 |
|
 |
|
Et hät noch immer jut jejangen.
-- Konrad Adenauer, 5.1.1876 bis 19.4.1967, Nachdem er mit jener einen, notwendigen Stimme mehr - der eigenen - zum Bundeskanzler gewählt worden war
|
|
|
|
|
Massnahmen zu Schutz und Entfernung
Seit der Nacht vom 30.04. zum 01.05. verbreitet sich der Windows Netzwerkwurm
Sasser zunehmend stark. Er ist inzwischen in den
sechs Varianten a bis f im Umlauf (Stand: 11.05., 20 Uhr).
Betroffene Systeme:
Nicht betroffen:
A.) Symptome:
a.) Bei allen Varianten:
-
Es erscheint eine Meldung, dass das System heruntergefahren werden muss
("System herunterfahren"). Dies kann auch geschehen, ohne dass später eine Wurmdatei
auf dem System gefunden wird!
-
Ggf. wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung".
-
Oder: "LSA Shell (Export Version) hat einen Fehler ermittelt und musste
beendet werden".
-
Sasser nutzt die
AbortSystemShutdown-API, um Versuche zu unterbinden, das System herunterzufahren
oder neu zu starten.
b.) Unterschiedlich, je nach Wurmvariante:
-
Sasser.a
Folgende Dateien werden erzeugt:
avserve.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei
Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte
vier- oder fünfstellige Zahl steht;
win.log im Rootverzeichnis (C:), also C:win.log;
In die Registry erfolgt dieser Eintrag:
Pfad zur avserve.exe in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
-
Sasser.b
Folgende Dateien werden erzeugt:
avserve2.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows"
bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte
vier- oder fünfstellige Zahl steht;
win2.log im Rootverzeichnis (C:), also C:win2.log;
In die Registry erfolgt dieser Eintrag:
Pfad zur avserve2.exe in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
-
Sasser.c
Siehe Sasser.b. Die bestehenden Unterschiede sind an dieser Stelle (hinsichtl.
Schutz und Entfernung) nicht relevant.
-
Sasser.d
Folgende Dateien werden erzeugt:
skynetave.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows"
bei Windows XP);
win2.log im Rootverzeichnis (C:), also C:win2.log;
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte
vier- oder fünfstellige Zahl steht;
In die Registry erfolgt dieser Eintrag:
Pfad zur skynetave.exe in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
-
Sasser.e
Folgende Dateien werden erzeugt:
lsasss.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000
und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte
vier- oder fünfstellige Zahl steht;
ftplog.txt im Rootverzeichnis (C:), also C:ftplog.txt;
In die Registry erfolgt dieser Eintrag:
Pfad zur lsasss.exe in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
-
Sasser.f
Folgende Dateien werden erzeugt:
napatch.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei
Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte
vier- oder fünfstellige Zahl steht;
winlog2 im Rootverzeichnis (C:), also C:winlog2;
In die Registry erfolgt dieser Eintrag:
Pfad zur napatch.exe in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
B.) Ursache:
Dieser Wurm gelangt über eine Sicherheitslücke in Windows im "Local Security
Authority Subsystem Service" (LSASS) auf nicht gepatchte Systeme, das heisst
auf Systeme, für die
diese Sicherheitsupdates von Mitte April 2004 nicht installiert wurden.
Achtung! Die Datei lsass.exe selbst ist nicht der Wurm. Es
handelt sich dabei um eine Windows Systemdatei!
Für eine Infektion reicht - unter obiger Voraussetzung - also bereits das blosse
Herstellen einer Internetverbindung aus! Allerdings muss nicht zwangsläufig
jede lsass-Fehlermeldung auf eine erfolgte Installation des Wurmes hindeuten
- auch ein fehlgeschlagener Installationsversuch kann derartige Meldungen
zur Folge haben. Ob nun eine wurmtypische Datei auf dem System entdeckt werden
kann oder nicht - auf den fehlenden Patch sind diese Probleme in jedem Fall
ein Hinweis.
Hier die Patches (Deutsche Versionen) zum Direktdownload für die beiden gängigsten
Betriebssysteme Windows 2000 und Windows XP:
C.) Vorgehen beim Auftreten der Symptome:
-
Ein durch den Wurm verursachter Systemshutdown kann wie folgt abgebrochen
werden: Start, Ausführen aufrufen, dort shutdown -a eingeben und Enter
drücken.
-
Den passenden Patch für das Betriebssystem laden (siehe oben).
-
Ein passendes Entfernungstool laden:
-
SSRCLEAN
von Eset für Sasser.a bis .e
-
Stinger von
NAI für Sasser.a
bis .e
-
Antisasser-EN von
Bitdefender für Sasser.a bis .f
-
Die Internetverbindung beenden.
-
Das Entfernungstool ausführen (dazu die Datei SSRCLEAN.exe, stinger.exe
bzw. sassgui.com doppelklicken). Zudem bitte die Hinweise zur manuellen Entfernung
unter C.) 8. und C.) 9. auf dieser Seite beachten, sowie die wichtigen Hinweise
zum Neuaufsetzen des Systems nach einer Kompromittierung durch Schadsoftware!
-
Windows im
abgesicherten Modus neu starten.
-
Für Windows XP:
Systemwiederherstellung deaktivieren. Dieser Schritt entfällt bei Windows
2000.
-
Trotzdem das Entfernungstool bereits ausgeführt wurde, empfehle ich dennoch:
Auf dem System nach den oben erwähnten Dateien avserve.exe, avserve2.exe, skynetave.exe,
lsasss.exe, napatch.exe, win.log bzw. win2.log, ftplog.txt,
winlog2 sowie xxxxx_up.exe suchen und diese, falls sie gefunden werden, löschen.
Hinweis: Eine Suche nach xxxx_up.exe erfolgt in Windows über die Sucheingabe:
*_up.exe. Das kleine Sternchen ersetzt also die zufällig generierten Zahlen.)
Falls sich avserve.exe, avserve2.exe, skynetave.exe oder lsasss.exe
nicht löschen lassen, muss zuvor mittels Strg + Alt + Entf der Taskmanager aufgerufen
werden. Dort kann man diese Prozesse markieren und beenden, um die Dateien anschliessend
per Hand aus dem Windows-Ordner herauszulöschen.
-
Die Registry-Einträge unter HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,
die auf avserve.exe, avserve2.exe, skynetave.exe, lsasss.exe
oder napatch.exe verweisen, müssen ebenfalls gelöscht werden. Dies ist z.B.
mit HijackThis komfortabel
möglich. HijackThis ist dazu gemäss Anleitung auszuführen, dann wird der entsprechenden
Registry-Eintrag markiert und mittels "Fix checked" entfernt.
-
Nun die Patchdatei Windows2000-KB835732-x86-DEU.EXE (für Windows 2000) bzw.
WindowsXP-KB835732-x86-DEU.EXE (für Windows XP) ausführen (doppelklicken), um
dem Patch zu installieren.
-
Windows neu starten.
-
Dienste sicher konfigurieren gemäss Anleitung auf
http://www.ntsvcfg.de, wobei
ein Script zur
Verfügung steht, welches einen Grossteil der Konfigurationsarbeit übernimmt
- der Rest muss von Hand erledigt werden. Wie das geht, ist auf der Seite erläutert.
-
Ins Internet einwählen und sofort
http://windowsupdate.microsoft.com
aufsuchen, um alle weiteren aktuellen Patches zu installieren.
D.) Wichtige Hinweise:
Mit Hilfe der erläuterten Massnahmen können der offensichtliche Wurm entfernt
sowie die Sicherheitslücke geschlossen werden, über die sich dieser Wurm verbreitet.
Das heisst aber ausdrücklich nicht, dass damit ein sauberes System sichergestellt
ist, denn eine Systemkompromittierung, also ein Befall mit einem Wurm oder einer
anderen Schadsoftware sollte immer ein Neuaufsetzen des Systems nach sich ziehen.
Nur auf diese Weise ist wieder ein vertrauenswürdiges System zu gewährleisten,
mit dem man auch beruhigt arbeiten kann.
Allerdings müssen dann vor der ersten Internetverbindung
die hier erläuterten Absicherungsmassnahmen getroffen werden. Heisst also: Einspielen
von Service-Packs und Patches, Konfigurieren der Dienste gemäss
http://www.ntsvcfg.de.
Des Weiteren ist im Allgemeinen das stete Aktuellhalten des Betriebssystems,
also auch das Versorgen mit wichtigen Sicherheitsupdates ein Muss
für jeden Internetnutzer. Alle 14 Tage sollte z.B. über einen Besuch der Seite
http://windowsupdate.microsoft.com
geprüft werden, ob neue Patches zur Verfügung stehen. Weitere Updatemöglichkeiten:
-
Kostenfreie Update-CD von Microsoft zum Aufspielen grundlegender grosser
Update-Pakete (der Rest muss allerdings weiterhin über das Internet nachgeladen
werden).
-
Diese grossen Update-Pakete finden sich auch auf einigen Zeitschriften-CD's.
Hier gilt ebenso: die aktuellsten Patches sind aus dem Internet nachzuladen.
-
Aktivieren des Windows Auto-Updates.
Hinweis
Autoren von Freeware
und OpenSource-Software haben das Recht, die jeweilige
Lizenz jederzeit zu ändern. Deshalb sind alle Angaben,
auch die zur jeweiligen Lizenz, natürlich ohne Gewähr.
|
|
|
|
|
|
|
|
|
 Wilkommen Gast
Werden Sie Mitglied!
 
Registerierung ist frei und gibt den vollen Zugang zu dieser Seite
 Registrieren | | | |  Login:
|
| | | | | | | | |  | Mitglieder: |  | Heute Neu: | 0 | | | Gestern Neu: | 2 | | | Gesamt: | 1921 | | | Letzter: | | ich |
| | | |  | Online |  | Mitglieder: | 0 |  | Gäste: | 7 |  | Gesamt: | 7 |
| | | |  | Mitglieder Online | | Keine Mitglieder Online |
|
|
|
|
News
