Neuer Wurm ? kA Help !

dw.Kris · 01.05.2004, 12:37

Also mal die schöne Geschichte dazu.

Heute aufgestanden 10:30. Rechner angemacht und gewundert warum sich er sich automatisch zum INet connecten will (ISDN). Nach ca. 1 Minute kam dann die Fehlermeldung das der PC rebooted wird aufgrund eines Fehler 128 in der lsass.exe. (1 min Zeit kennt man ja vom Blaster

Gut rebooted und gleich mal inne Prozessmanager geguckt. Siehe da eine ominöse avserve.exe. Gleich mal danach gesucht und im Windowsordner fündig geworden. Ertellungszeit 9:29. Gleich meinen Vater gefragt ob er am Rechner war. Ja logisch. Verursacher gefunden. Natürlich war ers nicht

. Mal geguckt auf welchen Seiten der so rumgegeistert is und wirklich an astro.com und espressocoffeeshop.com is nix schlimmes dran imho. Mal schnell die avserve.exe gekillt, ebenso in der registry. Reboot und mal aus neugierde den Prozessmanager beobachtet. Und siehe da nach ca. 2 mins startet sich eine ftp.exe. Die beginnt auch gleich mit dem DL von besagter avserve.exe. So nu auch die ftp.exe (Erstellt ebenfalls heute um 9:29) gesucht und eliminiert. DL weg. ftp.exe weg. avserve.exe weg. Doch das lsass.exe Problem mit dem Fehler 128 tritt weiter auf. Ich teste gerade ob das etwas mit Trillian zu tun hat den mir scheint sobald ich über Trillian in IRC connecte kommt der Fehler wieder.

OS : WinXP HomeEdition

Hoffe es kann jemand behilflich sein und ich danke im vorraus

UPDATE : http://securityresponse.symantec.com...sser.worm.html

glaub problem is gefunden

andero · 01.05.2004, 14:04

genau;

also gleich mal ein windowsupdate durchführen !!! sonst kommt der SASSER immer wieder ...

http://www.heise.de/newsticker/meldung/47037

ciao

moar70 · 01.05.2004, 15:04

Dazu kann ich nur eines sagen: Nie OHNE Router ins Netz - lieber SAFER NETWORKING praktizieren!!!

andero · 01.05.2004, 16:10

ja eh,

aber ein windows sollte auch so immer gepatched werden

vor bösen mails schützt dich der router/firewall auch nit ...

ciao

moar70 · 01.05.2004, 18:52

Zitat:

Original geschrieben von andero
ja eh,

aber ein windows sollte auch so immer gepatched werden

vor bösen mails schützt dich der router/firewall auch nit ...

ciao

stimmt - aber der router schützt immerhin vor Viren die "ungefragt" sprich ohne Interaktion des Users das System infizieren ...

andero · 01.05.2004, 19:50

das is wahr.

bei mir tut das OpenBSD 3.4 mit pf!

aber am einzigen windowsrechner den ich wegen meiner freundin noch hab werkelt trotzdem ein mcafee ... wobei kaspersky wohl noch besser wär ...

ciao

Dr. Acula · 01.05.2004, 21:25

Nachdem Microsoft im April zahlreiche Sicherheitslücken gestopft hat, war es abzusehen das ein Wurm auftauchen wird, der genau diese Lücken ausnutzt. In diesem Fall wird die Sicherheitslücke im Local Security Authority Subsystem Service (LSASS) vom Wurm "Sasser" ausgenutzt.

Einmal ausgeführt, generiert der Wurm zufällige IP-Adressen und nimmt mit diesen Kontakt auf. Findet er hinter dieser IP einen Rechner ohne aktuelle Sicherheitspatches, nutzt er einen Exploit um sich einzuschleusen und läd anschließend über Port 5554 den eigentlichen Code nach. Danach beginnt das Spiel wieder von vorn.

Betroffen sind die Betriebssysteme Windows 2000 und XP. Wie damals beim Blaster-Wurm kann es auch bei Sasser vorkommen, dass der LSA-Dienst abstürzt und deshalb ein Dialog eingeblendet wird, der darüber informiert, dass Windows in 60 Sekunden heruntergefahren wird.

Um sich zu schützen reicht es in diesem Fall aus, den Patch aus dem Security Bulletin MS04-011 zu installieren.

Christoph · 03.05.2004, 21:35

Siehe Thread Sasser Wurm!

01.05.2004, 12:37	#1
dw.Kris Newbie Registriert seit: 01.05.2004 Beiträge: 1	Neuer Wurm ? kA Help ! Also mal die schöne Geschichte dazu. Heute aufgestanden 10:30. Rechner angemacht und gewundert warum sich er sich automatisch zum INet connecten will (ISDN). Nach ca. 1 Minute kam dann die Fehlermeldung das der PC rebooted wird aufgrund eines Fehler 128 in der lsass.exe. (1 min Zeit kennt man ja vom Blaster Gut rebooted und gleich mal inne Prozessmanager geguckt. Siehe da eine ominöse avserve.exe. Gleich mal danach gesucht und im Windowsordner fündig geworden. Ertellungszeit 9:29. Gleich meinen Vater gefragt ob er am Rechner war. Ja logisch. Verursacher gefunden. Natürlich war ers nicht . Mal geguckt auf welchen Seiten der so rumgegeistert is und wirklich an astro.com und espressocoffeeshop.com is nix schlimmes dran imho. Mal schnell die avserve.exe gekillt, ebenso in der registry. Reboot und mal aus neugierde den Prozessmanager beobachtet. Und siehe da nach ca. 2 mins startet sich eine ftp.exe. Die beginnt auch gleich mit dem DL von besagter avserve.exe. So nu auch die ftp.exe (Erstellt ebenfalls heute um 9:29) gesucht und eliminiert. DL weg. ftp.exe weg. avserve.exe weg. Doch das lsass.exe Problem mit dem Fehler 128 tritt weiter auf. Ich teste gerade ob das etwas mit Trillian zu tun hat den mir scheint sobald ich über Trillian in IRC connecte kommt der Fehler wieder. OS : WinXP HomeEdition Hoffe es kann jemand behilflich sein und ich danke im vorraus UPDATE : http://securityresponse.symantec.com...sser.worm.html glaub problem is gefunden

01.05.2004, 14:04	#2
andero Veteran Registriert seit: 24.11.2000 Beiträge: 213	genau; also gleich mal ein windowsupdate durchführen !!! sonst kommt der SASSER immer wieder ... http://www.heise.de/newsticker/meldung/47037 ciao ____________________________________ Nach 10 Bier sind alle Frauen schön!

01.05.2004, 15:04	#3
moar70 Computerjunkie Registriert seit: 10.08.2003 Ort: 1220 Wien (127.0.0.1) Alter: 55 Beiträge: 517 Mein Computer	Nicht routerlos Dazu kann ich nur eines sagen: Nie OHNE Router ins Netz - lieber SAFER NETWORKING praktizieren!!! ____________________________________ connected to web by UPC chello @ 250/25 Mbit/s Was ich nicht weiß, weiß GooGle?! EDV ist die Abkürzung für ENDE DER VERNUNFT.

01.05.2004, 16:10	#4
andero Veteran Registriert seit: 24.11.2000 Beiträge: 213	ja eh, aber ein windows sollte auch so immer gepatched werden vor bösen mails schützt dich der router/firewall auch nit ... ciao ____________________________________ Nach 10 Bier sind alle Frauen schön!

01.05.2004, 19:50	#6
andero Veteran Registriert seit: 24.11.2000 Beiträge: 213	das is wahr. bei mir tut das OpenBSD 3.4 mit pf! aber am einzigen windowsrechner den ich wegen meiner freundin noch hab werkelt trotzdem ein mcafee ... wobei kaspersky wohl noch besser wär ... ciao ____________________________________ Nach 10 Bier sind alle Frauen schön!

01.05.2004, 21:25	#7
Dr. Acula Gesperrt Registriert seit: 25.05.2003 Beiträge: 1.492	Nachdem Microsoft im April zahlreiche Sicherheitslücken gestopft hat, war es abzusehen das ein Wurm auftauchen wird, der genau diese Lücken ausnutzt. In diesem Fall wird die Sicherheitslücke im Local Security Authority Subsystem Service (LSASS) vom Wurm "Sasser" ausgenutzt. Einmal ausgeführt, generiert der Wurm zufällige IP-Adressen und nimmt mit diesen Kontakt auf. Findet er hinter dieser IP einen Rechner ohne aktuelle Sicherheitspatches, nutzt er einen Exploit um sich einzuschleusen und läd anschließend über Port 5554 den eigentlichen Code nach. Danach beginnt das Spiel wieder von vorn. Betroffen sind die Betriebssysteme Windows 2000 und XP. Wie damals beim Blaster-Wurm kann es auch bei Sasser vorkommen, dass der LSA-Dienst abstürzt und deshalb ein Dialog eingeblendet wird, der darüber informiert, dass Windows in 60 Sekunden heruntergefahren wird. Um sich zu schützen reicht es in diesem Fall aus, den Patch aus dem Security Bulletin MS04-011 zu installieren.

03.05.2004, 21:35	#8
Christoph Mod, bin gerne da Registriert seit: 09.11.1999 Ort: W, NÖ Alter: 74 Beiträge: 13.646	Siehe Thread Sasser Wurm! ____________________________________ Liebe Grüße Christoph Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen. (Heinrich Heine)

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)