W32 Sasser Beschreibung (Fehler lsass.exe-PC fährt nach 60 sek runter) und Entfernung

Da seit heute der W32 Sasser im Umlauf ist und schon mehrere Systeme infiziert hat, kopiere ich von TrendMicro eine Beschreibung und eine Entfernung hier rein.
Ich hoffe die Mod?s stellen den Thread nach oben.

Virentypus: Worm
Destruktiv: Nein
Aliase: W32/Sasser-A, Sasser, W32/Sasser.worm, Win32.Sasser.A, W32.Sasser.Worm
ab Pattern-File: 879
benötigte ScanEngine: 6.500

EMEA Medium
Overall Risk rating: Medium
Gemeldete Infektionen: Medium
Schadenspotential: High
Verbreitungspotential: High
Beschreibung:

Am 1.Mai 2004 um 4:15 AM (PST), haben die TrendLabs einen Yellow Alert ausgelöst, um die Ausbreitung dieser Malware einzudämmen. Berichte über Infektionen liegen bereits aus den USA vor.

Dieser Computerwurm nutzt die sog. "Windows LSASS Vulnerability", die einen Speicherüberlauf darstellt, der einem entfernten Nutzer ermöglicht Code auf dem befallenen System auszuführen und ihm vollen Systemzugriff ermöglicht. Details dieser Vulnerability kann man den folgenden Seiten entnehmen:

* MS04-011_MICROSOFT_WINDOWS
* Microsoft Security Bulletin MS04-011

Um sich zu verbreiten, durchsucht er das Netzwerk nach verwundbaren Systemen. Sobald er ein solches findet, versendet er ein präpariertes Datenpaket um so einen Speicherüberlauf bei der LSASS.EXE zu induzieren.

Er erstellt die Scriptdatei CMD.FTP, die Anweisungen für das befallene Sytsem enthält, eine Kopie der Malware per FTP (via Port 5554) von einem bereits infiziertem System herunterzuladen und lokal auszuführen.

Da diese Malware einen Speicherüberlauf in der Datei LSASS.EXE erzeugt, stürzt dieses Programm ab und fordert dadurch zu einem Neustart von Windows auf.

Wichtig:TREND MICRO empfiehlt dringend den Patch für die Windows LSASS vulnerability einzuspielen. Der Patch ist auf folgender Intenretseite erhältlich:

* Microsoft Security Bulletin MS04-011


Lösung

Identifying the Malware Program

Before proceeding to remove this malware, first identify the malware program.

Scan your system with TREND MICRO antivirus and NOTE all files detected as WORM_SASSER.A. To do this, TREND MICRO customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, TREND MICRO's free online virus scanner.

Terminating the Malware Program

This procedure terminates the running malware process from memory. You will need the name(s) of the file(s) detected earlier.

1. Open Windows Task Manager.
On Windows 95/98/ME systems, press
CTRL+ALT+DELETE
On Windows NT/2000/XP systems, press
CTRL+SHIFT+ESC, then click the Processes tab.
2. In the list of running programs*, locate the malware file or files detected earlier.
3. Select one of the detected files, then press either the End Task or the End Process button, depending on the version of Windows on your system.
4. Do the same for all detected malware files in the list of running processes.
5. To check if the malware process has been terminated, close Task Manager, and then open it again.
6. Close Task Manager.

Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing during startup.

1. Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter.
2. In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3. In the right panel, locate and delete the entry or entries:
avserve.exe = %Windows%\avserve.exe
4. Close Registry Editor.

NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.

Running TREND MICRO Antivirus

Scan your system with TREND MICRO antivirus and delete all files detected as WORM_SASSER.A. To do this, TREND MICRO customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, TREND MICRO?s free online virus scanner.

Applying Patches

Download the latest patches. Information on the vulnerability exploited by this malware and corresponding patch can be found at the following link:

Microsoft Security Bulletin MS04-011
Quelle: http://de.trendmicro-europe.com/con...id=58928&VName=WORM_SASSER.A&VSect=O#L%F6sung

 

@ kgmey
Du hast recht. Die von dir beschriebene Fehlermeldung war geradezu typisch für einen Blaster-Befall.

Warum du nach Formatieren, BS aufsetzen, MS-Firewall einschalten, patchen (unbedingt in dieser Reihenfolge) immer noch Probleme hast kann ich nicht nachvollziehen. Sind deine Medien sauber?

 

Das Audio-Control-panel ist mmsys? Schön, war vielleicht falsch, bis jetzt vermisse ich es nicht.

Aber ein Service Ordner, der NT-AUTORITÄT im Namen führt, ist ganz sicher nicht in Ordnung.
NT-AUTORITÄT führte nämlich immer zum Neustart, bis ich msblast.exe gekillt habe.

Also bleibt meine Frage: Wie weiter?

 

Leute, ich kann nicht mehr! War gerade nach dem Tipp von Wolfgang77 auf Eisenheim.de und hab mich durch die Bloggs gewühlt... wenn ich noch mehr lache, muß ich zum Arzt... zwei Fliegen mit einer Klappe: Köstlich amüsiert UND noch einen Haufen dazugelernt... ich weiß schon, was ich mache, wenn ich mal 2 Tage Urlaub hab: Mir die Rechner "meiner" User vorknöpfen und die Sicherheitstipps umsetzen.

MfG
Vimes

 

btw: am besten fand ich die Kommentare von "blech" - der Name ist Programm ! :p

 

Und...hats dir gefallen?

BTW:
Meine Serverlogs registrierten für den 1. Mai 41 Leute, die via Google & Co mit Suchbegriffen, die LSASS enthielten, auf meine Seiten kamen.

 

Auf "eisenheim.de" hält man natürlich zu der Sache auch kein Blatt vor den Mund und als Zugabe gibt es noch etwas "Halbnacktes" zum Feiertag, geschmückt mit dem Zitat:

Essen und Beischlaf sind die beiden großen Begierden des Mannes. [Konfuzius, chin. Phil. 551-479 v.Chr.]

1. Mai - Internationaler Deppen-Tag...
http://www.eisenheim.de/blog/blogger.html

 

Das war jetzt wohl der Link zum "Chip MT" oder habe ich da was falsch verstanden?

 

Habs mir gerade durchgelesen... "Jetzt versteckt man sich feige hinter einem Systemprozess"... das fand ich am besten...

MfG
Vimes

 

Habe mal in das Chip-Forum geschaut, da fallen sie um wie die Fliegen... da kugelt ihr euch weg.

Zitat:
http://www.chip.de/forum/thread.html?bwthreadid=631704

... ich habe das winXP service pack 1 und gerade ist die typische Meldung, dass der Computer Heruntergefahren werde, wieder gekommen! Gibt es eine Neuauflage von lovsan? Wenn ja, was kann ich machen, gibt es schon service pack2??? Wenn ja, kann ich das doch bestimmt unmöglich mit isdn runterladen(wegen der Zeit). Danke schonmal im Voraus!...

oder hier.. hat den Trojaner schon auf dem System.. erst dann kommt er auf die Idee die Firewall zu aktivieren, den Trojaner schaltet er im Autostart ab !:

Zitat:
Ebenso ! Hab mich gerade geärgert.
Jetzt versteckt man sich also feige hinter einem Systemprozess.
Ich hab mal den Autorun gesäubert und die Windows-Firewall aktiviert. Hoffentlich reicht das.
Ansonsten muß nun wohl wieder irgendein SecurityUpdate installiert werden. Hat jemand einen Ahung, welches das ist ?

 

Auzug aus der Warnung von "heise online":
Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Bedroht sind nicht gepatchte Windows-2000 und XP-Systeme.

QUELLE

mfg. dedie



edit: shit Herr Eisenheim war ein weng geschwinder!

 

Und GENAU das ist bei SASSER und war auch Blaster der Fall. Der Patch war VOR dem Wurm da. Subbi, Wolfgang. Ich danke dir.

 

habe die nicht dazugeschrieben, ist auch egal da man jede abstürzen lassen kann, war aber vielleicht NIS, das Ding ist ja total buggy

 

Hallo,

"PF abgestürzt ".... das ist aber nicht die BlackIce, welche PF stürzt ab ??.

 

Patches bestimmt nicht, aber schon Interessant
I-Net Einwahl -> PF abgestürzt -> die Meldung wie jetzt beim Sasser

 

Hallo dedie,

"Regelmäßige Updates" das ist eine relativ unsichere Methode und funktioniert nur wenn der Patch vor dem Virus/Wurm vorhanden ist und zur Verfügung steht.
Die Methode von Steele ist da schon wesentlich sicherer... wo kein Dienst läuft gibt es auch keine offenen Ports und somit keine Angriffsfläche.

 

@reneW
woher weisstn das?

 

Auch die neuesten Updates, übrigens ich bin nicht für PFs.

 

@ dedie

Steele hat aber Recht, die ersten Probleme tauchten schon vor paar Tagen auf und die Leute die da schrieben hatte alle eine PF

 

Regelmäßige Updates!