Hi,
es ist der Worm WORM_SASSER.A !!!
Bei lsass.exe handelt es sich nicht um einen Virus .
Der lokale Sicherheitsdienst lsass.exe (Local Security Authority Subsystem) steuert die Richtlinien für User. Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.
Lovegate ist einer der Viren der sich für diese Datei interessiert. Einen Zugang zum Rechner offen zu haben, nennt man “Backdoor.”
Aber wahrscheinlicher ist der Befall mit dem Wurm W32/Sasser.Wenn nähmlich die Datei Lssas.exe statt lssas.exe heißt !
Meldet das System, dass der Systemprozess lsass.exe unerwartet beendet wurde und das System neu gestartet wird, handelt es sich sehr wahrscheinlich um den Wurm W32/Sasser.a.
Heute kam die aktuelle Virenwarnung , welche ich im Zitat gekürzt hier bringe :
Beschreibung:
Am 1.Mai 2004 um 4:15 AM (PST), haben die TrendLabs einen Yellow Alert ausgelöst, um die Ausbreitung dieser Malware einzudämmen. Berichte über Infektionen liegen bereits aus den USA vor.
Dieser Computerwurm nutzt die sog. "Windows LSASS Vulnerability", die einen Speicherüberlauf darstellt, der einem entfernten Nutzer ermöglicht Code auf dem befallenen System auszuführen und ihm vollen Systemzugriff ermöglicht. Details dieser Vulnerability kann man den folgenden Seiten entnehmen:
MS04-011_MICROSOFT_WINDOWS
Microsoft Security Bulletin MS04-011
Um sich zu verbreiten, durchsucht er das Netzwerk nach verwundbaren Systemen. Sobald er ein solches findet, versendet er ein präpariertes Datenpaket um so einen Speicherüberlauf bei der LSASS.EXE zu induzieren.
Er erstellt die Scriptdatei CMD.FTP, die Anweisungen für das befallene Sytsem enthält, eine Kopie der Malware per FTP (via Port 5554) von einem bereits infiziertem System herunterzuladen und lokal auszuführen.
Da diese Malware einen Speicherüberlauf in der Datei LSASS.EXE erzeugt, stürzt dieses Programm ab und fordert dadurch zu einem Neustart von Windows auf.
Wichtig:TREND MICRO empfiehlt dringend den Patch für die Windows LSASS vulnerability einzuspielen. Der Patch ist auf folgender Intenretseite erhältlich:
Microsoft Security Bulletin MS04-011
(http://www.microsoft.com/techn…ty/bulletin/ms04-011.mspx)
Lösung (Meine "Übersetzung" )
Bevor die auslösenden Einträge des eigentlichen Wurmes durch einen Virenscanner oder o.genannten Tools vernichtet werden ist erst mal eine händiche Vorsäuberung erforderlich.Ansonsten würde sich das Problem selbst wieder installieren.
Entfernen der Malware
Diese Prozedur verhindert das Laden in den Speicher
Öffnen des Windows Task Manager.
Bei Windows 95/98/ME systemen mit
CTRL+ALT+DELETE
Bei Windows NT/2000/XP systemen
CTRL+SHIFT+ESC, dort auf den Reiter laufende Prozesse.
Dort den Eintrag Lssas.exe suche (nicht lssas.exe !!!,der läßt sich eh nicht schließen) und beenden.Taskmanager schließen und wieder öffnen. Jetzt Kontrolle , ob er wirklich weg ist. Bei Breitbandverbindungen (DSL) immer vorher die Verbindung trennen ! Bei anderen I.Netverbindungen selbstverständlich auch.
Anschließend den Registrierungseditor öffnen (ausführen -> regedit)
Folgenden Eintrag suchen (in der linken Seite) :
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
Jetzt könnte rechts nachfolgender Eintrag zu sehen sein:
avserve.exe = %Windows%\avserve.exe
Diesen löschen !
Regedit schließen.
Jetzt unbedingt neu starten und erneut das System scannen.
Quelle: Trend Micro
In den nächsten Tagen wird ein entsprechendes Tool von einigen Antivirensoftware-Anbietern verfügbar sein. AntiVir gibt bereits auf Anfrage ein "Beta-Patch" raus , so das morgen,spätestens übermorgen auch das normale Antivir nach Update den Schädling vernichten wird.
Mit freundlichen Grüßen