Hallo,
Irish schrieb:
Sobald die Meldung angezeigt wird, dass der PC heruntergefahren wird, ist der Rechner eindeutig infiziert.
Meines Wissens kann LSASS auch bei einem Angriffsversuch so durcheinander kommen, dass sich der PC herunterfahren will. Was man dagegen tun kann, wenn man gerade dabei ist, ein AV-Programm oder eine Firewall herunterzuladen, kann man hier mit bunten Bildchen anschauen:
Die Angriffe z.B. an meiner Firewall sind ca. 5 pro Stunde, also theoretisch kriegt man den Wurm nach 12 Minuten.
Das alleinige Besorgen und Ausführen eines Wurm-Entfernungs-Tools hält dann auch nur bis zum nächsten Angriff. Vergleichbar mit dem Gebrauch eines Handtuchs bei Regen, um sich abzutrocknen ... man wird gleich wieder naß, da es weiter regnet. Sinnvoller wäre ein Schutz, der den Regen abhält - oder man muß da bleiben, wo der Regen nicht hinkann (außerhalb von Internet und allen anderen Netzwerken).
Irish schrieb:
Mit einem Doppelklick auf die Uhr in der Taskleiste (rechts unten) kommt Ihr in das Datums/Zeit -Fenster. wenn Ihr jetzt das Datum um einen Tag zurück setzt sollte der Counter 24h anzeigen.
Ja... soweit richtig... aber der Wurm steht doch im RUN-Eintrag in der Registry?
Irish schrieb:
Das verhindert ein erneutes ausführen des Wurmes beim erneuten Systemstart.
nein, das kann so nicht klappen. Der Wurm hat keine Zeitfunktion.
Auszug aus der Analyse von Symantec, das ist Sasser.D - aber vom Prinzip her funktioneren alle so, auch schon der Blaster-Wurm:
# Copies itself as %Windir%\skynetave.exe.
Note: %Windir% is a variable. The worm locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
# Adds the value:
"skynetave.exe"="%Windir%\skynetave.exe"
to the registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Das bedeutet, dass bei jedem Systemstart, egal wie die Systemuhr steht, der Run-Eintrag aus der Registry gelesen und gestartet wird. Darin wird die Wurmdatei, im Falle von Sasser.D also die Datei "skynetave.exe" ausgeführt.