You are not logged in.
MastersForum »
Allgemein »
TechTreff »Dear visitor, welcome to MastersForum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.
Saturday, May 1st 2004, 12:44pm
Quoted
Achtung:
Seit heute Nacht (01.05.04) ist ein neuer Wurm im Umlauf, der wie seinerzeit "Blaster" eine bestehende Sicherheitslücke zur Verbreitung ausnutzt!
Name: Wurm Sasser.A
Infektion und Verbreitung:
Der Wurm nutzt eine Schwachstelle im LSASS Dienst (Local Security Authority Subsystem Service). Über einen Buffer Overflow ist es möglich beliebigen Code auszuführen. Eine Infektion des Systems endet im Beenden des Dienstes und einem Herunterfahren des Systems. Der Wurm kopiert sich als avserve.exe in das Windowsverzeichnis (%Windows%) und fügt folgenden Registry-Eintrag hinzu, damit er bei jedem Systemstart automatisch gestartet wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = "%Windows%\avserve.exe"
Der Wurm öffnet einen ftp-Port (5554) und scannt IP Adressen nach verwundbaren Systemen.
Im Security Bulletin vom 13. April 2004 werden auch noch diverse andere Sicherheitslücken angesprochen. Da der Wurm noch relativ neu ist liegen noch keine detaillierten Informationen vor. Neben den beschriebenen Symptomen sind auch noch andere "Auffälligkeiten" denkbar!
Betroffene Systeme (vollständige Liste gem. MS-04-011):
* Microsoft Windows NT Workstation 4.0 Service Pack 6a
* Microsoft Windows NT Server 4.0 Service Pack 6a
* Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
* Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 + Service Pack 4
* Microsoft Windows XP und Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 64-Bit Edition
* Microsoft NetMeeting
* Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME)
Hinweise zur Entfernung:
Eine Infektion lässt sich an einem laufenden Prozess avserve.exe (15,872 Bytes, PECompact gepackt) erkennen.
Zur Entfernung den Prozess über den Taskmanager beenden, die Registry bereinigen und die Datei löschen. Weiter Infos siehe Links zu den Herstellern von AV-Software. Das Herunterfahren sollte auf XP / 2k3 Systemen per Start -> Ausführen -> shutdown -a abgebrochen werden können!
Wichtig:
Alle potentiell betroffenen Systeme sollten unbedingt asap die nötigen Patches installieren!
http://microsoft.com/germany/ms/technets…tinms04-011.htm
Windows-Update durchführen um auch andere potentielle Lücken zu schliessen:
http://v4.windowsupdate.microsoft.com/de/default.asp
Weitere Infos:
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
http://securityresponse.symantec.com/avc…asser.worm.html
This post has been edited 2 times, last edit by "Neptune" (May 1st 2004, 12:48pm)
Saturday, May 1st 2004, 4:28pm
Betroffene Systeme (vollständige Liste gem. MS-04-011):
* Microsoft Windows NT Workstation 4.0 Service Pack 6a
* Microsoft Windows NT Server 4.0 Service Pack 6a
* Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
* Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 + Service Pack 4
* Microsoft Windows XP und Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 64-Bit Edition
* Microsoft NetMeeting
* Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME)
This post has been edited 1 times, last edit by "_JoD_Dragon" (May 1st 2004, 4:30pm)
