Win32/Sasser.A: So schnell reagierten die AV-Hersteller

Beim Lesen des Artikels könnte man den Eindruck bekommen, daß man mit einem Antiviren-Programm gegen den Wurm geschützt wäre. Dies stimmt jedoch nur ein ganz klein wenig! Da der Wurm eine Sicherheitslücke in Windows ausnutzt, kann kein Antivirus Programm der Welt etwas gegen die Infektion unternehmen. Abgesehen davon wird der Rechner durch den Angriff instabil und stürzt leicht ab.
Daher muß jeder User der mit Windows am Netz hängt sofort die Updates von Microsoft einspielen, sonst nutzen 1000 Antiviren-Updates nichts! War ja beim Blaster genau so ...
Es kotzt mich sowieso an, daß die Antiviren-Hersteller Milliarden verdienen, wenn sie den Viren immer "hinter her putzen", anstatt eine präventive Lösung zu finden. Aber so lange MS nicht alle Sicherheitslücken stopfen will und kann, wird da weiterhin aufgrund von schlechtem Design ein riesiger Wirtschaftszweig genährt - auf Kosten der User.
Wobei die Antiviren-Hersteller ja nicht mal die einzigen sind, die da verdienen. Spammer nutzen die unzureichend gesicherten Rechner aus, um mit ihrem Werbemüll auch noch Geld zu verdienen - auf Kosten anderer! Wenn das so weiter geht, können sich die Leute bei MS die Hände schütteln, daß sie den Untergang des Internets herbeigeführt haben ... danke

 

Nur mal eine Frage von einem enaiVzvvEwdfDAU:

Wenn man nun z.B. AntiVir hat und nach 2.5., 14 Uhr (also nach A- und B-Update) ein Update gemacht hat - was bedeutet das?
- Dass direkt bei einer Infizierung AntiVir aufpoppt, warnt - inklusive dem Namen des Wurms? - und fragt, ob man diesen löschen will?
- Oder dass er ihn nur FINDET, wenn man selbst aktiv eine Suche startet, nachdem er PC schon infiziert ist?

Danke!

 

Das ist schlicht und ergreifend falsch!
Seit Windows 98SE / Windows NT 4.0 hast Du die Möglichkeit dazu eine Firewall zu nutzen. Nur wenn Du nicht weisst, wo sie ist, musst Du anderen nicht die Schuld daran geben.
98: Internetverbindungsfreigabe installieren -> Ergibt eine (nicht weiter konfigurierbare) Firewall
2000/NT4: Port/Protokollfilter für TCP+UDP, konfigurierbar
XP (ohne irgendein SP): Firewall per Kontrollkästchen, wer möchte, zusätzlich konfigurierbar wie schon in 2000/NT4

Ich will hier keine Linux<->MS Grundsatzdiskussion herbeirufen, aber die meisten Spam/DOS-Server sind zzt. Linux-Root-Server, die schlecht betreut werden (wurden...).
Ich hoffe auch, dass Du als "Experte", wie Du Dich später nennst, die verschiedenen Updates deines Linux-Kernels gemacht hast, die dieses Jahr schon rauskamen?

Leider muss ich Dich enttäuschen: Solche Rückrufaktionen werden lediglich gestartet, wenn die Rechtsabteilung zum Ergebniss kommt, dass folgende Schadensersatzklagen wegen aus dem Fehler rührenden Todesfällen höher ist, als die Kosten für die Rückrufaktion.
Von "müssen die das öffentlich kundtun", kann keine Rede sein.

Über was Medien berichten, und über was nicht, das ist in der Hand der Medien, nicht der Hersteller.
Bei MS kannst Du Dich überigens per Mail informieren lassen, wenn Sicherheitsprobleme erkannt werden - den Security-Newsletter von meinem Cora hab ich leider nicht gefunden ;-)

Fazit:
Wenn Du schon so schimpfst, dann informier' Dich mal vorher richtig.

Gruß,
Matschek

 

BRAVO!
Genau DAS meinte ich mit Zerstörung des Internets und der Freiheiten. Das was auf der Straße mehr oder weniger selbstverständlich ist (sich anonym zu bewegen), soll meiner Meinung nach auch im Internet so bleiben! Die IP-Adresse zusammen mit Datum und Uhrzeit ist im Bedarfsfall Beweis genug um über den Provider ein Strafverfahren einleiten zu können. Das würde dem Auto-Kennzeichen entsprechen, das von sich alleine auch keine Rückschlüsse auf den Besitzer gibt (außer den Wohnort, und das kann man mit IP-Adressen per traceroute auch in etwa nachverfolgen).
Alles andere ist nur noch grenzenlose Überwachung!

 

Hallo,

es gibt sehr wohl eine 100ige Lösung: jeder der im Internet unterwegs ist, muß sich eindeutig identifizieren mit Ausweisnummer und Einwahlpunkt.
Damit könnte man alle Spam- und Virenschweine sofort vertreiben bzw. vom Internet ausschließen.
Darüber hinaus ist es richtig was oben verlangt wird: die Provider und Leitungsausbeuter wie die T-Ricke-AG müssen verpflichtet werden, alle Netzdurchsätze durch Spam- und Virenfilter laufen zu lassen.
Zudem könnte man positiv-Filter einführen, wer e-Mails mit einer Registrierung schickt, kann sicher sein, die landen nicht in einem Filter.

Gruß
Till

 

Und wie ist es mit den Computer-Anbietern? Die verkaufen doch auch Computer ohne integrierte Hardware-Firewall!

Soetwas kann doch auch in den Schulunterricht miteinfließen! Machen wir uns doch einmal bewusst, dass die Schule auf das spätere Leben vorbereiten soll. In wie weit wird das in der Praxis realisiert? Aus meiner Sicht kann die Schulbildung dem technischen Fortschritt nicht stand halten. Grundschulfächer wie der Sachkundeunterricht wären auch an den weiterführenden Schulen angebracht. Und das nicht alleine um kleine IT-Experten zu züchten! Viele Prozesse des Alltags könnten dort betrachtet und unterrichtet werden, sodass der Unterricht mehr Allgemeingültigkeit erfährt die uns allen in Form von mündigen und verantwortungsbewussten Bürgern zugute kommt.

Es verwundert mich ohnehin, dass der große rosa ISP noch nicht dazu hingegangen ist seine Einwahlknoten durch Firewalls für den Endnutzer abzudichten.

Mein Fazit: Die Frage nach der Verantwortlichkeit bleibt weiterhin offen. Letzten Endes liegt es an jedem selbst bzw. an den beteiligten Institutionen sich stärker für die Stabilität des Internets und der daran angeschlossenen Computer einzusetzen.

 

Der aber zum Unterschied zu den Autoupdates standardmäßig nicht aktiviert ist, wenn bei der Installation ein 56k-Modem erkannt wird....

Grüßli

WillyV

 

Solange niemand verpflichtend nachweisen muß, das er fähig ist, das Internet zu benutzen, muß der Hersteller von Zugangsprodukten das sicherstellen können. Hier hat MS versagt, und zwar gewaltigst!
Für mich persönlich wäre es allerdigns auch ein Ärgernis erster Güte, wenn ich irgendwem beweisen muß, das ich das Internet bedienen kann! (Vermutlich auch noch dafür zahlen muß, so wie bei einer Führerscheinprüfung oder so). Aber vermutlich wird es nicht anders gehen können :-(
Bzw. aufgrund der vielen Vorfälle werden ISPs irgendwann gezwungen sein, die Anschlüsse einzuschränken und selbst Filter-Maßnahmen einzuführen. Damit ist dem Internet und damit auch den Usern ein großer Freiheitsgrad genommen. Überwachung, Zensur und Einschränkung wird kommen. Es wird niemandem Spaß machen und es wird auch keiner bezahlen wollen (müssen tun wir trotzdem).
Und das meine ich mit "MS zerstört das Internet".

 

Gibt es eh schon - die "Automatischen Updates" zusammen mit dem "Intelligenten Hintergrund-Übertragungsdienst".

 

Firewall an ... ja, aber bis inkl. Win XP (ich glaub erst ab SPxx?) hat Microsoft es verabsäumt, eine funktionstüchtige Firewall zu integrieren. Dazu kommen offene Ports, die jetzt, einer nach dem anderen, für extreme Probleme verantwortlich sind. Unter Linux hab ich diese Probleme übrigens alle nicht, weil alles was unauthorisiert code ausführen kann eine Sicherheitslücke darstellt, aber bei MS ist das halt "Bequemlichkeit", die ihnen (oder uns allen!!) jetzt auf den Kopf fällt.

1.) Alle Ports zu machen per default
2.) Dinge die aus dem Internet kommen sind als 100% UNTRUSTED zu betrachten und müssen in eine Sandbox. ActiveX ist ein riesiges Scheunentor von Sicherheitslücken.
3.) Das exekutieren von Files die direkt aus dem Inet kommen ist verboten (mail-anhänge, etc.). Abspeichern und dann erst selber anklicken - nur so kann man dem halbwegs beikommen.

Es gibt jetzt schon einige Leute, die sagen "da scheiß ich doch drauf, wenn ich ständig aufpassen muß beim surfen und mir dialler einfange" oder "Meine email-box ist voller spam, ich schick jetzt keine mails mehr". Als Experte kann ich natürlich gegen beide Dinge was unternehmen (Anderer Browser, spam-filter einrichten, etc.). Aber als "unbedarfter user" hab ich mit dem was MS bietet nahezu _KEINE CHANCE_ mich "frei" im Inet zu bewegen. Im Gegenteil, zig-tausende Rechner werden als "Zombies" von Spammern mißbraucht, und das zu 99% wegen MS Sicherheitslücken.
Wenn man z.B. in der Auto-Industrie einen schweren Fehler bemerkt, wodurch andere gefährdet werden, müssen die das öffentlich kundtun und machen Rückruf-Aktionen.
Schwerst-kritische MS-Updates waren noch nie in den Medien. Die machen lieber Werbung, wie einfach doch Windows XP ist ... Hier gehört der Hersteller meines Erachtens zum Handeln gezwungen!

 

So schnell geht das Internet wohl nicht unter. Und ohne Microsoft würde es das ganze in der derzeitigen Form gar nicht geben.
Sehr wohl ist aber Microsoft gefordert, einfachere Wege zu finden, um zu den Patches zu gelangen. Sicher, bei der Installation von XP ist standardmäßig die Auto-Update-Funktion aktiviert, die eigentlich dafür sorgen könnte, dass Sasser & Co sich bei den Ports die Nasen anrennen.

Aber:
1. Bei Anwendern, die nur kurz mal Mails abholen und dann wieder aussteigen kann das schon mal aus zeitlichen Gründen nicht funktionieren.
2. Auch bei langsamen Verbindungen sind manche umfangreiche Patches problematisch.
3. Gibt es immer wieder sogenannte Experten, die sich das System der Tante Mitzi mal zur Brust nehmen und die Autoupdates ausschalten, weil "das eh nur eine Spionagefunktion von MS ist". Und dann sitzt die Tante vor der Kiste und wundert sich, dass jede Sicherheitslücke, von der im Fernsehen die Rede ist, bei ihr sperrangelweit offen steht. Was sie allerdings eh erst mitbekommt, wenn Ihr ein keines Fensterl sagt, dass der PC gleich ausgeschaltet wird....

Natürlich weiß jeder, der dieses Forum liest, wie man einen Patch installiert. Aber ein Anwender, der nur die Programme am Desktop kennt und den Start-Button nur zum Ausschalten verwendet?

Und auch wenn er den Knopf für das Systemupdate findet. Was dann? 200 MB Sicherheitsupdates runterladen? Eventuell mit einem 56k Modem?

Einen EDV-Techniker kommen lassen, der für seine 20-minütige verantwortungsvolle Tätigkeit allein 70 Euro Wegkosten verlangt?

Mit den derzeitigen Möglichkeiten ist es unrealistisch, zu erwarten, dass alle Systeme immer am Laufenden sind.

Ich weiß auch nicht, wie es gehen könnte, ist auch nicht mein Job, das rauszufinden. Vielleicht ein Downloadmanager, der mit dem Internet Explorer automatisch mitläuft und Updates auch über mehrere Sitzungen verteilt runterlädt. Oder so was. Hier wäre MS gefordert, was zu unternehmen.

Grüßli

WillyV

 

Denkanstoß:

Sind es wirklich die Leute von M$ die am Untergang des Internets schuld sind?
Oder sind es doch eher die unvorsichtigen User die sich den Müll von verantwortungslosen Viren-Programmierern einfangen und verbreiten?

BTW: Imho, das Internet geht nicht unter!

 

"Da der Wurm eine Sicherheitslücke in Windows ausnutzt, kann kein Antivirus Programm der Welt etwas gegen die Infektion unternehmen."

Naja, Firewall an, (aktualisierten) Virenscanner laufen lassen, schon ist das System wieder sauber. Den Patch sollte man dann natürlich auch noch einspielen. Erklär doch mal wie du vorgehst...


"Es kotzt mich sowieso an, daß die Antiviren-Hersteller Milliarden verdienen, wenn sie den Viren immer "hinter her putzen", anstatt eine präventive Lösung zu finden."

Du machst der Besatzung eines Notarztwagens doch auch keine Vorwürfe weil sie den Verkehrsunfall nicht im Vornherein verhindern. Erzähl doch mal was du für präventive Maßnahmen ergreifen würdest...


"Wenn das so weiter geht, können sich die Leute bei MS die Hände schütteln, daß sie den Untergang des Internets herbeigeführt haben ... "

no comment



gruß
Thad

 

@ bond7

Ja, danke für die Erklärung. Der Artikel bei Heise-Online beschreibt die Funktionsweise schon sehr gut, doch, imho, nicht ausreichend.

 

doch tut er, irgendwie "will" er sich ja beim nächsten bootstart wieder starten...also existiert er physisch auf dem speichermedium.

 

Ich habe gehört/gelesen, dass der Sasser sich nicht unbedingt auf die Platte kopiert. Das kann ich zwar nicht so ganz glauben, aber nachfragen, bevor ich Ammenmärchen verbreite, schadet ja nicht!

 

ich verstehe deine fragestellung nicht ganz....was meinst du?

 

Gibt's denn dann überhaupt die Möglichkeit, dass der Computer von Sasser angegriffen wurde, ohne dass sich dieser auf das System kopiert und dieses korrupiert? Bzw.: führt jeder Angriff gleich zum Exitus?

Dank und Gruß

Dominik

 

@Papst-Verehrer

"sasser" kommt wie du weisst von ganze alleine auf dein rechner drauf durch diese LSASS-lücke im netzwerk.
und das würmchen begrüsst den computer dann nicht nur durch eine schreibkopie auf der festplatte ... sasser führt einen konsequenten residenten prozess (auch im autorun) , wenn er auf der festplatte als avserve.exe (sasser.a) existiert.
und beim nächsten boot-start läd er sich wieder, dann jedoch von der festplatte.....damit dürfte die frage beantwortet sein .

 

Da muß ich gleich noch meinen Senf dazugeben.
Ich hatte heute bei einem Kunden ein Privatlaptop unter den Fingern, weil es nach seinen Angaben sehr langsam geworden war.
Er hatte Norman Virus Control incl. aktuellen Signaturen laufen lassen, das hat ca. 2 Stunden gedauert, wobei kein Virus gefunden wurde.
Ich habe Norman deinstalliert, neugestartet, AVG Free installiert. Schon während dem Neustart fand AVG einen *bot Virus. Nach der Anmeldung konnte der Realtime-Scanner nicht gestartet werden. Nach dem nächsten Neustart fand AVG Netsky.D. Ein manueller Scan brach nach ca. 5 Sekunden ab. Nach dem nächsten Neustart und dem Signaturupdate wurde der Realtimescanner gestartet und fand außerdem noch Sasser.
Danach habe ich manuell gescannt und es wurden 13 mit verschiedenen Viren infizierte Dateien gefunden.
Fazit:
1) Nicht immer muß ein kostenpflichtiges Programm besser als ein kostenloses sein.
2) Manche Realtime-scanner taugen, andere nicht, nach einer Infizierung würde ich mich nicht mehr auf das System verlassen.