 |
 |
· 'Sasser'-Wurm
· 'Mail ist virenfrei'
· 'Sie sind infiziert'
· Sober.C
· Netsky.B
· MyDoom.A/B
· Bugbear/Tanatos
· Klez
· F&A: IP zeigen
|
|
Sasser
Und wieder bringt das Virus "Windows XP", das sich nahezu selbstständig auf PC-Systemen verbreitet, die IT-Welt in Gefahr. Das Problem ist diesmal die Anwendung "Sasser", die in verschiedenen Variationen auftaucht, und offenkundige Systemschwächen von "NT-Technologie" aufzeigt.
Scherz beiseite, natürlich ist Sasser der Virus (bzw. Wurm) und Windows das Betriebssystem. Doch wäre das nicht so fehlerhaft, der Wurm würde nicht grassieren wie die Castingshoweritis. Sasser nutzt eine Schwachstelle im so genannten Local Security Authority Subsystem Service (LSASS), der derzeit nur bei Windows 2000 und XP existiert. Durch einen Pufferüberlauf-Exploit führt er über lsass.exe den in Windows eingebauten FTP-Client ftp.exe aus. Der FTP-Client lädt Sasser vom angreifenden, bereits infizierten Rechner herunter, und sucht dann andere Rechner zur Infektion aus.
Von Millionen infizierter PCs ist die Rede, Unternehmen seien lahmgelegt worden. Verhaftet wurde übrigens der Programmierer des Wurms, nicht der verantwortliche Programmierer der Sicherheitslücke. Man fragt sich, warum die betroffenen Unternehmen kein automatisiertes Patch-Distribution-System in ihren LANs haben... Etwa, weil man mit Updates auch schon zu all zu oft schlechte Erfahrungen gemacht hat? :)
Wie kriegt man ihn?
Sasser kriegen Benutzer von Windows 2000 und Windows XP per Internet. Es reicht, sich ins Internet einzuwählen. Sie müssen nichts anklicken: Ist der PC ungeschützt (keine Firewall, kein Router, kein Gegen-Patch), können Sie förmlich zusehen, wie Windows infiziert wird.
In Unternehmensnetzen kann Sasser direkt von PC zu PC springen. Ist hinter der Unternehmens-Firewall erst mal ein PC infiziert, kann Sasser sich ausbreiten.
Wie erkennen Sie ihn?
Erhöhter Netzwerkverkehr. Und: Seltsame Prozesse erscheinen im Task-Manager. Anfangs mal ftp.exe, später tauchen zum Beispiel Namen wie 1047_up.exe oder 8376_upload.exe auf (neue Wurm-Varianten können andere Namen verwenden). Das bedeutet, dass die Infektion gerade stattfindet.
Wer das liest...
...wird gerade infiziert.
Ein Windows-Bestandteil namens LSA-Shell (lsass.exe) stürzt ab. Dieser Absturz wird von Windows gemeldet. Oder: Ein Ding namens "NT-Autorität\System" oder "NT Authority\System" meldet sich, gibt Ihnen 60 Sekunden Zeit, Ihre Daten zu speichern, dann wird das System heruntergefahren. Nehmen Sie dieses Ultimatum ernst!
Wie hiess es so freundlich in 'Robocop':
'You have 20 seconds to comply' 
Surfen geht nicht mehr. Sie kommen zwar ins Internet, aber Sie können keine Webseiten mehr aufrufen.
Im Task-Manager finden Sie laufende Tasks, die zum beispiel "avserve.exe", "avserve.exe" oder "skynetave.exe" oder "obaka3.exe" oder "avserve2.exe" oder "lsasss.exe" (nicht zu verwechseln mit lsass.exe) heissen (neue Wurm-Varianten können andere Namen verwenden).
...aha ... Skynet... so hiess doch das durchtickende Computernetz in den 'Terminator'-Filmen... oh Gott!! DAS ENDE IST NAH!!! ;-)
Verdächtig: der (normale) Prozess lsass.exe (vom Benutzer SYSTEM, ergo Windows-intern) hat plötzlich dubiose Doppelganger in Form mehrerer lsasss.exe (von 'user', dem Benutzer dieses Beispiel-PCs)...
Gegen das Herunterfahren hilft:
Damit Sie Zeit haben, Removal-Tools und Updates zu installieren, müssen Sie den, äh, Shitdown-Vorgang abortieren:
Wählen Sie Start / Ausführen.
Geben Sie cmd ein drücken Sie [Enter].
Geben Sie ein
shutdown -a
[Enter] nicht vergessen!
Das hält das Herunterfahren auf. Aber nicht den Virus. Tipp: Machen Sie sich eine Datei namens no_shut.cmd auf dem Desktop, in der sich der Befehl shutdown -a befindet; dann können Sie mit einem einfachen Doppelklick den Shutdown aufhalten, bis Sie WIndows gepatcht haben.
Wie werden Sie das Vieh los?
Removal-Tools: ... gibt es zum Beispiel bei Bitdefender , avast! , bei Microsoft oder bei den Info-Links am Ende dieser Seite. Normalerweise laden Sie das Zeug herunter und starten es, es erledigt den Rest. Denken Sie daran: Das entfernt den Wurm, aber nicht das Problem; ein vollständiger Virenscan ist im Anschluss daran ebenso wichtig wie ein Update von Windows.
Wie schützen Sie sich?
Router: Der Wurm muss direkt in Windows hineinbohren können. Wenn Sie einen Router nutzen, ist Windows nicht "direkt" im Internet, ergo vor solchen Würmern geschützt. Wer also DSL hat, surft schlauerweise mit einem Router (Flatrate empfehlenswert)
Personal Firewall: Der Wurm muss direkt in Windows hineinbohren können. Bei einer Personal Firewall ist das, die richtige Konfiguration vorausgesetzt, nicht so einfach möglich. Aber: Es ist nicht der Sinn von Firewalls, bestehende Lücken zu kaschieren, die man besser per Update stopft (oder die der Hersteller, dem man Geld zahlte, und dessen Betriebssystem man regelmässig 'aktivieren' muss, besser gar nicht eingebaut hätte). Mehr Infos zu Firewalls hier. Übrigens: XP hat eine Firewall, sie ist bloss nicht immer aktiv; sie kann gegen Sasser schützen.
Updates: Der Wurm nutzt eine Sicherheitslücke (diese eine aus der unüberschaubaren Vielzahl von Windows-Lecks ist dokumentiert auf www.microsoft....../bulletinms04-011.htm ), die eigentlich schon gestopft ist. Abhilfe schafft, sie zu stopfen, zum Beispiel indem Sie solange die Updates auf windowsupdate.microsoft.com installieren, bis keine mehr angeboten werden. Dann sind Sie vor Sasser sicher. Bis der nächste Wurm die nächste Lücke nutzt...
Viren-Schutz: Downloaden Sie bei Gelegenheit ein Gegenmittel wie Antivir Personal Edition auf www.free-av.de (privat frei nutzbar)
Wo gibts Infos?
Infos bieten Ihnen die Viren-Lexika.
Deutschsprachige Infos speziell zu Sasser, auch mit Removal-Tools:
www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.sasser.worm.html
www.sophos.de/virusinfo/articles/sasser.html
www.antivir.de/vireninfo/sasser.htm
www.antivir.de/vireninfo/sasser.htm
www.kaspersky.com/de/news.html?id=148149774
www.viruslist.com/eng/alert.html?id=1437429
Ein Removal-Tool finden Sie u.a. auf www.bitdefender.de/html/free_tools.php
Wir erinnern uns: Vor zwei Jahren rief Microsoft die sogenannte "Trustworthy Computing"-Initiative aus und versprach, Windows sicherer zu machen. Die Idee klang gut: Statt weitere überflüssige Funktionen in das ohnehin schon davon überquellende Word einzubauen oder der Medien-Industrie mit DRM-Musikformaten die finanziellen Möglichkeiten der Orwell-Technik 'Palladium/NGSCB' schmackhaft zu machen, könnte Microsoft in der Tat mal ein paar Windows-Löcher stopfen. Aber solange die Microsklaven nicht wahrhaben wollen, das sie Fehler bauen, wird das wohl nichts. Entlarvendes Wording hierzu auf http://www.microsoft.com/germany/ms/security/pctdisable.mspx . Dort nennt Microsoft die Fehler seines Produktes 'Sicherheitsanfälligkeit'. Das suggeriert 'Anfälligkeit für Sicherheit', gemeint ist aber 'Fehlerhaftigkeit' oder 'Schlampigkeit'.
·
|
|
Anzeige
Alles über Viren und Virenschutz finden Sie in diesem (von mir uneingeschränkt empfohlenen :-) Buch:
Andreas Winterer: PC Underground: Viren, Würmer und Trojanische Pferde, ISBN 3815822653, 510 Seiten, € 14,95
» Zu haben .. nicht mehr, denn es ist leider ausverkauft. Gebraucht bei Tandlern und evtl. bei Onlinern wie Amazon.de
|
