| "Autor" |
Computerwurm "Windows LSASS Vulnerability" |
|
|
|
geschrieben am: 01.05.2004 um 22:37 Uhr
|
|
[i][blau][zitat]
Am 1.Mai 2004 um 4:15 AM (PST), haben die TrendLabs einen Yellow Alert ausgelöst, um die Ausbreitung dieser Malware einzudämmen. Berichte über Infektionen liegen bereits aus den USA vor.
Dieser Computerwurm nutzt die sog. "Windows LSASS Vulnerability", die einen Speicherüberlauf darstellt, der einem entfernten Nutzer ermöglicht Code auf dem befallenen System auszuführen und ihm vollen Systemzugriff ermöglicht.
Um sich zu verbreiten, durchsucht er das Netzwerk nach verwundbaren Systemen. Sobald er ein solches findet, versendet er ein präpariertes Datenpaket um so einen Speicherüberlauf bei der LSASS.EXE zu induzieren.
Er erstellt die scriptdatei CMD.FTP, die Anweisungen für das befallene Sytsem enthält, eine Kopie der Malware per FTP (via Port 5554) von einem bereits infiziertem System herunterzuladen und lokal auszuführen.
Da diese Malware einen Speicherüberlauf in der Datei LSASS.EXE erzeugt, stürzt dieses Programm ab und fordert dadurch zu einem Neustart von Windows auf.
Quelle: www.trendmicro.de[/zitat]
Was man tun kann um sich zu schützen oder den Wurm loszuwerden:
[zitat]Achtung Leute!! Passt auf auf diesen Wurm! Er kommt nicht per Mail, er nutzt eine Sicherheitslücke aus!
Also spielt DRINGEND den obigen Microsoft-Patch ein, damit euch nichts mehr passieren kann!!
Hier findet ihr das Ganze für Windows XP:
Link
Für Windows 2000:
Link
Für Windows 2003:
Link
Für Windows NT SP6a:
Link
Ladet die Datei, die für euch passt runter und installiert sie. Danach kann euch der Virus nichts mehr anhaben, es sei denn, ihr habt ihn schon auf eurem System!
Das könnt ihr folgendermassen überprüfen:
Sucht auf eurer Festplatte die Datei "avserve.exe". Solltet ihr fündig werden, hats euch leider erwischt.. Dann müsst ihr euren Virenscanner aktualtisieren, und alles Infizierte löschen lassen.
Ansonsten Glück gehabt, und ihr seid dann sicher
Wenn euer Virenscanner, nichts findet oder ihr garkeinen habt, dann mal das dieses hier probieren
--> Taskmanager abrufen und bei "Prozesse" nach "avserve.exe" suchen, diesen dann beenden.
Dann Start > Ausführen > regedit eingeben > High_local_machine > Software > Microsoft > Windows > Run > dort löscht ihr dann die Datei(en) "avserve.exe" wenn sie dort sind.
Nach dem Neustart dann die Patches installieren und ausführen.
Quelle: Link
Antaris
Danke Stella für diese Infos
Geändert am 01.05.2004 um 23:26 Uhr von Antaris |
| Den Mutigen kannst du nicht brechen, du kannst ihn nur töten. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 02.05.2004 um 20:06 Uhr
|
|
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 02.05.2004 um 22:38 Uhr
|
|
| bleibt nur zu sagen, dass regelmäßige windoof updates den wurm direkt verhindert hätten... |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 03.05.2004 um 01:30 Uhr
|
|
[i][blau][zitat]bleibt nur zu sagen, dass regelmäßige windoof updates den wurm direkt verhindert hätten... [/zitat]..
Den Wurm nicht.. nur das der rechner befallen wird.. aber aste schon mal viel wert mal keinen müll von dir zu höhren
Antaris |
| Den Mutigen kannst du nicht brechen, du kannst ihn nur töten. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 03.05.2004 um 15:52 Uhr
|
|
[i][schwarz]Ich hab den auch schon bekämpft anta  ..
Nun bleibt noch etwas dazu zu sagen:
Beim Befall des Wurm's erscheinen "Blaster" ähnliche Anzeichen. D.h. es kommt nach 30 sekündiger Internetverbindung eine Meldung in der das sog. "NT Authorität System" den Rechner innerhalb 60 sekunden rebootet. Blaster konnte man über die MSConfig einfach deaktivieren. Da aber der neue Wurm ein nachfolger des Blaster-Wurm's ist und daher weiterentwickelt worden ist wurde diese Funktion "übergangen".
Der Wurm verbreitet sich sporadisch und ohne Ziel selbst über einen eigenen smtp Client. Er sucht sich also wahllos irgendwelche IP's aus, deren Firewall deaktiviert ist und somit anfällig für den Wurm sind. So kann er sich ins System einschmuggeln.
Was anta nicht erwähnte ist der Name des Wurmes. Ugs.: "[b]Sasser Wurm[/b]" .. ganzer Name ist: [b]W32.SASSER.B.WORM[/b]
wasc...
Geändert am 03.05.2004 um 15:52 Uhr von Wascator
Geändert am 06.05.2004 um 20:41 Uhr von Wascator |
Glück kann man nicht mit Geld kaufen! Doch, das ist nur eine Lüge, die wir den Armen erzählen, damit sie nicht randalieren!
..Man muss noch Chaos in sich haben, um einen tanzenden Stern gebähren zu können.. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 03.05.2004 um 22:32 Uhr
|
|
Natürlich ist er zu unterdrücken..
start » ausführen » shutdown -a = er ist unterdrückt!
;)
GreetZ |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 04.05.2004 um 16:57 Uhr
|
|
Oder man läßt Anti Vir suchen... so bekommst nen auch runter... brauchst net unbedingt den patch...
Gruß MC |
Gruß MC
Link |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 05.05.2004 um 00:40 Uhr
|
|
Wenn der Wurm aber soweit ist das deine Internet verbindung nicht mehr geht wie bei einem Freund, dann siehts schlecht aus
;) erstrecht weil der AntiVir manchmal Tage hat wo man nicht auf die neuen Dateien zugreifen kann da er beim Update die dateien nicht vom Server öffnen kann.
GreetZ |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 05.05.2004 um 10:04 Uhr
|
|
[schwarz]@BöhseOnkelz-16: Da steht was man tun soll wenn man keinen Virenscanner hat oder dieser nicht geht ;)
Das selbe gilt auch für die bei denen das Internet nicht mehr verbindet.
Wenn man den "avserve.exe" mit dem Taskmanager beendet hat, sollte eigentlich alles wieder funktionieren, auch die Internetverbindung. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 07.05.2004 um 10:13 Uhr
|
|
apropo denkt daran wenn ihr den wurm loshaben wollt... das ihr beim bekämpfen die internetverbindung trennt...
Gruß MC |
Gruß MC
Link |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 11.05.2004 um 12:19 Uhr
|
|
(zitat)Oder man läßt Anti Vir suchen... so bekommst nen auch runter... brauchst net unbedingt den patch...
Gruß MC (/zitat)
also ich hab ihn mit antivir nich runterbekommen...  aber jetzt is er ja endlich unten...  |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 08.06.2004 um 00:29 Uhr
|
|
| Glaubst du die von Microsoft sitzen da und langweilen sich und machen irgendwelche Sicherheitslöcher sowie ein andere 'n Fass auf ? |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 08.06.2004 um 20:34 Uhr
|
|
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 09.06.2004 um 12:06 Uhr
|
|
| das ist wie äpfel mit birnen miteinander vergleichen lol^^ |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 09.06.2004 um 19:06 Uhr
|
|
[i][schwarz]Lol..
hab heute gelesen dass Microsoft in verhandlungen mit SAP stand. jedoch hat SAP abgelehnt und verstärkte nochmals ihre Stellung nicht zum verkauf zu stehen..
Tja Billy Boy. Da haste wo pech gehabt. SAP bleibt weiterhin massive Konkurrenz für dich *auslach..
wasc... |
Glück kann man nicht mit Geld kaufen! Doch, das ist nur eine Lüge, die wir den Armen erzählen, damit sie nicht randalieren!
..Man muss noch Chaos in sich haben, um einen tanzenden Stern gebähren zu können.. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 10.06.2004 um 23:20 Uhr
|
|
| da lob ich mir mein linux |
|
|
|
|
|
|
Top
|
