Kleines Windows Problem...

Versuche mal das:
Worm/Sasser.E
Vireninformation
Virus Alias

Dateigröße 15.872 Bytes

Virustyp Wurm

Betroffene Betriebssysteme Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP

Schadensroutine Nutzt die Sicherheitslücke von LSASS aus (Microsoft Security Bulletin MS04-011Microsoft Security Bulletin MS04-011).

Entdeckt am 09.05.2004

Ab VDF Version 6.25.00.60


Schadenspotential
Gemeldete Infektionen

Schadenspotential

Verbreitungspotential





Technische Details
Infektion
Der Wurm vergewissert sich, mittels einem erstellten Mutex (SkynetNotice), dass nur eine Instanz des Wurmes aktiv ist. Er kopiert sich nach %WinDIR%\lsasss.exe und erstellt folgenden Registry Eintrag:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"lsasss.exe"="%WinDIR%\lsasss.exe"


Der Wurm löscht folgende Registry Einträge:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"ssgrate.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"drvsys.exe"


HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"Drvddll_exe"


Benützt das AbortSystemShutdown API um zu verhindern, dass der Computer ausgeschaltet oder neu gestartet wird. Der Wurm wiederholt diesen Vorgang die ersten 2 Stunden jede Sekunde. Danach zeigt er folgende Nachricht:

1. Ihr Computer ist von der MS04-011 Sicherheitslücke betroffen.

2. Es kann sein dass gefährliche Computerviren, ähnlich dem Blasterwurm, ihren Computer infizieren.

3. Bitte nehmen Sie ein Update auf Ihrem Computer vor. Benutzen Sie den Patch MS04-011 von der www.microsoft.com Internetseite.

4. Dies ist eine Nachricht des SkyNet Teams um arglistige Aktivitäten vorzubeugen

Der Wurm erstellt die Datei C:\ftplog.txt, welche die IP Adressen enthält, welche der Computer kürzlich versucht hat zu infizieren und die Anzahl der infizierten Computer.


Verbreitung
Startet einen FTP Server auf dem TCP Port 5554. Dieser Server wird genutzt um den Wurm auf andere Systeme zu verbreiten. Er sammelt IP Adressen von infizierten Systemen und generiert ebenfalls neue IP Adressen, die ähnlichkeit mit den gesammelten IP's haben.

Verbindet sich über den TCP Port 445 zu anderen Systeme, welche ebenfalls die Sicherheitslücke LSASS nicht geschlossen haben.

Wurde eine Verbindung zu einem anderen Computer erstellt, wird ein Shell Code an diesen gesendet, damit der TCP Port 9996 geöffnet wird.

Wird der Shell Code genutzt um auf den FTP Server des infizierten Systems zurückzugreifen wechselt es auf den TCP Port 5554 und der noch nicht infizierte Computer erhält eine Kopie des Wurmes. Diese Kopie wird mit 4 oder 5 Zahlen, folgend von _up.exe, benannt. Als Beispiel:
74354_up.exe.


Entfernung Windows 9x
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.


Entfernung Windows 2000
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.

Ich Depp!

Na klar... Da ich das SP2 einspielen wollte hab ich natürlich den Sicherheitspatch für den IE weggelassen... Und da ich (noch) keine Firewall bzw. nen Router hab... Hats unter microsoft.com vermutlich exakt 30 sec. gedauert bis ich mit die Kacke eingefangen hab.

Das Erklärt auch warum die Kiste abschmiert... Ich hab das Passive FTP deaktiviert und nun versucht er ständig erfolglos den Dienst zu starten und zieht den Rechner in den Abgrund.

Danke für den Tip... is schon schwer wenn man alt und seniel wird

...wem sagst Du dass?......

Übrigens: von einer Software-Firewall rate ich ab-mehr oder weniger Quatsch, dann lieber einen Router mit Firewall.

Software Firewall

War eh nicht angedacht... Wenn dann was vernünftiges. Aber ich denke ohne den IE werde ich schon wesentlich ruhiger schlafen können.

Bin mit Mozilla Firefox mehr als zufrieden. Hab sogar mutwillig versucht mir nen Trojaner oder Highjacker einzufangen... Keine Chance

Ging einfach nicht... Der fragt immer "Wolle installieren? Jup_ Nö_" Anschließend noch einmal "Löschen" im AV Programm bestätigen und selbst das TMP File ist weg. Saugut! Beim IE wird leider immer erst die Datei gespeichert, bevor gefragt wird "Wolle ausführen lasse?" Dann is aber schon zuspät gewesen... Leider brauch das LiveUpdate von MS den IE... Hab versucht über Firefox die Seite zu laden. Mag er nich

Stimmt...

Ist aber behoben, sobald du Version 1.0 drauf hast (is auch die aktuelle) da ist ne Java Engine mit drin. Hab schon etlich JAVA Seiten gehabt, bisher alles ohne Probleme. Achja, u.U. kanns sein das man JAVA extra freigeben muss für Firefox

CSS kann ich leider noch nix zu sagen...

Wie ists mit Opera? Ich habe sowohl IE, als auch Firefox und Opera. Am besten gefällt mir der Opera. Völlig frei konfigurierbar!
So wie er anfangs ist, ist er allerdings schrecklich, ein wenig anpassen und ein klasse Browser ist fertig.

Bandit_911

Mäc? Was das?

Opera gefällt mir nicht besonders... Ist zu Aufgebläht... Der Firefox Browser ist schön handlich (4,5 MB) hat den Vorteil DAU sicher zu sein, da er fast so aussieht wie der IE von Microsoft.

Klar gibts ein paar Schönheitsfehlt z.B. ist die aktuelle Vers. momentan nur auf Englisch zu bekommen. Für mich kein Problem, aber s. DAU...

Alles in allem kann man aber glaube ich alle genannten Browser nehmen. Je nach Geschmack halt... Hauptsache man lässt die Finger vom Internet Explorer

Werbung gucken? Meinst Du die kleine Werbung oben rechts? Nun, damit kann ich leben. Das seh ich schon gar nicht mehr.

Bandit_911

Opera

Erstens gibts da so kleine Cracks, die die Werbung abdecken
und zweitens gibts wieder so'n Crack, der Dir die Vollversion vorgaukelt
Ich benutze nur noch Opera, schon seit Jahren.
Und von wegen aufgebläht, IE ist doch wohl der größte Verschwender..
MfG Oli

Kannst Dir die Google Toolbar ziehen, damit ist Schluss mit PopUps...

Aber wenn ich ActiceX und JS deaktiviere kann ich für viele Websites auch gleich nen Textbrowser nehmen... Da geht dann nüscht mehr!

Bei the Way... Hab gestern meinen IE komplett deinstalliert (so machte mir XP zumindest glauben) und trotzdem startet diese verf****te T-Offline Software immer den IE bei der Einwahl. Noch jemand ne Idee?

Ansonsten werd ich das ganze heute über DFÜ einrichten dann is Schluss mit IE staretn.

Ja,
die T-Online-Software nicht installieren!! Hilfe zum Thema gibt es unter anderem bei http://www.albert-rommel.de/ppp-noscript.htm
Unter XP kann man den IE nicht sauber deinstallieren, jedenfalls nicht über die sog. De-Installationsroutine, da der IE fest mit XP verankert ist (Windows-Explorer etc.).

Grüße
MUHNS

De-Installieren! DFÜ-Netzwerk verwenden! Es sei denn, Du machst Homebanking mit der Rosa-Software oder Starmoney.

Toi Toi Toi waren meine Rechnungen bisher immer korrekt! Aber die werden von mir auch penibelst geprüft!!

Jo, des hebsch mi auch gedacht... Also T-Offline wieder runner und alles übers DFÜ eintippern.... Naja, die 5Min. arbeit mach ich mir jetz auch noch

Biste verrückt? Ich mach doch kein Homebanking über den Rosa Elefanten! Da kann ich Kontonummer und PIN ja gleich hier posten!

Nein.... Ihr braucht garnicht fragen... Es sei denn Ihr wollt spenden....

Opera

Ich bin mir Opera mehr als zufrieden und will nichts mehr anders haben !


Chris