Updates von Microsoft
zur Entfernung des Wurms: kostenlos bei McAfee (Stinger)

Internet-Tipp: https://www.tu-berlin.de/www/software/virus/aktuell.shtml


schorsch antwortete am 03.05.04 (10:34):

Heute hatte ich von meinem Netzwerkbetreiber etwa 130 Meldungen, dass sein seit neustem installiertes Viren-System so viele mit Viren behaftete E-Mails gekillt habe.


feldi antwortete am 03.05.04 (22:00):

Ich hatte den Sasser auch, bin aber mit ihm fertig geworden. Beunruhigend ist wie er sich verbreitet hat, einfach durch einloggen ins Internet.


hl antwortete am 04.05.04 (08:25):

Herunterfahren verhindern (Tipp aus der T-Online-Seite)


Der Virus erzwingt ein System-Fenster und bringt den Computer zum Absturz. Das kann soweit gehen, dass der Rechner ständig herunterfährt. Der Countdown dafür beträgt eine Minute. In dieser Zeit kann der Nutzer den PC so einstellen, dass er betriebsbereit bleibt.

Dazu wird in der Start-Leiste der Befehl "Ausführen" geklickt. Es öffnet sich ein neues Fenster. Hier wird der Befehl "cmd" eingegeben und auf "OK" geklickt.

Der Nutzer gelangt in das DOS-Fenster " C:\Dokumente und Einstellungen\Computer>

Hier gibt er folgenden Befehl ein: "shutdown -a". Wichtig: Zwischen "shutdown" und dem "-" muss ein Leerzeichen stehen. Dann wird der Vorgang mit "Enter" abgeschlossen.

https://oncomputer.t-online.de/c/18/47/38/1847382.html#download


chatti antwortete am 04.05.04 (10:46):

Bei mir (Windows XP professional) geht es noch etwas einfacher.
Start, Ausführen, dann einfügen: shutdown –a

Ich blieb leider auch nicht verschont und musste leider den PC auf Nummer Sicher einstellen.
Zuerst oben Beschriebenes ausführen, dann Anti Vir auf den neuesten Stand bringen, dann Suche starten,
danach noch von Microsoft das gesamte Sicherheitspaket downloaden. Über 20 MB

Nun kann ich leider aus Word keine Mails mehr mit Hintergrund schicken. :-(
Das ist der Nachteil.


feldi antwortete am 04.05.04 (11:40):

Ich hab auch XP und mit dem Taskmanager das Programm "avserve" erstmal abgestellt. Es war auffällig dass dieses Ding sich zusehends mehr Arbeitsspeicher zuteilte und die CPU-Auslastung ständig bei 100 % lag. Bei mir hat sich der PC nicht abgeschaltet, ich konnte im Internet keine Seiten öffnen obwohl die Verbindung aufgebaut wurde. Erst als ich wieder ins Internet kam hab ich erfahren was los war und wie man den Wurm wegkriegt.


Wolfgang antwortete am 04.05.04 (12:17):

ein kleines microsoft-tool hilft, den virus zu entfernen:

Sasser.A and Sasser.B Worm Removal Tool (KB841720)
https://www.microsoft.com/downloads/details.aspx?familyid=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17

Hier gibt es weitere Infos (s. link):

SPIEGEL ONLINE - 04.05.2004
NEUES VON SASSER
So wird man das Virus wieder los
Wenige Tage nach Auftreten des Sasser-Virus kursieren bereits erste Varianten. Der Virenautor hat dazugelernt, die neuen, effektiveren Versionen "erlegen" auch groessere Unternehmen. Andere erledigen sich aus Nervositaet selbst. SPIEGEL ONLINE verraet, wie man den Stoerenfried angstfrei wieder los wird.
https://www.spiegel.de/netzwelt/technologie/0,1518,298256,00.html

Internet-Tipp: https://www.spiegel.de/netzwelt/technologie/0,1518,298256,00.html


chatti antwortete am 04.05.04 (12:18):

Da ich gerade schon „fast“ genau beschrieben hatte, was ich unternommen hatte, muß ich der Vollständigkeithalber noch hinzufügen, daß ich, nachdem ich dieses shutdown gemacht hatte,
noch eine Anlage (Schutz gegen den Virus) öffnete, die mir ein lieber Bekannter geschickt hatte, und die dann ausführte.

Beim 1. Mal ins Internet gehen, erschien nach diesem shutdown noch einmal das Warnkärtchen. Bevor dann die 1 Minute vorbei war, habe ich kurz wieder Start, Ausführen und auf dem schon vorher ausgefüllten Kärtchen nur wieder OK bestätigt. Dann konnten die weiteren Schritte in Ruhe unternommen werden.

---und falls nun jemand weiß, ob es doch möglich ist, ohne den Sicherheitsschutz zu verringern, wieder schöne Hintergrundmails aus Word per Mail zu verschicken, wäre es nett, wenn er es mitteilen würde. Könnte ja ein neues Thema sein.
(Als Anlage geht es auch jetzt noch, das weiß ich) :-)
Gruß von chatti