Neuer Super-Wurm unterwegs
"Sasser" nutzt Windows- Sicherheitslücke aus um übers Netzwerk in Rechner einzudringen


Am 1.Mai hat die Virus-Schutzfirma Trend Micro nach eigenen Angaben Alarm ausgelöst, um die Ausbreitung des Wurms "Sasser" einzudämmen. Berichte über Infektionen lägen bereits aus den USA vor.

Dieser Computerwurm nutzt die sog. "Windows LSASS Vulnerability", die einen Speicherüberlauf darstellt, der einem entfernten Nutzer ermöglicht Code auf dem befallenen System auszuführen und ihm vollen Systemzugriff ermöglicht

trendmicro:
SASSER.A versendet sich als Anhang (16KB) und bedroht Rechner mit den Betriebssystemen Windows 95, 98, ME, NT, 2000 und XP. Der Wurm ist auch unter den Synonymen W32/Sasser.worm, Win32.Sasser.A oder W32/Sasser-A bekannt.

Microsoft Security Bulletin MS04-011
Security Update for Microsoft Windows (835732)

https://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

laut microsoft sind betroffen nur rechner mit den betriebssystemen Microsoft Windows XP und Windows XP Service Pack 1 und Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 und Windows 2000 Service Pack 4. nicht betroffen seien die anderen windows-betriebssyteme (vgl. link).

hier gibt es detailliertere informationen:

WELT - 03.05.2004
Computerwurm befaellt Millionen von Rechnern
Behoerden schlagen Alarm - "Sasser" schaltet den Rechner aus und ein - Vor allem private Nutzer betroffen
Von ALEXANDER UHL
https://www.welt.de/data/2004/05/03/272751.html

Microsoft Deutschland
Informationen zum Wurm Sasser und seinen Varianten
https://www.microsoft.com/germany/ms/security/sasser.mspx

Quelle URL unten:

W32/Sasser (30.04.) * zunehmend verbreitet *
Alias: W32.Sasser.Worm, W32/Sasser-A, Worm.Win32.Sasser.a, Worm/Sasser.A, WORM_SASSER.A
Typ: EXE (Win32), Wurm (~15 KB)
Verbreitung: Netzwerk/Internet, nutzt Sicherheitslücke (LSASS, MS04-011) in Windows 2000, XP, 2003 Server
Symptome: Existenz der Dateien C:\win.log und avserve.exe im Windows-Verzeichnis
sowie des Registry-Eintrags "avserve.exe = %Windir%\avserve.exe" im Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sowie Fehlermeldung über Absturz des Dienstes LSA Shell mit Windows Neustart
Schaden: Systemabsturz, Backdoor (FTP, Remote Shell; Ports 5554, 9996)
Gegenmittel: Zur Vorbeugung: Installation des Sicherheits-Updates von Microsoft
zur Entfernung des Wurms: kostenlos bei McAfee (Stinger)

Heute hatte ich von meinem Netzwerkbetreiber etwa 130 Meldungen, dass sein seit neustem installiertes Viren-System so viele mit Viren behaftete E-Mails gekillt habe.

Ich hatte den Sasser auch, bin aber mit ihm fertig geworden. Beunruhigend ist wie er sich verbreitet hat, einfach durch einloggen ins Internet.

Herunterfahren verhindern (Tipp aus der T-Online-Seite)


Der Virus erzwingt ein System-Fenster und bringt den Computer zum Absturz. Das kann soweit gehen, dass der Rechner ständig herunterfährt. Der Countdown dafür beträgt eine Minute. In dieser Zeit kann der Nutzer den PC so einstellen, dass er betriebsbereit bleibt.

Dazu wird in der Start-Leiste der Befehl "Ausführen" geklickt. Es öffnet sich ein neues Fenster. Hier wird der Befehl "cmd" eingegeben und auf "OK" geklickt.

Der Nutzer gelangt in das DOS-Fenster " C:\Dokumente und Einstellungen\Computer>

Hier gibt er folgenden Befehl ein: "shutdown -a". Wichtig: Zwischen "shutdown" und dem "-" muss ein Leerzeichen stehen. Dann wird der Vorgang mit "Enter" abgeschlossen.

https://oncomputer.t-online.de/c/18/47/38/1847382.html#download

Bei mir (Windows XP professional) geht es noch etwas einfacher.
Start, Ausführen, dann einfügen: shutdown –a

Ich blieb leider auch nicht verschont und musste leider den PC auf Nummer Sicher einstellen.
Zuerst oben Beschriebenes ausführen, dann Anti Vir auf den neuesten Stand bringen, dann Suche starten,
danach noch von Microsoft das gesamte Sicherheitspaket downloaden. Über 20 MB

Nun kann ich leider aus Word keine Mails mehr mit Hintergrund schicken. :-(
Das ist der Nachteil.

Ich hab auch XP und mit dem Taskmanager das Programm "avserve" erstmal abgestellt. Es war auffällig dass dieses Ding sich zusehends mehr Arbeitsspeicher zuteilte und die CPU-Auslastung ständig bei 100 % lag. Bei mir hat sich der PC nicht abgeschaltet, ich konnte im Internet keine Seiten öffnen obwohl die Verbindung aufgebaut wurde. Erst als ich wieder ins Internet kam hab ich erfahren was los war und wie man den Wurm wegkriegt.

ein kleines microsoft-tool hilft, den virus zu entfernen:

Sasser.A and Sasser.B Worm Removal Tool (KB841720)
https://www.microsoft.com/downloads/details.aspx?familyid=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17

Hier gibt es weitere Infos (s. link):

SPIEGEL ONLINE - 04.05.2004
NEUES VON SASSER
So wird man das Virus wieder los
Wenige Tage nach Auftreten des Sasser-Virus kursieren bereits erste Varianten. Der Virenautor hat dazugelernt, die neuen, effektiveren Versionen "erlegen" auch groessere Unternehmen. Andere erledigen sich aus Nervositaet selbst. SPIEGEL ONLINE verraet, wie man den Stoerenfried angstfrei wieder los wird.
https://www.spiegel.de/netzwelt/technologie/0,1518,298256,00.html

Da ich gerade schon „fast“ genau beschrieben hatte, was ich unternommen hatte, muß ich der Vollständigkeithalber noch hinzufügen, daß ich, nachdem ich dieses shutdown gemacht hatte,
noch eine Anlage (Schutz gegen den Virus) öffnete, die mir ein lieber Bekannter geschickt hatte, und die dann ausführte.

Beim 1. Mal ins Internet gehen, erschien nach diesem shutdown noch einmal das Warnkärtchen. Bevor dann die 1 Minute vorbei war, habe ich kurz wieder Start, Ausführen und auf dem schon vorher ausgefüllten Kärtchen nur wieder OK bestätigt. Dann konnten die weiteren Schritte in Ruhe unternommen werden.

---und falls nun jemand weiß, ob es doch möglich ist, ohne den Sicherheitsschutz zu verringern, wieder schöne Hintergrundmails aus Word per Mail zu verschicken, wäre es nett, wenn er es mitteilen würde. Könnte ja ein neues Thema sein.
(Als Anlage geht es auch jetzt noch, das weiß ich) :-)
Gruß von chatti