Wurm "Sasser" verbreitet sich rasch - Verbreitung ohne email

  • Andreas
03.05.2004 11:17
Informationen zum Schutz vor Sasser

Der am Wochendende aufgetauchte Wurm Sasser hat schon Geschwister bekommen: Sasser.B ist deutlich aktiver als sein Vorgänger; Symantec hat ihn bereits in die Bedrohungsstufe 4 eingeordnet. Auch die Variante Sasser.C ist schon vereinzelt gesichtet worden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits seit Sonntag vor der akuten Bedrohung, auch Microsoft hat eine Warnung vor den Sasser-Würmern veröffentlicht und gibt Tips zum Schutz. Wie bei allen Bedrohungen durch Internetwürmer gilt auch hier der Dreisatz der Sicherheit: Patch einspielen, Firewall aktivieren und dem Wurm mit Reinigungs-Tools zu Leibe rücken. Außer Microsoft stellen auch Symantec (W32.Sasser Removal Tool), NAI (Stinger) und Trend Micro (System Cleaner) Sasser-Entfernungsprogramme bereit.

Die Sasser-Würmer kommen nicht via E-Mail ins Haus, sondern verbreiten sich ähnlich wie Blaster/Lovsan direkt übers Netz. Sie nutzen dazu einen Fehler in einem standardmäßig aktiven Windows-Dienst. Es genügt somit, einen ungepatchten Rechner ohne Firewall ans Internet anzuschließen, um sich Sasser einzufangen. Das Internet Storm Center registriert seit dem Wochenende eine signifikante Zunahme der Scans auf Port 445, den die Schädlinge nutzen, um neue Opfer zu infizieren.

Anwender von Windows XP können zum Schutz die eingebaute Firewall aktivieren. Normalerweise sollte diese ohnehin für DFÜ-Verbindungen aktiviert sein, allerdings hebelt die Zugangssoftware einiger Provider diese Standardeinstellung aus, in dem sie eigene Verbindungen definiert. Im Zweifel sollte der Provider beziehungsweise Hersteller zu Rate gezogen werden. Anwender von Windows 2000 sollten sich eine Personal Firewall installieren. Kostenlose Versionen stellen unter anderem Kerio und ZoneLabs bereit.

Obwohl Sasser an vernünftig konfigurierten Firewall scheitern sollte, lehrt die Erfahrung mit Blaster, dass die Würmer beispielsweise über infizierte Notebooks auch Zugang zu internen Firmennetzen finden werden und dort dann ungehindert unter den oftmals ungepatchten Arbeitsplatzrechnern wüten. Umsichtige Netzwerk-Adminstratoren können vorbeugend mit dem Tool DSScan ihr Netz auf verwundbare Systeme scannen. Findet das kostenlose Programm von Foundstone einen ungepatchten Rechner, kann der Admin dem Anwender auch gleich ein einen passenden Hinweis schicken.

Sasser.A,.B und .C versuchen zwar auch andere Systeme anzugreifen, sind aber nur bei Windows 2000 und XP erfolgreich. Die Meldung, der Computer würde nun heruntergefahren, ist ein Indiz für einen fehlgeschlagenen Versuch des Wurms in den PC einzudringen. Allerdings ist die Wahrscheinlichkeit sehr hoch, dass der PC trotzdem bereits infiziert ist.

Siehe dazu auch:

* BSI-Warnung zu Sasser
* Beschreibung Sasser.B von Symantec

 
  • SaSa22
  • #Anzeige
Hi Andreas :hallo: ... hast du hier schon mal geguckt?
  • Xana
Habs gemerkt, seit heut Mittag wurde hier alles stillgelegt aus Sicherheitsgründen.
Einige hatten den Virus auf dem Rechner, sie haben den Rechner, nachdem er von selbst heruntergefahren ist immer wieder schön brav eingeschaltet :D

Telekom und Siemens (Nürnberg) hats auch getroffen bzw. haben zur Sicherheit alles runtergefahren.
 
  • berny
jaja die aegschbaerden bei siemens und die telekomiker
/me feixt sich eins
 
  • Marion
Was macht man denn dann, wenn der Rechner von selber runterfährt, wenn nicht wieder einschalten??

Da bin ich wieder mal froh, daß ich noch Win 98 habe... ;)
 
  • Dobi
Und ich ne Firewall und heute neue Virensignaturen runtergeladen habe. Dazu kommt Go Back und alle Viren der Welt können mich mal kreuzweise :D
 
  • Andreas
Marion schrieb:
Was macht man denn dann, wenn der Rechner von selber runterfährt, wenn nicht wieder einschalten??


Tja...
erst ne Lösung suchen, dann wieder einschalten. Also einschalten dann nur OHNE Netzwerkkabel, OHNE DFÜ-Verbindungs-Anschluß (Modem-/ISDN-Kabel rausziehen) und dann eine Firewall von CD oder Diskette aufspielen.

Wenn XP runterfahren will, hilft der selbe Trick wie damals beim Blasterwurm:
shutdown -a

Näheres:


Und wer noch immer keine Firewall hat, hier noch mal die Empfehlung:

Kerio Personal Firewall Version 4 (4.0.11 oder so ist aktuell)
Allerdings dürfte der Server im Moment viel zu tun haben :eg:
 
  • Amy
Mein Trend-Micro hats mir schon erzählt! :D

Aber nix mehr mit surfen auffe Arbeit *schmoll*...
 
  • Marion
Ist Kerio besser als Zonealarm?
 
  • Alexis
...ich hab' Sygate. Hoffentlich hilfts...

Alexis
 
  • Marion
*hrmpf*

Echt so schlecht? *besorgt*
 
  • Andreas
Ich kenne Zonealarm nicht wirklich. Sicherlich kann man auch dort vernünftige Einstellungen vornehmen, aber ich weiß nicht, wie die Standardeinstellung ist und ob die Bedienung derart ist, dass man sichere Einstellungen unkopliziert hinbekommt.

Kerio ist leider nur auf englisch erhältlich (für einige User ein K.O.-Argument), hat aber die m.E. einzig richtige Taktik: Nämlich alles zu verbieten, was nicht ausdrücklich erlaubt ist. Das bedeutet in den ersten Nutzungsstunden einen erheblichen Konfigurationsaufwand, man wird sicherlich an die 50-100 mal gefragt, ob man jenem Programm X erlauben will, über Port Y mit der Gegenstelle Z zu kommunizieren.

Auf der anderen Seite steht die Sicherheit, dass kein unbekanntes Programm auf einem "vergessenen" Port ungewollt irgendwas macht.

So habe ja beispielsweise den Maustreiber "point32.exe" dabei erwischt, wie er nach hause zu Microsoft telefonieren wollte. Das sind dann Highlights, wo man sich freut, eine Firewall zu haben, die immer fragt und meckert.

Die neuere 4er-version hat gegenüber der 2er-Version noch den Vorteil, dass auch Starts von (zweiten) Programmen durch Programme angezeigt und genehmigungspflichtig abgefragt werden, sowie die Ersetzung von Programmen durch andere Programme mit dem selben Namen angemeckert wird. Weiterhin kann Kerio 4 Werbebanner auf Internetseiten ausfiltern.
 
  • DeadDog1
..nicht alleine auf die Firewall verlassen. Auch die Patches von Micro&Soft (Weichspüler bei Wal-Mart) herunterladen und installieren !!! wenn W2K oder XP auf Rechner ist.

:hallo:
M.
 
  • berny
dieses ganze "wollen sie dem programm blabla erlauben auf port xxx zu zugreifen" ist ein krankes konzept. spaetestens nach der 10. frage wird der genervte benutzer immer auf "ja" klicken (meist eher) weil es wenigen etwas sagt, dass z.b. pointer32.exe irgendwohin will. alles wo man mit einem klick auf "JA" die konfiguration aendern kann erfuellt keine wirkliche sicherheitsfunktion.
 
  • Tanja021
Habe gestern nach 3 Wochen wieder mal einen Viren Check gemacht nachdem ich das gelesen habe!Bin da immer sehr nachlässig,weils mich nervt wenn der Norton arbeitet :rolleyes:

Und das Ergebniss waren 19 gefundene Viren :sauer: In Zukunft werde ich das Prog.wöchentlich laufen lassen,wie es auch sein sollte
 
  • Lucie
:eg: wir hatten gestern deutschlandweit Störungen im KBS System, d.h. Aus- und Einzahlungen, Western Union Geldtransfer funktionierten nicht, wir wunderten uns schon warum das den ganzen Tag keiner auf die Reihe bekam :rolleyes: , heute kam eine Meldung daß es eben an dem Wurm gelegen haben soll
 
  • Einhorn
Ich hab ihn, weiß wer , wo es ein Tool gibt, um ihn wieder rauszuschmeißen ?

:sauer: , grad auf'm PC alles neu gemacht, und einmal ins Inet um ne Firewall runterzuladen, Kacke !

Danke und Gruß - das Einhorn
 
  • Andreas
Einhorn schrieb:
Ich hab ihn, weiß wer , wo es ein Tool gibt, um ihn wieder rauszuschmeißen ?

Symantec Entfernungs-Tool:


NAI Tool:


Trend Micro (System Cleaner) Sasser-Entfernungsprogramm:


Microsoft Reinigungs-Tool


alle ungestestet, da ich ihn nicht habe...

Vor dem Microsoft-Teil wird gewarnt:
und dann funktionieren plötzlich keine wmf und emf mehr...
barbex (4. Mai 2004 14:44)

Ganz grossartige Arbeit von Microsoft!

Standard- (von Microsoft eingeführte) Grafikformate funktionieren
nach einspielen von Patch 835732 nicht mehr. Wer das Patch schon
eingespielt kann das gerne mal ausprobieren, irgendwo ein WMF
einfügen und mal sehen, wie es dann aussieht. Für Microsoft scheint
das ja kein Problem zu sein, dass tausende von Anwendungen jetzt
nicht mehr funktionieren.

Lösung steht immernoch aus.

Ärger.

Irgendwie hab ich auch nichts anderes erwartet.
Erst Betrübsysteme mit scheunentorgroßen Sicherheitslöchern rausbringen, dann die Löcher mit Silikon zuschmieren und sich wundern, dass der "Reparaturversuch" zu weiteren Fehlern führt. :uhh:
 
  • Dobi
Ich hab ihn definitiv nicht. :D
 
  • Andreas
Dobi schrieb:
Ich hab ihn definitiv nicht. :D

;)
Glückwunsch!
T-Online hat wohl DNS-Probleme, die nicht mit Sasser zu tun haben (siehe unten)

Es ist oft so, dass die größten Schäden im Zusammenhang mit Schadsoftware durch hysterische Anwender-Reaktionen entsteht.

Beispielsweise beim Auftreten eines Bootsektorvirus wird Windows von der Recovery-CD neu installiert. "Erfolg": Alle Windowseinstellungen sind weg, alle auf der Windows-Partition gespeicherten Daten (Briefe, Bilder, Musik, ..) sind weg und der Bootsektorvirus ist immer noch drauf :eg:

Laut Pressemeldungen von heute soll die Postbank die Sicherheitseinstellung so hoch geschraubt haben, dass sogar die Postbankprogramme nicht mehr liefen :)

Die Hannoversche 'Neue Presse' berichtete heute über sehr lange Warteschlangen:


Der Spiegel schreibt recht gut was dazu:
SASSER-SCHADENSBILANZ

Virenwelle versenkt Küstenwache

Am fünften Tag der Sasser-Virenwelle zeichnet sich ab, dass das tückische Virus nicht überschätzt wurde: Weltweit häufen sich die Schadensmeldungen. Großbritanniens Küstenwache, berichtet die BBC, arbeitet wieder mit "Papier und Bleistift". Das aus T-On- ein T-Offline geworden sei, ist aber nicht mehr als ein Gerücht.

Überrollt: Auch die britische Küstenwache ließ sich von Sasser erwischen
Im Laufe des Vormittags häuften sich die Hinweise: "Schaun Sie doch mal bei T-Online rein, da geht nichts mehr!"

Das stimmt so nicht: Probleme hat T-Online allenfalls in bestimmten Regionen - was aber wohl nichts mit dem aktuellen Sasser-Virus zu tun. Ein Blick in die T-Online-Kundenforen zeigt, dass Deutschlands Großprovider seit mehreren Monaten Probleme mit seinen DNS-Servern hat. Zeitweilig scheinen ganze Städte und Regionen vom Netz genommen. Nachfragen waren heute nur per Trommel oder Brieftaube möglich, denn bei T-Online glühen die Drähte, natürlich wegen Sasser. Wer das Glück hat, durchzukommen, bekommt bei den Service-Lines eine aktuelle Virenmeldung vom Band.

Denn die Angst vor dem PC-Virus geht um, wie schon seit "Loveletter" nicht mehr.

Und wirklich: Anders als bei allen anderen, auch zur Zeit noch weit stärker verbreiteten Viren der letzten Monate häufen sich die Schadensmeldungen. Dass die Postbank von Sasser stillgelegt worden sei, dementiert diese allerdings heftig: Alles habe funktioniert, wenn auch mit erheblichen Einschränkungen. Die sahen so aus: Statt über PC-Terminals lief die Abwicklung von Auszahlungen über eine Telefon-Hotline, was gewisse "Wartezeiten" verursacht habe.

Die Höhe der Auszahlungen, sagt Post-Sprecher Jürgen Blohm, sei am Schalter auf 500 Euro beschränkt worden. Die "Offline-Bearbeitung" von Kundenwünschen dauere noch an, da die verschärften Sicherheitsstandards noch in Kraft seien. Die Notwendigkeit würde aber "im Laufe des Dienstags" überprüft.

Die steht nach Meinung seiner Kollegin Sylvia Blesing außer Frage: "Lieber zwei Tage offline als Eindringlinge im System". Die Post, sagte sie dem Web-Nachrichtendienst de.internet.com, habe ein "sehr ausgeklügeltes Schutzsystem, was gegriffen" habe. Es wurden "keine Daten mehr reingelassen".

Verantwortlich für das Chaos war also eigentlich nicht Sasser, sondern die Furcht davor: Die Postbank-EDV-Verantwortlichen hatten die Sicherheitseinstellungen so hoch geschraubt, dass im internen Netz fast nichts mehr ging....

 
Wenn dir die Beiträge zum Thema „Wurm "Sasser" verbreitet sich rasch - Verbreitung ohne email“ in der Kategorie „Technik-Ecke“ gefallen haben, du noch Fragen hast oder Ergänzungen machen möchtest, mach doch einfach bei uns mit und melde dich kostenlos und unverbindlich an: Registrierte Mitglieder genießen u. a. die folgenden Vorteile:
  • kostenlose Mitgliedschaft in einer seit 1999 bestehenden Community
  • schnelle Hilfe bei Problemen und direkter Austausch mit tausenden Mitgliedern
  • neue Fragen stellen oder Diskussionen starten
  • Alben erstellen, Bilder und Videos hochladen und teilen
  • Anzeige von Profilen, Benutzerbildern, Signaturen und Dateianhängen (z.B. Bilder, PDFs, usw.)
  • Nutzung der foreneigenen „Schnackbox“ (Chat)
  • deutlich weniger Werbung
  • und vieles mehr ...
Oben Unten