W32.Sasser Wurm

[PaniChriZ]

wenn garnichtsmehr geht -> systemwiederherstellung, danach gehts wieder halbwegs, direkt virenscan mit virenscanner der die neusten virendefinitionen (mind. 30.04) hat oder mit einem onlinescanservice (zum bsp bei symantec) durchführen
eine einfache firewall verhindert das eindringen des wurms. ich habe ihn nicht bekommen, kenne jedoch einige die probleme mit dem ding das laut symantec eigentlich einfach zu entfernen sein sollte haben ...

[fadmax]

Jo Chriz, daran hatte ich auch gleich mal gedacht, aber irgendwie hat mir das Teil schon alle alten Wiederherstellungspunkte gelöscht!

P.S.: Wollte gerade editieren: Ich hab ihn jetzt auch gefunden aber noch nicht beseitigt (Winupdt. läuft grade). Das was mein Spybot gelöscht hatte war wohl was anderes.

[ONeil]

Danke für die Warnung, ich hab sicherheitshalber gleich mal Windows, AntiVir und AdAware geupdatet.

[PaniChriZ]

neuste informationen und anleitung zum löschen mit antivir oder manuell von der antivir page:

Allgemeine Beschreibung:

Worm/Sasser.A hat eine Dateigröße von 15.872 Bytes und kopiert sich als avserve.exe in das Windows Systemverzeichnis. Er nutzt die LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft aus.
Sollten nicht alle Patches von Microsoft eingespielt sein oder keine aktive Firewall zum Internet bestehen, kann der Wurm sich auf dem Windows XP oder Windows 2000 System installieren..



Symptome:
Im Root von Laufwerk C: findet sich eine Datei namens WIN.LOG


Infektionsweg:
LSASS Sicherheitslücke von Microsoft


Technische Details:

Worm/Sasser.A verbreitet sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Siehe dazu:
http://www.microsoft.com/technet/sec.../MS04-011.mspx

Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.

Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.

Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.




Entfernungshinweise:

- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.

[MakeMeBuB]

Na wunderbar, jetzt weiß ich wenigstens was das fürn shit Ding war das meinen PC immer runtergefahren hat . Aber ich glaub ich hab ihn jetzt ausgeschlossen mit meiner netten FW .

MFG DanI

[Bernd_XP]

also ich mach grad n Live-update und hoffe mal, dass der Router dicht gehlaten hat...

[brezel107]

Ich könnte heulen das der is erst frisch raus und ich fang den mir ein.

Wer programmiert solche Scheiße???