W32/Sasser-A, Sasser, W32/Sasser.worm, Win32.Sasser.A, W32.Sasser.Worm:
Betroffene Systeme:
Windows 2000, Windows XP, Windows Server 2003
Nicht betroffen:
Windows 95, Windows 98, Windows ME, Windows NT 4.0
Am 1.Mai 2004 um 4:15 AM (PST), haben die TrendLabs einen Yellow Alert ausgelöst, um die Ausbreitung dieser Malware einzudämmen. Berichte über Infektionen liegen bereits aus den USA vor.
Dieser Computerwurm nutzt die sog. "Windows LSASS Vulnerability", die einen Speicherüberlauf darstellt, der einem entfernten Nutzer ermöglicht Code auf dem befallenen System auszuführen und ihm vollen Systemzugriff ermöglicht.
Um sich zu verbreiten, durchsucht er das Netzwerk nach verwundbaren Systemen. Sobald er ein solches findet, versendet er ein präpariertes Datenpaket um so einen Speicherüberlauf bei der LSASS.EXE zu induzieren.
Er erstellt die Scriptdatei CMD.FTP, die Anweisungen für das befallene Sytsem enthält, eine Kopie der Malware per FTP (via Port 5554) von einem bereits infiziertem System herunterzuladen und lokal auszuführen.
Da diese Malware einen Speicherüberlauf in der Datei LSASS.EXE erzeugt, stürzt dieses Programm ab und fordert dadurch zu einem Neustart von Windows auf.
Symptome:
Es erscheint eine Meldung, dass das System heruntergefahren werden muss ("System herunterfahren").
Ggf. wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung".
Oder: "LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden".
Im Windowsverzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP) wird eine Datei namens avserve.exe und oder avserve2.exe abgelegt.
Zusätzlich finden sich im Windows-Ordner Dateien nach dem Muster xxxxx_up.exe, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht.
Im Rootverzeichnis C: findet sich eine Datei namens win.log bzw. win2.log (also C:\win.log bzw. C:\win2.log).
In die Registry erfolgt der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run als avserve.exe bzw. avserve2.exe.
Bei der b-Variante (avserve2.exe) kann es zu Problemen kommen, Windows herunterzufahren bzw. neu zu starten.
Wichtig: Schwerin-PC empfiehlt dringend den Patch für die Windows LSASS vulnerability einzuspielen. Der Patch ist auf folgender Internetseite erhältlich:
download Windows XP LSASS vulnerability Patch ( Microsoft Security Bulletin MS04-011 ca. 2,59 MB)
Sollte der Countdown bereits gestartet sein, rufe "Start, Ausführen" auf und gebe dann "shutdown -a" (ohne die Anführungszeichen) ein. Der Countdown wird dann abgebrochen.
Patch aufgespielt - wie bekomme ich denn den sasser nun weg?
1. Besorge Dir für Deinen Virenscanner eine aktuelle Virendefinition (Virenscanner updaten) oder benutze das Entfernungstool von Microsoft.
2. Lasse Dein System nach dem Wurm durchsuchen.
3. Lasse den Wurm entfernen.
4. benutze ggf. den Taskmanager (Strg+Alt+Entf), und beende den Task (avserve.exe oder avserve2.exe bei der B-Variante des Wurms)
5. starte den Registrierungseditor (regedit) und suche im Zweig HKEY_LOCAL_MACHINE >Software >Microsoft >Windows >CurrentVersion>Run nach den Einträgen avserve.exe = %Windows%\avserve.exe (oder auch avserve2.exe)s uchen und entferne diese dann.
6. Falls Meldungen wie "Datei in Benutzung" kommen, dann Punkt 2.-5. noch mal, aber im abgesicherten Modus.
7. System anschließend noch mal mit dem Virenscanner überprüfen.
Falls Dir noch was unklar ist, schreibe mir einfach eine Mail.