[All About PC] Virus - W32.Sasser.Worm

Username:
Passwort:

Aktuelle Testberichte

Shark Zone H30
Gaming Headset

Belkin Charge Dock für
Apple Watch/iPhone

TrekStor SufTab duo W1
Volks-Tablet

BABYLON-PRO

EPSON DX3850

Testberichte


	ANTIVIR PE
	FIREFOX 0.8
	BROTHER MFC-3820N
	XP ANTISPY 3.8
	KNC*ONE TV KARTEN
	ABIT IC7 MAX3
	EPOX 8KTA3+
	CYBER DRIVE CW099D
	YAMAHA CRW-F1
	ABIT SILURO GF4
	MONKEY ISLAND 4

WEITERE TESTS...

Hï¿½ttest Du's gewuï¿½t?

Dateien schneller über Favoriten öffnen

AAPC zeigt, wie's geht!

Viren

	W32.SASSER.WORM
	W97M/SUPPL
	W97M/RESUME.A
	W97M/PRILISSA
	W97M/OZWER

0 Aktuelle Schnï¿½ppchen

AAPCSI

AAPC Newsletter

Neues aus dem Forum

FOREN BEI AAPC: HARDWARE SOFTWARE DVD

simyo - Weil einfach einfach einfach ist.

Gefahr
Verbreitung

Name des Virus	*W32.Sasser.Worm*
Typ	Internet Wurm
befallene Betriebssysteme	Windows 2000/XP, Windows 2003 Server
Alias	W32/Sasser.worm

Infizierung:
W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 und Windows 2003 Server verbreitet.
Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen.

Der Wurm verbreitet sich nicht perr E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders.

Schadensroutine:
Bei einem erfolgreichen Angriff lädt Sasser von dem angreifenden Computer eine Datei per FTP in das Verzeichnis c:\windows\system32. Anschließend wird diese Datei ausgeführt und damit der angegriffene Computer infiziert. Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk.
Der Wurm kopiert sich im infizierten System unter %Windir%\avserve.exe. Diese Datei ist 15.872 Bytes groß.
%Windir% ist dabei eine Systemvariable, die je nach Betriebssystem varriiert. Unter Windows 2000 ist sie auf c:\winnt gesetzt, unter Windows XP auf c:\windows.

Der Wurm legt zusätzlich einen Registrierungs-Schlüssel an, mit dem er bei jedem Systemstart ausgeführt wird. Der Schlüssel
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe"="%windir%\avserve.exe"
sorgt für die Aktivierung des Sasser beim Rechnerstart. Eine weitere Kopie des Wurms befindet sich unter c:\windows\system32\?????_up.exe, wobei ????? beliebige Ziffern sind.

Schutz & Entfernung:
Vor der Entfernung muss die Sicherheitslücke des Betriebssystems geschlossen werden. Andernfalls kann es jederzeit zu einer Neuinfektion kommen, wenn der Computer ans Netz angeschlossen wird. Für die Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter:
Microsoft Windows 2000 (SP2, SP3 und SP4)
Microsoft Windows XP und Microsoft Windows XP SP1

Symantec bietet auf der Webseite ein Tool zum Download an, daß den Sasser dann endgültig vom System verbannt.

Zurück

Zur Virenübersicht

Virusbeschreibung per Email senden

Virusbeschreibung ausdrucken

Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt. Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind verboten.
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus etwaig entstehenden Schaden keine Verantwortung übernommen werden.