Blau-Weiss Forum

[Tomlafit]

So nachdem dieser neue Wurm doch schlimmere Ausmaße als erwartet angenommen hat hier nocheinmal ein paar Infos hierzu:

Netzwerk-Wurm Sasser
Maßnahmen zu Schutz und Entfernung

Seit der Nacht vom 30.04. zum 01.05. verbreitet sich der Windows Netzwerkwurm Sasser zunehmend stark. Er ist inzwischen in den vier Varianten a bis d im Umlauf (Stand: 03.05., 20 Uhr).


Betroffene Systeme:

Windows 2000, Windows XP, Windows Server 2003

Nicht betroffen:

Windows 95, Windows 98, Windows ME, Windows NT 4.0


A.) Symptome:

a.) Bei allen Varianten:
Es erscheint eine Meldung, dass das System heruntergefahren werden muss ("System herunterfahren"). Dies kann auch geschehen, ohne dass später eine Wurmdatei auf dem System gefunden wird!
Ggf. wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung".
Oder: "LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden".
Sasser nutzt die AbortSystemShutdown-API, um Versuche zu unterbinden, das System herunterzufahren oder neu zu starten.

b.) Unterschiedlich, je nach Wurmvariante:
Sasser.a
Folgende Dateien werden erzeugt:
avserve.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht;
win.log im Rootverzeichnis (C, also C:\win.log;

In die Registry erfolgt dieser Eintrag:
Pfad zur avserve.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Sasser.b
Folgende Dateien werden erzeugt:
avserve2.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht;
win2.log im Rootverzeichnis (C, also C:\win.log;

In die Registry erfolgt dieser Eintrag:
Pfad zur avserve2.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Sasser.c
Siehe Sasser.b. Die bestehenden Unterschiede sind an dieser Stelle (hinsichtl. Schutz und Entfernung) nicht relevant.


Sasser.d
Folgende Dateien werden erzeugt:
skynetave.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
win2.log im Rootverzeichnis (C, also C:\win.log;
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht;

In die Registry erfolgt dieser Eintrag:
Pfad zur skynetave.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


B.) Ursache:

Dieser Wurm gelangt über eine Sicherheitslücke in Windows im "Local Security Authority Subsystem Service" (LSASS) auf nicht gepatchte Systeme, das heißt auf Systeme, für die diese Sicherheitsupdates von Mitte April 2004 nicht installiert wurden. Achtung! Die Datei lsass.exe selbst ist nicht der Wurm. Es handelt sich dabei um eine Windows Systemdatei!

Für eine Infektion reicht - unter obiger Voraussetzung - also bereits das bloße Herstellen einer Internetverbindung aus! Allerdings muss nicht zwangsläufig jede lsass-Fehlermeldung auf eine erfolgte Installation des Wurmes hindeuten - auch ein fehlgeschlagener Installationsversuch kann derartige Meldungen zur Folge haben. Ob nun eine wurmtypische Datei auf dem System entdeckt werden kann oder nicht - auf den fehlenden Patch sind diese Probleme in jedem Fall ein Hinweis.

Hier die Patches (Deutsche Versionen) zum Direktdownload für die beiden gängigsten Betriebssysteme Windows 2000 und Windows XP:

Patch für Windows 2000
Patch für Windows XP


C.) Vorgehen beim Auftreten der Symptome:

Ein durch den Wurm verursachter Systemshutdown kann wie folgt abgebrochen werden: Start, Ausführen aufrufen, dort shutdown -a eingeben und Enter drücken.
Den passenden Patch für das Betriebssystem laden (siehe oben).
Dieses Entfernungstool von NAI für Sasser.a, .b und .c, oder SASSGUI von Sophos für Sasser.a, .b und .d laden.
Die Internetverbindung beenden.
Das Entfernungstool ausführen (dazu die Datei stinger.exe bzw. sassgui.com doppelklicken). Zudem bitte die Hinweise zur manuellen Entfernung unter C.) 8. und C.) 9. auf dieser Seite beachten, sowie die wichtigen Hinweise zum Neuaufsetzen des Systems nach einer Kompromittierung durch Schadsoftware!
Windows im abgesicherten Modus neu starten.
Für Windows XP: Systemwiederherstellung deaktivieren. Dieser Schritt entfällt bei Windows 2000.
Trotzdem das Entfernungstool bereits ausgeführt wurde, empfehle ich dennoch: Auf dem System nach den oben erwähnten Dateien avserve.exe, avserve2.exe, skynetave.exe, win.log bzw. win2.log sowie xxxxx_up.exe suchen und diese, falls sie gefunden werden, löschen.
Hinweis: Eine Suche nach xxxx_up.exe erfolgt in Windows über die Sucheingabe: *_up.exe. Das kleine Sternchen ersetzt also die zufällig generierten Zahlen.)
Falls sich avserve.exe, avserve2.exe oder skynetave.exe nicht löschen lassen, muss zuvor mittels Strg + Alt + Entf der Taskmanager aufgerufen werden. Dort kann man diese Prozesse markieren und beenden, um die Dateien anschließend per Hand aus dem Windows-Ordner herauszulöschen.
Die Registry-Einträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, die auf avserve.exe, avserve2.exe oder skynetave.exe verweisen, müssen ebenfalls gelöscht werden. Dies ist z.B. mit HijackThis komfortabel möglich. HijackThis ist dazu gemäß Anleitung auszuführen, dann wird der entsprechenden Registry-Eintrag markiert und mittels "Fix checked" entfernt.
Nun die Patchdatei Windows2000-KB835732-x86-DEU.EXE (für Windows 2000) bzw. WindowsXP-KB835732-x86-DEU.EXE (für Windows XP) ausführen (doppelklicken), um dem Patch zu installieren.
Windows neu starten.
Dienste sicher konfigurieren gemäß Anleitung auf http://www.ntsvcfg.de, wobei ein Script zur Verfügung steht, welches einen Großteil der Konfigurationsarbeit übernimmt - der Rest muss von Hand erledigt werden. Wie das geht, ist auf der Seite erläutert.
Ins Internet einwählen und sofort http://windowsupdate.microsoft.com aufsuchen, um alle weiteren aktuellen Patches zu installieren.


D.) Wichtige Hinweise:

Mit Hilfe der erläuterten Maßnahmen können der offensichtliche Wurm entfernt sowie die Sicherheitslücke geschlossen werden, über die sich dieser Wurm verbreitet.

Das heißt aber ausdrücklich nicht, dass damit ein sauberes System sichergestellt ist, denn eine Systemkompromittierung, also ein Befall mit einem Wurm oder einer anderen Schadsoftware sollte immer ein Neuaufsetzen des Systems nach sich ziehen. Nur auf diese Weise ist wieder ein vertrauenswürdiges System zu gewährleisten, mit dem man auch beruhigt arbeiten kann.

Allerdings müssen dann vor der ersten Internetverbindung die hier erläuterten Absicherungsmaßnahmen getroffen werden. Heißt also: Einspielen von Service-Packs und Patches, Konfigurieren der Dienste gemäß http://www.ntsvcfg.de.

Des Weiteren ist im Allgemeinen das stete Aktuellhalten des Betriebssystems, also auch das Versorgen mit wichtigen Sicherheitsupdates ein Muss für jeden Internetnutzer. Alle 14 Tage sollte z.B. über einen Besuch der Seite http://windowsupdate.microsoft.com geprüft werden, ob neue Patches zur Verfügung stehen. Weitere Updatemöglichkeiten:


Kostenfreie Update-CD von Microsoft zum Aufspielen grundlegender großer Update-Pakete (der Rest muss allerdings weiterhin über das Internet nachgeladen werden).
Diese großen Update-Pakete finden sich auch auf einigen Zeitschriften-CD's. Hier gilt ebenso: die aktuellsten Patches sind aus dem Internet nachzuladen.
Aktivieren des Windows Auto-Updates.



--------------------------------------------------------------------------------

Quelle: http://sasser.klaffke.de

P.S.: An zu merken wäre noch das jeder, wie schon der Dominik in seiner Mail an Euch gesagt hat, immer eine aktuelle Antivirensoftware + Ad-ware + Firewall auf seinem PC hat und wöchentlich mal schaut ob es neue Windowsupdates (Im Internetexplorer -> Extras -> Windowsupdate) gibt.
_________________
Gruß Tomlafit

[Dominik]

[Tomlafit]

So es gibt wieder einmal updates von Microsoft, diesmal ist aber hauptsächlich Win XP betroffen:

12.05.2004 | 08:58 | eb
Windows Security Bulletin für Mai 2004

Die Redmonder haben den Windows Security Bulletin für den Monat Mai veröffentlicht. Darin warnt der Softwaregigant vor einer Lücke im Help und Support Center.

Konkret betroffen ist die Art und Weise, wie das Help und Support Center mit der Validierung von "HCP URLs" umgeht. Ein Angreifer könnte eine HCP URL konstruieren und - über eine präparierte Website - schlussendlich Kontrolle über das System eines Anwenders erlangen. Die Ausnutzung der Sicherheitslücke erfordere allerdings "signifikante Interaktion" seitens des Anwenders, so Microsoft.

Betroffen von der Lücke sind:


Windows XP und Windows XP Service Pack 1
Windows XP 64-Bit Edition Service Pack 1
Windows XP 64-Bit Edition Version 2003
Windows Server 2003
Windows Server 2003 64-Bit Edition

Der Patch-Download für Windows XP (mit SP1) beträgt rund 800 Kilobyte. Weitere Details dazu finden Sie im Microsoft Security Bulletin MS04-015 .

Quelle: http://www.pc-welt.de


Also updaten und nicht wieder warten bis ein Wurm die Sicherheitslücke ausnutzt
_________________
Gruß Tomlafit

[Tomlafit]

Patch Day bei Microsoft:

Es gibt mal wieder updates von Microsoft.

Entweder hier: http://windowsupdate.microsoft.com oder im Internet Explorer ---> EXTRAS -> Windowsupdate ausführen.
_________________
Gruß Tomlafit