kostenlose online Hilfe bei PC Problemen, Internet und DSL
kostenlose online Hilfe bei PC Problemen, Internet und DSL
Slogan

PC Serviceteam

Die besten Tipps rund um den PC vom FACHMANN (FRAU)

mehr lesen

Marianne Porter

Sekretärin
4 Jahre Berufserfahrung
Empfang

Laura Drossman

Azubi
3 Jahre Lehrzeit
PC-Service

Bernd Kramer

Informatiker
12 Jahre Erfahrung
Webdesign

Maik Peterson

Programmierer
10 Jahre im Geschäft
IT-Betreuung

Internetrecht 
das Geschäft im world wide web

Was gibt es alles zu beachten? AGB, Rückgaberecht, Impressum ...

Leidenschaft und Vernunft

- ......

Our Members
are saying

"I created my employment agreements on Law Firm. They not only saved me time, but saved me a lot of money."

Sicher ist sicher

Vom Umgang mit Passwörtern.

mehr lesen

Herzlich Willkommen auf der wahrscheinlich fehlerhaften Homepage von Schwerin-PC.de

W32/Sasser-A, Sasser, W32/Sasser.worm, Win32.Sasser.A, W32.Sasser.Worm:

Betroffene Systeme:
Windows 2000, Windows XP, Windows Server 2003

Nicht betroffen:
Windows 95, Windows 98, Windows ME, Windows NT 4.0


Am 1.Mai 2004 um 4:15 AM (PST), haben die TrendLabs einen Yellow Alert ausgelöst, um die Ausbreitung dieser Malware einzudämmen. Berichte über Infektionen liegen bereits aus den USA vor.

Dieser Computerwurm nutzt die sog. "Windows LSASS Vulnerability", die einen Speicherüberlauf darstellt, der einem entfernten Nutzer ermöglicht Code auf dem befallenen System auszuführen und ihm vollen Systemzugriff ermöglicht.

Um sich zu verbreiten, durchsucht er das Netzwerk nach verwundbaren Systemen. Sobald er ein solches findet, versendet er ein präpariertes Datenpaket um so einen Speicherüberlauf bei der LSASS.EXE zu induzieren.

Er erstellt die Scriptdatei CMD.FTP, die Anweisungen für das befallene Sytsem enthält, eine Kopie der Malware per FTP (via Port 5554) von einem bereits infiziertem System herunterzuladen und lokal auszuführen.

Da diese Malware einen Speicherüberlauf in der Datei LSASS.EXE erzeugt, stürzt dieses Programm ab und fordert dadurch zu einem Neustart von Windows auf.


Symptome:

Es erscheint eine Meldung, dass das System heruntergefahren werden muss ("System herunterfahren").
Ggf. wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung".
Oder: "LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden".
Im Windowsverzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP) wird eine Datei namens avserve.exe und oder avserve2.exe abgelegt.
Zusätzlich finden sich im Windows-Ordner Dateien nach dem Muster xxxxx_up.exe, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht.
Im Rootverzeichnis C: findet sich eine Datei namens win.log bzw. win2.log (also C:\win.log bzw. C:\win2.log).
In die Registry erfolgt der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run als avserve.exe bzw. avserve2.exe.

Bei der b-Variante (avserve2.exe) kann es zu Problemen kommen, Windows herunterzufahren bzw. neu zu starten.

Wichtig: Schwerin-PC empfiehlt dringend den Patch für die Windows LSASS vulnerability einzuspielen. Der Patch ist auf folgender Internetseite erhältlich:


download Windows XP LSASS vulnerability Patch ( Microsoft Security Bulletin MS04-011 ca. 2,59 MB)  

Sollte der Countdown bereits gestartet sein, rufe "Start, Ausführen" auf und gebe dann "shutdown -a" (ohne die Anführungszeichen) ein. Der Countdown wird dann abgebrochen.



Patch aufgespielt - wie bekomme ich denn den sasser nun weg?

1. Besorge Dir für Deinen Virenscanner eine aktuelle Virendefinition (Virenscanner updaten) oder benutze das Entfernungstool von Microsoft.
2. Lasse Dein System nach dem Wurm durchsuchen.
3. Lasse den Wurm entfernen.
4. benutze ggf. den Taskmanager (Strg+Alt+Entf), und beende den Task (avserve.exe oder avserve2.exe bei der B-Variante des Wurms)
5. starte den Registrierungseditor (regedit) und suche im Zweig HKEY_LOCAL_MACHINE >Software >Microsoft >Windows >CurrentVersion>Run nach den Einträgen avserve.exe = %Windows%\avserve.exe (oder auch avserve2.exe)s uchen und entferne diese dann.
6. Falls Meldungen wie "Datei in Benutzung" kommen, dann Punkt 2.-5. noch mal, aber im abgesicherten Modus.
7. System anschließend noch mal mit dem Virenscanner überprüfen.

Falls Dir noch was unklar ist, schreibe mir einfach eine Mail.

Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv