NEUES VIRUS?!

Hallo,

willkommen im Club. Mich hat es auch erwischt und ich habe gestern den ganzen Nachmittag in Verzweiflung vor meinem Rechner verbracht. Momentan funktioniert er aber wieder ohne dieses permanente Runterfahren und Neustarten.

Mittlerweise findet man im Netz schon ein paar Info´s zu dem Wurm (SASSER nennt man ihn). Lies z.B. mal das hier:

Quelle: http://www.egocrew.de/index.php?action=show&id=74

Man musste kein Prophet sein, um nach den letzten Veröffentlichungen von Security Advisories zu Sicherheitslücken in Windows <http://www.heise.de/security/news/meldung/46474> einen Wurm vorauszusagen, der genau über diese Lücken in Systeme eindringt. Solch ein Wurm ist nun aufgetaucht. Der Schädling, den die Hersteller von Antivirensoftware Sasser nennen, nutzt einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Bedroht sind nicht gepatchte Windows-2000 und XP-Systeme.

Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er Code, der den eigentliche Wurm von bereits infizierten Systemen nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf eingehende Verbindungen lauschen. Sasser verursacht zudem - wie seinerzeit schon der Wurm Blaster/Lovsan - manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt. Abhilfe schafft ein "shutdown -a" in der Windows-Eingabeaufforderung vor Ablauf dieser Zeitspanne. Eine echte Schadroutine hat Sasser nicht, auch scheint die Verbreitung des Schädlings noch recht gering zu sein. Anwender sollten aber dennoch den Patch von Microsoft <http://www.microsoft.com/germa…etin/bulletinMS04-011.htm> einspielen.

Siehe dazu auch:

Beschreibung <http://vil.nai.com/vil/content/v_125007.htm> von NAI
Beschreibung <http://securityresponse.symant…data/w32.sasser.worm.html> von Symantec

Kannst nochmehr finden, wenn Du mit "Wurm Sasser" z. B. bei Google.de suchst.

Ich befasse mich nun auch vornehmlich damit, das DIng wieder loszuwerden. Für´s erste lade ich gerade das genannte Patch von Microsoft runter, um die Sicherheitslücke zu schließen. Und dann warte ich eigentlich nur drauf, dass mein Antivirenprogramm (AntiVir) ein update anbietet, das den Wurm dann erkennt und vom System entfernt. Naja, warten wir´s mal ab.

Ich bin nur froh, dass der Wurm einen "nur" zur Verzweiflung bringt und nicht noch größeren Schaden am System verursacht.

Ich wünsch´Dir jedenfalls auch viel Glück und dass wir das Ding wieder loswerden.

Gruß
diamond

Ich nochmal,

habe gerade gesehen, dass 2 Post´s weiter unten gestern schon ausführliche Info´s zu dem Wurm eingestellt wurden. KAnnst also da auch nochmal nachlesen.