Flashforum - Die Community zu Adobe Flash, Flex AIR. Web Design und Inspiration.

Thorsten [Flash4all] · 03-05-2004, 17:12

Informationen zum Schutz vor Sasser

Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er Code, der den eigentliche Wurm von bereits infizierten Systemen nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf eingehende Verbindungen lauschen. Sasser verursacht zudem – wie seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt. Abhilfe schafft ein "shutdown -a" in der Windows-Eingabeaufforderung vor Ablauf dieser Zeitspanne. Eine echte Schadroutine hat Sasser nicht, auch scheint die Verbreitung des Schädlings noch recht gering zu sein. Anwender sollten aber dennoch den Patch von Microsoft einspielen.

Der am Wochendende aufgetauchte Wurm Sasser hat schon Geschwister bekommen: Sasser.B ist deutlich aktiver als sein Vorgänger; Symantec hat ihn bereits in die Bedrohungsstufe 4 eingeordnet. Auch die Variante Sasser.C ist schon vereinzelt gesichtet worden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits seit Sonntag vor der akuten Bedrohung, auch Microsoft hat eine Warnung vor den Sasser-Würmern veröffentlicht und gibt Tips zum Schutz. Wie bei allen Bedrohungen durch Internetwürmer gilt auch hier der Dreisatz der Sicherheit: Patch einspielen, Firewall aktivieren und dem Wurm mit Reinigungs-Tools zu Leibe rücken. Außer Microsoft stellen auch Symantec (W32.Sasser Removal Tool), NAI (Stinger) und Trend Micro (System Cleaner) Sasser-Entfernungsprogramme bereit.

Die Sasser-Würmer kommen nicht via E-Mail ins Haus, sondern verbreiten sich ähnlich wie Blaster/Lovsan direkt übers Netz. Sie nutzen dazu einen Fehler in einem standardmäßig aktiven Windows-Dienst. Es genügt somit, einen ungepatchten Rechner ohne Firewall ans Internet anzuschließen, um sich Sasser einzufangen. Das Internet Storm Center registriert seit dem Wochenende eine signifikante Zunahme der Scans auf Port 445, den die Schädlinge nutzen, um neue Opfer zu infizieren.

Anwender von Windows XP können zum Schutz die eingebaute Firewall aktivieren. Normalerweise sollte diese ohnehin für DFÜ-Verbindungen aktiviert sein, allerdings hebelt die Zugangssoftware einiger Provider diese Standardeinstellung aus, in dem sie eigene Verbindungen definiert. Im Zweifel sollte der Provider beziehungsweise Hersteller zu Rate gezogen werden. Anwender von Windows 2000 sollten sich eine Personal Firewall installieren. Kostenlose Versionen stellen unter anderem Kerio und ZoneLabs bereit.

Obwohl Sasser an vernünftig konfigurierten Firewall scheitern sollte, lehrt die Erfahrung mit Blaster, dass die Würmer beispielsweise über infizierte Notebooks auch Zugang zu internen Firmennetzen finden werden und dort dann ungehindert unter den oftmals ungepatchten Arbeitsplatzrechnern wüten. Umsichtige Netzwerk-Adminstratoren können vorbeugend mit dem Tool DSScan ihr Netz auf verwundbare Systeme scannen. Findet das kostenlose Programm von Foundstone einen ungepatchten Rechner, kann der Admin dem Anwender auch gleich ein einen passenden Hinweis schicken.

Sasser.A,.B und .C versuchen zwar auch andere Systeme anzugreifen, sind aber nur bei Windows 2000 und XP erfolgreich. Die Meldung, der Computer würde nun heruntergefahren, ist ein Indiz für einen fehlgeschlagenen Versuch des Wurms in den PC einzudringen. Allerdings ist die Wahrscheinlichkeit sehr hoch, dass der PC trotzdem bereits infiziert ist.
quelle: http://www.heise.de/newsticker/meldung/47063

patch von Microsoft:
http://www.microsoft.com/germany/ms/...inMS04-011.htm

Bereinigungstool:
http://securityresponse.symantec.com...oval.tool.html
oder
http://www.trendmicro.com/download/dcs.asp

kostenlose firewall:
http://www.kerio.com/kpf_download.html
http://www.zonelabs.com/store/conten...id=zadb_zadown (gibt es auch auf deutsch)

kostenloser Viren schutz
http://www.free-av.de/
direktlink zum download http://www.free-av.de/personal/de/avwinsfx.exe

also schützt eure systeme, ladet euch den patch runter und installiert eine firewall und eine anti virus software (und updated diese auch regelmässig!)

Thorsten.

p.s. microsoft verschickt niemals patche per email!
solltet ihr mal so eine mail bekommen ist sie ein fake/virus/trojaner.
MS Patche gibt es NUR auf der Microsoft Homepage zum download!

**marc** · 03-05-2004, 17:18

Übrigens auch schon hier seit einigen Tagen diskutiert:
Wurm Sasser.A

03-05-2004, 17:12	#1 (permalink)
Thorsten [Flash4all] Thorsten Manser (flash4all.de) Registriert seit: Jun 2001 Ort: Heilbronn-Heidelberg Beiträge: 4.462	Achtung! Sasser = neuer Virus/Wurm, der sich auch ohne Mails verbreitet!!! Informationen zum Schutz vor Sasser Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er Code, der den eigentliche Wurm von bereits infizierten Systemen nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf eingehende Verbindungen lauschen. Sasser verursacht zudem – wie seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt. Abhilfe schafft ein "shutdown -a" in der Windows-Eingabeaufforderung vor Ablauf dieser Zeitspanne. Eine echte Schadroutine hat Sasser nicht, auch scheint die Verbreitung des Schädlings noch recht gering zu sein. Anwender sollten aber dennoch den Patch von Microsoft einspielen. Der am Wochendende aufgetauchte Wurm Sasser hat schon Geschwister bekommen: Sasser.B ist deutlich aktiver als sein Vorgänger; Symantec hat ihn bereits in die Bedrohungsstufe 4 eingeordnet. Auch die Variante Sasser.C ist schon vereinzelt gesichtet worden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits seit Sonntag vor der akuten Bedrohung, auch Microsoft hat eine Warnung vor den Sasser-Würmern veröffentlicht und gibt Tips zum Schutz. Wie bei allen Bedrohungen durch Internetwürmer gilt auch hier der Dreisatz der Sicherheit: Patch einspielen, Firewall aktivieren und dem Wurm mit Reinigungs-Tools zu Leibe rücken. Außer Microsoft stellen auch Symantec (W32.Sasser Removal Tool), NAI (Stinger) und Trend Micro (System Cleaner) Sasser-Entfernungsprogramme bereit. Die Sasser-Würmer kommen nicht via E-Mail ins Haus, sondern verbreiten sich ähnlich wie Blaster/Lovsan direkt übers Netz. Sie nutzen dazu einen Fehler in einem standardmäßig aktiven Windows-Dienst. Es genügt somit, einen ungepatchten Rechner ohne Firewall ans Internet anzuschließen, um sich Sasser einzufangen. Das Internet Storm Center registriert seit dem Wochenende eine signifikante Zunahme der Scans auf Port 445, den die Schädlinge nutzen, um neue Opfer zu infizieren. Anwender von Windows XP können zum Schutz die eingebaute Firewall aktivieren. Normalerweise sollte diese ohnehin für DFÜ-Verbindungen aktiviert sein, allerdings hebelt die Zugangssoftware einiger Provider diese Standardeinstellung aus, in dem sie eigene Verbindungen definiert. Im Zweifel sollte der Provider beziehungsweise Hersteller zu Rate gezogen werden. Anwender von Windows 2000 sollten sich eine Personal Firewall installieren. Kostenlose Versionen stellen unter anderem Kerio und ZoneLabs bereit. Obwohl Sasser an vernünftig konfigurierten Firewall scheitern sollte, lehrt die Erfahrung mit Blaster, dass die Würmer beispielsweise über infizierte Notebooks auch Zugang zu internen Firmennetzen finden werden und dort dann ungehindert unter den oftmals ungepatchten Arbeitsplatzrechnern wüten. Umsichtige Netzwerk-Adminstratoren können vorbeugend mit dem Tool DSScan ihr Netz auf verwundbare Systeme scannen. Findet das kostenlose Programm von Foundstone einen ungepatchten Rechner, kann der Admin dem Anwender auch gleich ein einen passenden Hinweis schicken. Sasser.A,.B und .C versuchen zwar auch andere Systeme anzugreifen, sind aber nur bei Windows 2000 und XP erfolgreich. Die Meldung, der Computer würde nun heruntergefahren, ist ein Indiz für einen fehlgeschlagenen Versuch des Wurms in den PC einzudringen. Allerdings ist die Wahrscheinlichkeit sehr hoch, dass der PC trotzdem bereits infiziert ist. quelle: http://www.heise.de/newsticker/meldung/47063 patch von Microsoft: http://www.microsoft.com/germany/ms/...inMS04-011.htm Bereinigungstool: http://securityresponse.symantec.com...oval.tool.html oder http://www.trendmicro.com/download/dcs.asp kostenlose firewall: http://www.kerio.com/kpf_download.html http://www.zonelabs.com/store/conten...id=zadb_zadown (gibt es auch auf deutsch) kostenloser Viren schutz http://www.free-av.de/ direktlink zum download http://www.free-av.de/personal/de/avwinsfx.exe also schützt eure systeme, ladet euch den patch runter und installiert eine firewall und eine anti virus software (und updated diese auch regelmässig!) Thorsten. p.s. microsoft verschickt niemals patche per email! solltet ihr mal so eine mail bekommen ist sie ein fake/virus/trojaner. MS Patche gibt es NUR auf der Microsoft Homepage zum download! __________________ webDesign 4 a new generation: [ derBauer • B:Traxx - Special Audio Effects CD by derBauer - Out now! • Flash4All ]

03-05-2004, 17:18	#2 (permalink)
marc flashforum Registriert seit: Jun 2001 Ort: krefeld Beiträge: 13.866	Übrigens auch schon hier seit einigen Tagen diskutiert: Wurm Sasser.A __________________ Wo sonst? Twitter • Flickr • XING • Facebook beyond tellerrand [ Wo findet ihr mich noch: twitter • dribbble • zootool • google+ • facebook • marc.thiele • spoiler.web ]

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln