Virus Sasser
Betroffene Systeme:
Windows 2000, Windows XP, Windows Server 2003
Nicht betroffen:
Windows 95, Windows 98, Windows ME, Windows NT 4.0
1) Symptome:
a) Bei allen Varianten: Es erscheint eine Meldung, dass das System heruntergefahren werden muss ("System herunterfahren"). Dies kann auch geschehen, ohne dass später eine Wurmdatei auf dem System gefunden wird!
Ggf. wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung".
Oder: "LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden".
Sasser nutzt die AbortSystemShutdown-API, um Versuche zu unterbinden, das System herunterzufahren oder neu zu starten.
b) Unterschiedlich, je nach Wurmvariante: Sasser.a
Folgende Dateien werden erzeugt:
avserve.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;
win.log im Rootverzeichnis (C:), also C:\win.log;
In die Registry erfolgt dieser Eintrag:
Pfad zur avserve.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sasser.b
Folgende Dateien werden erzeugt:
avserve2.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;
win2.log im Rootverzeichnis (C:), also C:\win2.log;
In die Registry erfolgt dieser Eintrag:
Pfad zur avserve2.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sasser.c
Siehe Sasser.b. Die bestehenden Unterschiede sind an dieser Stelle (hinsichtl. Schutz und Entfernung) nicht relevant.
Sasser.d
Folgende Dateien werden erzeugt:
skynetave.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
win2.log im Rootverzeichnis (C:), also C:\win2.log;
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;
In die Registry erfolgt dieser Eintrag:
Pfad zur skynetave.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sasser.e
Folgende Dateien werden erzeugt:
lsasss.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;
ftplog.txt im Rootverzeichnis (C:), also C:\ftplog.txt;
In die Registry erfolgt dieser Eintrag:
Pfad zur lsasss.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2.) Ursache:
Dieser Wurm gelangt über eine Sicherheitslücke in Windows im "Local Security Authority Subsystem Service" (LSASS) auf nicht gepatchte Systeme, das heißt auf Systeme, für die diese Sicherheitsupdates von Mitte April 2004 nicht installiert wurden. Achtung! Die Datei lsass.exe selbst ist nicht der Wurm. Es handelt sich dabei um eine Windows Systemdatei!
Für eine Infektion reicht - unter obiger Voraussetzung - also bereits das bloße Herstellen einer Internetverbindung aus! Allerdings muss nicht zwangsläufig jede lsass-Fehlermeldung auf eine erfolgte Installation des Wurmes hindeuten - auch ein fehlgeschlagener Installationsversuch kann derartige Meldungen zur Folge haben. Ob nun eine wurmtypische Datei auf dem System entdeckt werden kann oder nicht - auf den fehlenden Patch sind diese Probleme in jedem Fall ein Hinweis.
3.) Vorgehen beim Auftreten der Symptome:
Ein durch den Wurm verursachter Systemshutdown kann wie folgt abgebrochen werden: Start, Ausführen aufrufen, dort shutdown -a eingeben und Enter drücken.
Den passenden Patch für das Betriebssystem laden (siehe oben).
Ein passendes Entfernungstool laden.
Die Internetverbindung beenden.
Das Entfernungstool ausführen. Zudem bitte die Hinweise zur manuellen Entfernung unter C.) 8. und C.) 9. auf dieser Seite beachten, sowie die wichtigen Hinweise zum Neuaufsetzen des Systems nach einer Kompromittierung durch Schadsoftware!
Windows im abgesicherten Modus neu starten.
Für Windows XP: Systemwiederherstellung deaktivieren. Dieser Schritt entfällt bei Windows 2000.
Trotzdem das Entfernungstool bereits ausgeführt wurde, empfehle ich dennoch: Auf dem System nach den oben erwähnten Dateien avserve.exe, avserve2.exe, skynetave.exe, lsasss.exe, win.log bzw. win2.log, ftplog.txt sowie xxxxx_up.exe suchen und diese, falls sie gefunden werden, löschen.
Hinweis: Eine Suche nach xxxx_up.exe erfolgt in Windows über die Sucheingabe: *_up.exe. Das kleine Sternchen ersetzt also die zufällig generierten Zahlen.)
Falls sich avserve.exe, avserve2.exe, skynetave.exe oder lsasss.exe nicht löschen lassen, muss zuvor mittels Strg + Alt + Entf der Taskmanager aufgerufen werden. Dort kann man diese Prozesse markieren und beenden, um die Dateien anschließend per Hand aus dem Windows-Ordner herauszulöschen.
Die Registry-Einträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, die auf avserve.exe, avserve2.exe, skynetave.exe oder lsasss.exe verweisen, müssen ebenfalls gelöscht werden. Dies ist z.B. mit HijackThis komfortabel möglich. HijackThis ist dazu gemäß Anleitung auszuführen, dann wird der entsprechenden Registry-Eintrag markiert und mittels "Fix checked" entfernt.
Nun die Patchdatei Windows2000-KB835732-x86-DEU.EXE (für Windows 2000) bzw. WindowsXP-KB835732-x86-DEU.EXE (für Windows XP) ausführen (doppelklicken), um dem Patch zu installieren.
Windows neu starten.
Ins Internet einwählen und sofort http://windowsupdate.microsoft.com/ aufsuchen, um alle weiteren aktuellen Patches zu installieren.
|
